日々さまざまな情報を処理・加工する印刷業にあって，情報の適正管理は取引先の信頼を確保する上で重要である。そのような中，ここ数年特に重要度を増しているのが「個人情報」である。従来から存在する名簿印刷等における利用はもとより，DM業務や個人情報DB自体の管理業務における利用など，幅広い領域で慎重な取り扱いが要求されている。当社においても，情報サービスの新しい形態として顧客第一主義のもと，情報技術（IT）を駆使したダイレクトマーケティングへの対応を積極的に展開しており，個人情報の保護は重要な経営課題になっている。

このような中で，凸版印刷は1999年2月「凸版印刷個人情報管理規程」を制定し，個人情報を適正に管理する体制を構築した。また2000年4月には，金融・証券事業本部において「プライバシーマーク」の付与認定を受けている。

そこで，なぜ個人情報の管理が重要なのか，さらに個人情報管理のためにはどのような体制を構築すれば良いのかを，当社の経験を踏まえ解説したい。

■個人情報管理の重要性
（1）一般的情報管理と個人情報管理
情報一般を管理する仕組みの一つとして，営業秘密に関する情報管理規程による体制が挙げられる。当社においても，1991年に「凸版印刷秘密情報管理規程」を制定し，従来から確固たる情報管理体制を構築・運用している。もちろんこの中には，個人情報も管理対象として含まれていた。しかしながら，個人情報の重要性の増大および情報加工技術の発達により，従来あまり問題とならなかった一般的情報と個人情報との相違点が徐々に目立つようになり，既存の管理体制の枠内での個人情報を取り扱うことに若干不都合が生じ始めた。つまり，1.情報の所有者（取引先など）と直接的には関係のない被掲載者本人のプライバシー問題が含まれる点，2.情報自体に必ずしも秘密管理性が要求されない（例：電話帳掲載情報）点などが，従来の漏洩防止に重点をおく情報管理体制が想定しない場面として明らかになったのである。

そこで，これらの不都合を解決するため，当社は個人情報に的を絞った新しい管理体制を別途構築し，現在その運用を図っている。

（2）社会的動向への対応
　1）国際的動向

1.OECDプライバシーガイドライン
個人情報保護に関する国際的な動きの端緒は，1980年に経済開発協力機構（OECD）で採択された「OECDプライバシーガイドライン」に溯る。このガイドラインの採用する8原則（1.収集制限の原則，2.データ内容の原則，3.目的明確化の原則，4.利用制限の原則，5.安全保護の原則，6.公開の原則，7.個人参加の原則，8.責任の原則）は個人情報管理の基本精神であり，その後さまざま制定されるガイドライン類はこれに影響を受けている。

2.個人情報保護に関するEU指令
その後，1995年にはEU（欧州連合）では「個人情報保護に関する指令」が採択された。この指令は強制力のあるもので，そこでは（EU加盟国は，国内の者に対し）個人情報保護対策の不十分である他国には個人情報を伝送・移動してはならない旨規定せよと義務づけられている。この指令の発効（1998年10月）以来，国内外において個人情報保護に向けた動きが活発化した。

3.ISO規格化の動き
なお，これらの動きとは別途，個人情報保護に関するISO規格制定の動きもあり，後述する個人情報保護に関するJIS規格に関連するものと考えられる。

　2）国内の動向
国内においては，1998年ごろから多発した個人情報漏洩事件や前述のEU指令発効に前後して，個人情報保護に関するさまざまなガイドラインや規格や優良事業者認定制度が創設されるなど，具体的な動きが活発化した。ここでは主として印刷業界に関係すると思われる規格や制度について簡単に解説する。

1.個人情報に関するJIS規格
1999年3月20日に制定された日本工業規格。正式名称を『個人情報保護に関するコンプライアンス・プログラムの要求事項』（JIS Q 15001）という。当社の個人情報マネジメントシステムもこの規格に準拠している。

2.プライバシーマーク制度
個人情報についてJIS Q 15001に準拠した適切な保護措置を講ずる体制を整備している事業者等を認定して，その旨を示すプライバシーマークを付与し，事業活動に関してプライバシーマークの使用を認める制度であり，1998年4月1日から施行された。JIS Q 15001の第三者認証制度としては現在のところこの制度が唯一である。
認定機関は（財）日本情報処理開発協会（JIPDEC）であり，認定の単位は原則事業者単位であるが，例外的に特例として商法上の取締役が所掌するマネジメント単位での認定もなされる。今回の当社金融・証券事業本部としての認定は，この特例による。
認定を受けかつこれを維持するためには，a）JIS規格に準拠した厳格な個人情報管理体制を確立すること，b）認定機関が行う付与審査および認定後の実態監査に合格することが必要となる。

