1．Pマーク取得企業が違反するとどうなるか

Pマークは、個人情報の適切な取り扱いを認定する制度です。

このPマークの要求事項を基に決めたルールに違反した場合、個人情報の事故につながりかねません。そうなると、信用失墜や顧客からの信頼を失うなど、ビジネスに大きな影響を及ぼす可能性があります。

また、Pマークの認定を取り消される可能性もあります。そのため、Pマークを取得した企業は、個人情報の適切な管理とルール遵守に努める必要があります。

2．Pマークにおけるルール違反とは

1. 個人情報の取り扱いに関するルールを守らない
2. 適切なセキュリティ対策を講じない
3. 個人情報を不適切に利用する

といった行為が該当します。

具体的には以下のような行為です。

• 本人の同意を得ずに個人情報の取得、利用、提供を行う
• 個人情報の取得、利用、提供の目的を明示しない
• 個人情報の漏洩、滅失、または毀損を引き起こす行為
• 本人が自己の個人情報について開示、訂正、追加、削除、利用停止、消去、第三者提供停止を求めたときに、正当な理由なくこれを拒否する行為

これらの違反行為を行っている従業者を発見した場合は再教育や研修を行い、再発防止策を講じることが必要です。また、違反内容やその影響を全社員に報告し、意識改革を促します。

３．Pマークの運用に必須の「罰則」とは

Pマークの運用に必須の「罰則」とは、Pマークを取得した企業が個人情報保護法やPマーク制度の規定に違反した場合、その違反行為に対して科されるペナルティのことを「罰則」と呼びます。この罰則は、違反の内容やその重大性により異なるものとなります。

具体的には、企業に対しては認定の取り消しや公表などの行政処分が科されることがあります。これは、企業の信用を大きく損なうものであり、ビジネスに大きな影響を及ぼす可能性があります。

また、企業内部においても、違反行為を行った個人に対しては懲戒解雇や減給などの内部処分が行われることがあります。これにより、個人のキャリアにも大きな影響を及ぼす可能性があります。

さらに、個人情報保護法などの法令違反があった場合には、刑事罰として罰金や懲役刑が科される可能性もあります。これは、個人情報の取り扱いに関して法令を遵守することの重要性を示すものであり、企業や個人に対して法令遵守の意識を高める効果があります。

以上のように、Pマークの運用における罰則は、企業や個人が個人情報保護法やPマーク制度の規定を遵守することの重要性を強調するものであり、その遵守を確実にするための重要な役割を果たしています。

４．個人情報漏えい等、ルールに違反した際の対応方法

例えば、個人情報漏えいが発生したことを想定し、対応方法を説明します。

個人情報の漏えいが発覚した際の対応は、違反の内容やその重大性によりますが、一般的には以下のような手順で行われます。

①違反内容の把握

具体的にどのような違反が起きたのか、その詳細をしっかりと理解することが重要です。
個人情報が関わっているのか、それとも関わっていないのか、社外に漏えいしたのか、またその場合にはどの程度の量が漏えいしたのか、そして何がその原因であったのか。
これらの情報を把握することで、その後の対応策が大きく変わってきます。

②原因の究明

違反が発生した原因を特定し、それが再発しないようにするための対策を立案します。
この段階では、違反の原因を特定するだけでなく、それが再発しないようにするための具体的な対策を考えることが求められます。

③再発防止策の立案と実施

違反が再発しないように、具体的な対策を立案し、それを実施します。
これには、社内マニュアルの見直しや従業員教育、周知の徹底などが含まれます。

違反を起こした当事者に対しては、違反内容によっては懲戒処分を科すこともあります。これは、違反行為を抑止し、再発を防ぐための重要な措置です。

また、違反によって個人情報が漏えいした場合は、本人への連絡が必要となります。これは、本人が自身の情報が漏えいしたことを知り、適切な対応を取ることができるようにするためです。

④個人情報保護委員会やPマーク審査機関等への報告

個人情報保護委員会やPマーク審査機関等への報告は、違反が発生したことを公にし、その対応を透明にするための重要な手続きです。

５．罰金が発生する可能性はあるのか

改正個人情報保護法により、個人情報の漏えいが発生した場合の報告が義務化され、違反した場合の罰則が強化されました。

個人情報保護法に違反した場合、個人情報保護委員会から是正指導や是正命令が出されます。これに従わない場合や虚偽の報告を行った場合には罰金が科せられます。

改正個人情報保護法では、法人に対する罰金は最高1億円以下、虚偽の報告をした場合の罰金は最高50万円以下に引き上げられました。
また、個人情報データベース等の不正な提供に対する罰金も最高1億円以下に引き上げられました。

これらの変更により、企業は個人情報を適切に管理するための組織体制やルールの整備、従業員への周知・教育がより一層重要になりました。

６．実際に個人情報漏えい等、Pマークの違反があった事例

一般財団法人日本情報経済社会推進協会（JIPDEC）のまとめによると、2022年度の「個人情報の取扱いにおける事故報告集計結果」では、1,460社の事業者から事故報告が寄せられました。

事故の種類別では、「漏えい」が5,335件で最も多く、「紛失」が681件で次に多かったという結果が出ました。
事故の原因は、「誤配達・誤交付」が最も多く3,013件、「誤送信」が1,730件、「紛失・滅失・き損」が785件、「不正アクセス」が438件と続きます。
また、根本的な原因を見ると、「手順・ルール違反作業、操作」が2,803件で最も多く、「作業・操作ミス」が2,445件、「確認不足」が1,979件と続いています。

これらの結果から、担当者が適切な作業を実施しなかったことによる事故が多く発生していることが明らかになりました。

近年ではクラウドサービスの普及に伴い、共有スペースが増える一方で、権限設定ミスによる情報漏洩事件が増えています。
本来ならば社外からは閲覧できない情報が、設定ミスにより閲覧可能になってしまったり、閲覧権限だけを付与するつもりが、誤って編集権限まで付与してしまうなど、様々な事例が報告されています。

具体的な事例として、大手旅行会社の株式会社JTBがクラウドサービスのアクセス権限の設定ミスにより、地域振興事業の補助金交付を申請した事業者情報が漏洩してしまうという事件が発生しました。
この事件により、最大で1万1,483人分の個人情報を含む1,698件の申請書類が他の事業者に漏洩するという事態に発展しました。
このような事態を受けて、JTBでは再発防止策として、管理者を増やすなどの対策を講じています。

しかし、このような権限設定ミスはヒューマンエラーに起因するものであり、十分なチェック体制が必要となってきます。

７．まとめ

Pマークは、企業が個人情報を適切に取り扱っていることを証明する重要な認定です。

しかし、その取得にあたって設けられたルールを遵守しないと、個人情報の漏洩などの事故につながり、企業の信用や顧客の信頼を失う可能性があります。最悪の場合、Pマークの認定自体が取り消されることもあります。

これらのリスクを避けるためにも、Pマークを取得した企業は、個人情報の適切な管理とルールの厳格な遵守に努めるべきです。
これは、企業の社会的責任であり、持続可能なビジネスを維持するための絶対条件と言えるでしょう。

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン
  相談予約

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン相談予約