個人情報を扱っている事業者のうち、5000人以上の個人情報を常に利用している場合、個人情報保護法上では「個人情報取扱事業者」となり、様々に気を遣うべきことがでてきます。
5000人以上の個人情報を扱うような企業で、まさか個人情報保護法を全然知らないということはないと思いますが、↓に詳しくQ&Aが載っていますので、大抵のことは理解できると思います。
・個人情報保護トップページ
・個人情報保護法に関するよくある疑問と回答
問題は、そういった中小企業がプライバシーマークを取得すべきかどうかです。
一般には「Pマーク」という名称で知られていますね。
堅苦しくいえば、上記サイトで説明されているとおり、
プライバシーマーク制度は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定する制度
なのですが。
平たく言えば、「消費者にウチは個人情報をちゃんと管理してますから、安心してくださいね」とアピールするためのマークです。
認定企業は、HPや名刺にもマークを表示することが許されます。
ただ、認定には結構なお金が掛かります。
また、2年ごとに更新が必要なので、更新費用もかかります。
しかしながら、ここ最近、プライバシーマーク制度の信頼性そのものが失われつつあり、「この費用を払うべきか?」で悩む中小企業も増えてきています。
例えば、過去の例でも、
・大日本印刷が864万件以上の個人情報流出を起こしても、Pマークは取り消されなかった。
・三菱電機インフォメーションシステムズが図書館貸し出しシステムで個人情報漏洩を起こしても、Pマークは取り消されず、現在も認定が更新されている。
(Wikiepdia プライバシーマークより)
また、直近では、現在話題になっているカルチュア・コンビニエンス・クラブ(CCC)が、Tポイントカードの購買履歴を複数企業で統合したり、TポイントツールバーでWebの閲覧履歴を丸ごと抽出していたりと大きな問題になっていても、おそらくプライバシーマークはそのまま認定されるでしょう。
つまり、プライバシーマークが表示されている企業であっても、「個人情報が適切に守られているかどうかを判断する基準にはならない」(少なくとも現時点では)ということになります。
一般消費者からしても、「プライバシーマークの有無で実情を図ることはできないな」という認識が広がりつつあります。
この現状では、残念ながら私は、小さな中小企業が無理してプライバシーマークを取得する必要はないかな(取引先がPマークを強要しない限り)、と考えています。
(誤解のないように書いておきますが、もともと私はプライバシーマークの取得業務に携わったこともありますし、理念は良い制度だと思っています。ですが、あまりにも形骸化が進んでしまっているので、返って残念さを感じてしまっているのかもしれません。)