3.個人情報保護基本法・法案化の動き
政府のIT戦略本部では，本通常国会での個人情報保護基本法の法案成立を目指している。この法案の骨子たる個人情報保護基本法制に関する大綱（2000年10月11日/政府IT戦略本部・個人情報保護法制化検討委員会）によると，個人情報を取り扱う事業者に課される8種の義務（OECD8原則に準拠）と，罰則も予定されている。

　3）まとめ
このように個人情報保護に関する社会的要請が強まる中にあって，個人情報保護のJIS規格に準拠した明確な個人情報管理体制を構築することは，印刷業にとってさまざまな面で有効といえよう。

■マーク取得に向けた個人情報管理体制の構築
　（1）JIS規格準拠の当社規程の内容
個人情報管理体制を構築する場合，マネジメントに必要な内容が網羅されている点や第三者認証という目標設定が可能な点から，現状ではJIS規格に準拠したものにするのが良いと考えられる。以下，当社の体制（JIS規格準拠）を文書化した個人情報保護方針および同規程につき，JIS規格の要求事項を踏まえながら概説する。

1）個人情報保護方針
個人情報管理体制構築の前提として，まず「個人情報保護方針」を策定することが必要となる。位置づけとしては事業者の代表者による宣誓書であり，少なくとも1.適切な情報収集・利用および提供に関する内容，2.不正アクセス・紛失・漏洩等の予防および是正に関する内容，3.法令等の遵守に関する内容，4.体制の継続的改善に関する内容の4項目を含む方針を打ち立ててこれを文書化し，かつ社内における周知徹底と取引先をはじめ社外一般の方へいつでも公表できるようにしておくことが，JIS規格上要求される。 なお，参考として当社個人情報保護方針を以下に示す。

凸版印刷株式会社 個人情報保護方針 1. 私達は，個人の尊厳を重んじ，法と社会秩序を遵守のうえ，社内の規程類に則り，当社が保有する個人情報の保護に努めます。 2. 私達は，当社が保有する個人情報について，不当なアクセス又は紛失，破壊，改ざん，漏えい等の危険を深く認識し，合理的な安全対策を講じます。 3. 私達は，個人情報の収集目的を当社の正当な事業範囲内で明確に定め，その目的達成のために必要な限度において，公正かつ適正な方法で個人情報の収集，利用及び提供を行います。 4. 私達は，お得意先より預託を受けた個人情報について，お得意先が安心して当社に預託することができるよう十分な個人情報の管理を行います。 5. 私達は，個人情報保護のための社内体制を整備し，これを実効あるものとして運用するとともに必要に応じて随時改善に努めます。

2）個人情報管理規程
次に管理体制の大枠について規程化することが必要となる。当社ではJIS規格の要求事項に準拠する形で，以下の8項目を柱とする規程を策定し，運用を図っている。

1.組織および責任の所在に関する項目
JIS規格は，情報管理の責任を明確にすべき旨要求する。そこで当社では，各事業（本）部ごとに自部門内の個人情報管理に責任を負う個人情報管理責任者を設置し，さらにこの者および本社関係組織を主要メンバーとする全社個人情報管理委員会を設置することにより，責任の明確化と組織的な管理体制を実現している。
また，個々具体的なJIS規格の要求事項に対応するため，個人情報管理責任者の下に以下a）からf）の役割をそれぞれ担当する責任者を設置し，体制を実効あるものにしている。

　a）法令及びその他の規範調査責任者
　b）教育責任者
　c）苦情及び相談窓口責任者
　d）文書管理責任者
　e）委託契約内容確認責任者
　f）監査責任者

2.収集・利用・提供に関する項目
個人情報の収集は，原則本人に同意を得た上で行う必要がある。ただし，取引先より情報処理の受託等のために個人情報を預かる（預託）場合，これもここにいう収集の一形態ではあるものの，取引先より個人情報を受け取る際の本人同意は例外的に要求されない。
また個人情報の利用・提供は，原則収集時に本人が同意を与えた範囲内で行う必要がある。
以上が本項目におけるJIS規格の考え方であるが，当社もこれに準拠する。

