2021.9.24
1.プライバシーマーク制度とは

 プライバシーマーク制度は、日本産業規格で定めるJIS Q 15001「個人情報保護マネジメントシステム−要求事項」に則り個人情報について適切な保護措置を講ずる体制を整備している事業者であるかを審査認定するものです。認定された事業者には、その旨を示すプライバシーマークが付与され、事業活動に関してプライバシーマークの使用が認められます。

 プライバシーマーク制度の目的は、事業者が個人情報の取扱いを適切に行う体制等を整備していることを、消費者(患者様)の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者(患者様)の意識の向上を図ることです。

 保健医療福祉分野のプライバシーマーク制度は、基本的に一般事業者のプライバシーマーク制度と同様ですが、「JIS Q 15001」に準じて策定した保健医療福祉分野のプライバシーマーク認定指針を適用範囲とする保健・医療に関する事業を行う事業者を対象とする場合に、特に「保健医療福祉分野のプライバシーマーク制度」と呼んで区別しています。

保健医療福祉分野の事業者に対する審査は、MEDIS-DCだけが行います。
審査機関である業界団体の加入の有無、及び事業者の所在地にかかわらず当財団が審査致します。


 2.プライバシーマーク制度の実施体制

 プライバシーマーク制度は以下の2種類の機関で運営されます。

  1. プライバシーマーク付与機関(付与機関)
  2. プライバシーマーク指定審査機関(審査機関)

 付与機関は一般財団法人日本情報経済社会推進協会(JIPDEC)です。
 審査機関には、地域毎及び審査対象事業者毎に複数の審査機関が指定されています。
 しかし、保健医療福祉分野の事業者に対する審査は、業界団体の加入の有無や地域に関係なくMEDIS-DCだけが行います。( プライバシーマーク指定審査機関一覧をご参照下さい。)

 付与機関と審査機関の仕事は以下の通りです(5〜11は付与機関のみの業務です)

      1. 事業者からのプライバシーマーク付与の申請を審査して認定すること
      2. プライバシーマーク制度を適正に運用すること
      3. 消費者からの苦情を受け付けること
      4. 対象事業分野に適した認定指針を策定すること
      5. プライバシーマークを付与すること
      6. 審査機関を指定すること
      7. プライバシーマーク制度委員会の設置
      8. 制度の基準、規程等の策定、改訂
      9. 審査機関の指定及び取り消し
      10. Pマーク付与適格性の取り消し
      11. 制度の運用状況の監査


 3.保健医療福祉分野のプライバシーマーク付与の対象

 保健医療福祉分野のプライバシーマーク付与の対象は、国内に活動拠点を持つ、
JIS Q 15001「個人情報保護マネジメントシステム−要求事項」 に準じて策定した保健医療福祉分野のプライバシーマーク認定指針の適用範囲とする保健・医療に関する事業を主に営む者を対象とするものであり、保健・医療に関連する事業等(福祉分野を含む)を営む以下のような事業者が該当します。

  ● 病 院(大学病院を含む)
  ● 診療所(一般・歯科診療所)
    ● 健診機関

  ● 医学・薬学系教育機関及び研究所等
  ● 調剤薬局、検査センター等
  ● 健康保険組合、審査支払機関(国保連合会、支払基金)
  ● 介護施設サービス、居宅介護サービス事業者
  ● その他、保健・医療・福祉分野に関連する事業者
  当該事業が当財団の申請対象に該当するかが不明な場合はご相談下さい
*業種の如何を問わず医療機関で取り扱う診療録、検査依頼伝票、検査結果報告書、レセプト等が、取り扱う個人情 報の5割以上を占める事業者が対象となります。

*医療機関や介護施設等への人材派遣のみを行う事業者については、当財団の審査対象ではありませんのでご注意下さい。


 さらに、少なくとも以下の条件を満たしている必要があります。

  1. JIS Q 15001「個人情報保護マネジメントシステム−要求事項」及び保健医療福祉分野のプライバシーマーク認定指針に準拠したマネジメントシステム(以下、「MS」という。)を定めている
  2. MSに基づき個人情報の適切な取扱いが実施され、または実施可能な体制が整備されている
  3. 次に示す欠格事項のいずれかに該当しない事業者
    ●申請の日前3か月以内にPマーク付与の申請または再審査の請求についてPマーク付与を否とする旨の決定を受けた
    ●申請の日前2年以内にPマーク付与適格性の取消しまたはPマーク使用契約の解除を受けた
    ●その他、情報主体の利益の侵害を行う恐れのある事業者

    その他、プライバシーマークの申請資格(申請不可の事業者含む)については以下のJIPDECのHPをご参照ください
                         プライバシーマークの申請資格

