1．Pマークのルール違反とは

⑴Pマークにおけるルール違反とは

Pマークにおけるルール違反とは、以下３パターンが考えられます。

• 個人情報の取り扱いに関するルールを守らない
• 適切なセキュリティ対策を講じない
• 個人情報保護に関する法律を守らない

具体的には、個人情報の漏洩・滅失・毀損を引き起こす行為や、本人の同意を得ずに個人情報を取得・利用・提供を行う行為が該当します。

これらの違反行為を行っている従業者を発見した場合は再教育や研修を行い、再発防止策を講じることが必要です。また、違反内容やその影響を全社員に報告し、意識改革を促します。

⑵Pマークの運用に必須の「罰則」とは

Pマークを付与されている組織が個人情報保護法やPマーク制度の規定に違反した場合、その違反行為に対して科されるペナルティのことを「罰則」と呼びます。この罰則は、違反の内容やその重大性により異なります。

Pマークの運用における罰則は、組織や個人が個人情報保護法やPマーク制度のルールを遵守することの重要性を強調するものであり、その遵守を確実にするための重要な役割を果たしています。

2．Pマーク取得企業が違反するとどうなる？

⑴ルールに違反した場合

組織に対しては、Pマーク付与の取り消しや公表などの行政処分が科されることがあります。
これは企業の信用を大きく損なうものであり、ビジネスに大きな影響を及ぼす可能性があります。

違反行為を行った個人に対しては、懲戒解雇や減給などの内部処分が行われることがあります。
個人のキャリアにも大きな影響を及ぼすでしょう。

⑵罰金が発生する可能性はあるのか

個人情報保護法などの法令違反があった場合には、刑事罰として罰金刑や懲役刑が科される可能性があります。

個人の場合は業務で取り扱った情報などを第三者の不正な利益を目的として提供した場合は１年以下の懲役又は50万円以下の罰金が科されます。

さらに個人だけでなく法人も対象となり、法人に対する罰金は最高1億円以下、虚偽の報告をした場合の罰金は最高50万円以下の刑事罰が科されます。

個人情報保護法147条、148条178条179条182条等が該当します。

3．ルールに違反した際の対応方法

⑴違反内容の把握

具体的にどのような違反が起きたのか、その詳細をしっかりと理解することが重要です。
個人情報が関わっているのか、それとも関わっていないのか、社外に漏えいしたのか、またその場合にはどの程度の量が漏えいしたのか、そして何がその原因であったのか。
これらの情報を把握することで、その後の対応策が大きく変わってきます。

⑵原因の究明

違反が発生した原因を特定し、それが再発しないようにするための対策を立案します。
この段階では、違反の原因を特定するだけでなく、それが再発しないようにするための具体的な対策を考えることが求められます。

⑶再発防止策の立案と実施

違反が再発しないように、具体的な対策を立案し、それを実施します。
これには、社内マニュアルの見直しや従業員教育、周知の徹底などが含まれます。

違反を起こした当事者に対しては、違反内容によっては懲戒処分を科すこともあります。これは、違反行為を抑止し、再発を防ぐための重要な措置です。

また、違反によって個人情報が漏えいした場合は、本人への連絡が必要となります。これは、本人が自身の情報が漏えいしたことを知り、適切な対応を取ることができるようにするためです。

⑷個人情報保護委員会やPマーク審査機関等への報告

個人情報保護委員会やPマーク審査機関等への報告は、違反が発生したことを公にし、その対応を透明にするための重要な手続きです。

報告の期限ですが、速報と確報の2回実施が必要となります。

• 速報：発覚日から3日～5日以内
• 確報：発覚日から30日以内

漏えいした情報の大小、内容により異なることもありますので、詳細は個人情報保護委員会、各審査機関HPをご確認ください。

4.違反を未然に防ぐためには？

社内ルールや法令の遵守は、万全を期すことが理想ですが、人的ミスによる情報漏えいなどのリスクは常につきまといます。こうしたリスクを最小限に抑えるため、以下の対策を講じることが不可欠です。