3.適正管理に関する項目
適正管理に関しては，必要な範囲内で正確性を確保する旨，合理的な範囲で安全対策を構築する旨，業務委託に備えて委託業者の選定基準を制定し，かつ情報の適正管理に関する条件を盛り込んだ業務委託契約を締結する旨，それぞれ定める。
ここにいう正確性の確保とは，例えば住所の誤りなどでDMの誤配送がないよう定期的にデータ更新をする等，情報の信頼性を必要十分なレベルに保つことである。取引先より預託を受けた情報については，当社が取引先に無断でデータ更新を行うことは不可能なため，基本的にはその取引先と事前協議の上必要範囲内で正確性を確保する。
また安全対策の基準や業務委託に関する基準は，各事業（本）部ごとに細則でもって合理的レベルを定め，規程では最低限必要な事項を定めている。

4.本人の申し出への応対に関する項目
この項目は個人情報管理に特有のものであり，管理対象の情報内に掲載される本人のプライバシーを最大限に尊重するための具体的方法を定める。例えば本人が自己の情報を開示するよう請求した場合には原則これに応じるなど，JIS規格に準拠した本人の権利を規定する。

ただし，取引先より預託を受けた個人情報については，当社が取引先に無断で情報を公開または改変することが不可能なため，基本的にはその取引先と事前協議の上応対する旨，別途規定する。
なお，本人の申し出に応対する窓口の設置についてもここで規定する。

5.教育に関する項目
個人情報の管理体制においては，実際の安全対策とともに教育の徹底も重要になる。当社では定期・不定期の全社員向け教育をさまざまな方法（講義・冊子配布など）で行い，個人情報保護方針をもとに個人情報管理の重要性やその管理体制の概要，さらには管理体制に違反した場合には懲戒の対象になる点等につき周知徹底を行っている。

6.監査に関する項目
監査については，構築した体制が正確に運用されているか，さらには管理体制自体がJIS規格に逸脱していないかについて監査を行う。

7.罰則に関する項目
管理体制の実効性を高めるため，体制違反者には就業規則違反により懲戒の対象になる旨，規定する。

8.見直しに関する項目
JIS規格では，構築した管理体制を維持するため，監査結果や社会情勢の変化等に応じて体制（規程類）を見直すよう要求する。このような継続的改善についての要求事項はいわゆるPDCAサイクルを採用するマネジメントシステムにおいて要になるもので，ISO9000シリーズやISO14000シリーズ等にも採用されている。
これに準拠する形で，当社規程においても管理体制の見直し規定を設け，継続的改善の基礎を確立している。

（2）金融・証券事業本部のマーク付与認定
当社金融・証券事業本部は，前述の個人情報管理規程に基づく管理体制をより具体化する「金融・証券事業本部個人情報取扱いガイドライン」およびその運用マニュアルを策定運用し，1999年3月28日に，（財）日本情報処理開発協会よりプライバシーマークの付与認定を受けた。

この「金融・証券事業本部個人情報取扱いガイドライン」は当社規程の8項目を実施するための細則的位置づけであり，JIS規格の規定順に具体的手順を確立している。

■プライバシーマーク付与認定の効果と今後の課題
　（1）JIS準拠レベルとプライバシーマーク
JIS規格はあくまでガイドライン的なものであり，これに準拠したために特別に法的義務が課されるわけではない。「JIS準拠」と一概にいってもそのレベルは事業者が自由に設定できるのであり，当社においても各事業（本）部ごとにそのレベル設定を委ねている。

さて，第三者認証としてプライバシーマークを取得した場合の効果としては，名刺や封筒へ同マークを貼付することによる取引先へのアピール効果をはじめ，第三者認証による取引先からの安心の獲得などさまざまなメリットが挙げられる。

　（2）今後の課題
JIS規格に準拠した個人情報管理体制を構築した場合，プライバシーマークを取得するしないにかかわらず，監査や社会的情勢に応じた体制の継続的改善が重要となる。また個人情報を取り扱う全事業者が対象となる（予定）個人情報保護基本法案の動向も見逃せない。

情報コミュニケーション産業として取引先からいただく当社の信頼をより一層深いものにするべく，今後はこれらの社会的動向や監査結果を踏まえた継続的改善によって，個人情報管理体制の維持確立を目指す。

2001/05/29 00:00:00