まず、従業員に対する継続的な教育と意識啓発が重要です。個人情報保護に関する社内ルールの徹底、定期的なテストの実施を通じて、従業員一人ひとりの意識向上を図ります。また、違反行為に対する明確なペナルティを設けることで、抑止力となります。

次に、社内マニュアルや業務フローの定期的な見直しも欠かせません。業務環境の変化に対応し、常に最新の知識に基づいた情報セキュリティ体制を構築します。

さらに、外部委託先や取引先に対する厳格な審査を行い、情報漏えいのリスクを低減させます。

これらの取り組みは、Pマークの取得・維持だけでなく、企業全体の信頼性向上にもつながります。

5．過去にPマークの違反があった事例

一般財団法人日本情報経済社会推進協会（JIPDEC）のまとめによると、2023年度の「個人情報の取扱いにおける事故報告集計結果」では、1,952社の事業者から事故報告が寄せられました。

事故の種類別では、「漏えい」が5,388件で最も多く、「紛失」が602件で次に多かったという結果が出ました。
事故の原因は、「誤送信」が最も多く2,703件、「誤配達・誤交付」が2,138件、「不正アクセス」が760件、「盗難」が670件と続きます。
また、根本的な原因を見ると、「作業・操作ミス」が3,824件で最も多く、「確認不足」が2,844件、「手順・ルール違反作業、操作」が2,803件と続いています。

これらの結果から、担当者が適切な作業を実施しなかったことによる事故が多く発生していることが明らかになりました。

近年ではクラウドサービスの普及に伴い、共有スペースが増える一方で、権限設定ミスによる情報漏洩事件が増えています。
本来ならば社外からは閲覧できない情報が、設定ミスにより閲覧可能になってしまったり、閲覧権限だけを付与するつもりが、誤って編集権限まで付与してしまうなど、様々な事例が報告されています。

具体的な事例として、大手旅行会社の株式会社JTBがクラウドサービスのアクセス権限の設定ミスにより、地域振興事業の補助金交付を申請した事業者情報が漏洩してしまうという事件が発生しました。
この事件により、最大で1万1,483人分の個人情報を含む1,698件の申請書類が他の事業者に漏洩するという事態に発展しました。
このような事態を受けて、JTBでは再発防止策として、管理者を増やすなどの対策を講じています。

具体的な事例として株式会社ラストワンマイルは2024年6月10日、同社が運用するライフライン系サービス「まるっとシリーズ」のユーザー情報更新申請に用いるGoogleフォームにおいて誤設定があり、ユーザー420名の個人情報が公開状態にあったと発表しています。

誤設定期間：2024年4月26日～2024年6月10日
発覚のきっかけはユーザーからの問い合わせで、同社が確認したところ、情報変更時の申請フォームの閲覧権限にミスがあり、リンクアドレスを知る者であれば誰でも他の申請者情報を閲覧できる状態にあったとのことです。

原因は申請フォームの作成作業時に、申請フォームの作業担当者の設定ミスによりリンク先を知る全員が閲覧できる設定に指定していたこととしており、対策として情報管理体制の見直しを発表しています。
しかし、このような権限設定ミスはヒューマンエラーに起因するものであり、十分なチェック体制が必要となってきます。

6．まとめ

プライバシーマークは、組織の個人情報保護に対する取り組みが国際的な基準を満たしていることを示す認証です。

しかし、その取得は、組織が継続的に個人情報の適切な管理体制を構築し、運用することを義務付けます。
万が一、規定に違反した場合、情報漏洩などの深刻な事態を招き、企業イメージの失墜や法的責任に繋がる可能性もあります。

最悪のケースでは、プライバシーマークの付与が取り消されることとなり、組織の信用が失われてしまいます。

プライバシーマークは、単なる認証ではなく、組織が社会に対して責任ある行動をとっていることの証明でもあります。個人情報保護に関する法規制がますます厳しくなる中、プライバシーマークの取得は、企業の持続的な成長を支えるための不可欠な要素と言えるでしょう。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら▶️
• 見積もり依頼はこちら▶️