 プライバシーマーク付与適格性の審査の申請の前に以下のようなスケジュールで、組織内の個人情報保護体制を確立しておく必要があります。
申請までのスケジュールの例

 4.プライバシーマーク付与の単位

以下、日本情報経済社会推進協会のホームページより抜粋

プライバシーマークの付与は、事業者(法人)単位です。

プライバシーマーク制度は、個人情報の保護に関する法的な義務もない平成10年4月から運用しています。その主な目的は、“個人情報の取扱いを適切に行う事業者を拡大すること”です。そのため、運用開始当初から数万人単位の従業者を抱えて事業展開している大規模な事業者の取組みを促進させることに便宜を図り、一定の条件を課した上で、いわゆる事業部門単位での認定を認めてきました。
しかしながら、我が国においてもようやく平成17年4月1日から「個人情報保護に関する法律」(平成15年法律第57号)が全面的に施行され、国内の殆どの事業者がこの法律に法人として適合する義務を負う環境となってきたことから、事業者の一部門を認定する措置を終了することとしました。

*申請単位の例外


 5.プライバシーマーク付与に係る費用について
 
新 規

種 別

事業者の規模別料金(円) ※消費税含む(10%)

 小規模事業者 

 中規模事業者 

 大規模事業者 

 申請料 

52,382

52,382

52,382

審査料*

209,524

471,429

995,238

マーク付与登録料

52,382

104,762

209,524

合 計

314,288

628,573

1,257,144

更 新

種 別

事業者の規模別料金(円) ※消費税含む(10%)

 小規模事業者 

 中規模事業者 

 大規模事業者 

 申請料 

52,382

52,382

52,382

 審査料* 

125,714

314,286

680,952

マーク付与登録料

52,382

104,762

209,524

合 計

230,478

471,430

942,858



現地審査の所要時間
  
小規模
中規模
大規模
新規
更新
新規
更新
新規
更新
現地審査時間
5時間以内
4時間以内
6時間以内
5時間以内
8時間以内
6時間以内
※審査料は、現地審査の時間数を上記の時間内として設定したものです。この時間を超えた場合は、1時間当たり38,096円(消費税別)を追加請求できるものとします。

(注意)
  1. 上記料金以外、現地審査にかかる交通費、宿泊費、日当は、財団の規程により別途請求致します。
    ※詳細については「現地調査の旅費に関する規則 」をご参照下さい。
  2. マーク付与登録料はプライバシーマーク付与機関(JIPDEC)に納めます。また、マーク付与登録料は2年間の料金です。一括して納めてください。
  3. 何れの料金も消費税込みの金額です。
  4. 上記料金は2004年12月1日より適用します。

事業者の区分

事業者規模の区分(小規模、中規模、大規模)は、

 *登記された資本金の額または出資の総額
 *従業者数
 *業種

を基準として一律に判定します。

資本金の額または出資の総額が登記されていない無限責任の事業者(合名会社、合資会社等)の場合は、従業者数と業種のみで判定します。同様に、資本金の額または出資の総額が登記されていない一般社団法人や一般財団法人等も、従業者と業種のみで判定します。

資本金の額または出資の総額の登記がある事業者

株式会社(特例有限会社含む)、合同会社、事業協同組合など、資本金の額または出資の総額が登記されている事業者は、以下の規模分類に従います。
業種分類
資本金の額または出資の総額
従業者数
小規模
中規模
大規模
サービス業
資本金の額または出資の総額
従業者数
25人
5千万円以下
または
6100人
5千万円超
かつ
101人〜
卸売業 資本金の額または出資の総額
従業者数
25人 1億円以下
または
6100人
1億円超
かつ
101人〜
小売業 資本金の額または出資の総額
従業者数
25人 5千万円以下
または
650人
5千万円超
かつ
51人〜
製造業
その他
資本金の額または出資の総額
従業者数
220人 3億円以下
または
21300人
3億円超
かつ
301人〜

資本金の額または出資の総額の登記がない事業者

一般社団法人、一般財団法人、公益社団法人、公益財団法人、特定非営利活動法人、学校法人、社会福祉法人、弁護士法人などの「士」業法人、合名会社、合資会社、民法上の組合、個人事業主など、資本金の額または出資の総額が登記されていない事業者は、以下のように従業者数と業種のみで判断します。
業種分類 従業者数
小規模 中規模 大規模
サービス業 2〜5人 6〜100人 101人〜
卸売業 2〜5人 6〜100人 101人〜
小売業 2〜5人 6〜50人 51人〜
製造業・その他 2〜20人 21〜300人 301人〜
【注意】

1.資本金の額または出資の総額の区切りおよび従業者数の区切りは中小企業基本法に基づいています。
従業者数は、JIS Q 15001および「個人情報の保護に関する法律についてのガイドライン(通則編)」(個人情報保護委員会)で定める「従業者」の数であり(「従業者」については下記 3. を参照。)、中小企業基本法でいう「従業員」とは異なります。

2.従業者とは、JIS Q 15001および「個人情報の保護に関する法律についてのガイドライン(通則編)」(個人情報保護委員会)に基づき、申請事業者の組織内で直接間接に事業者の指揮監督を受けて業務に従事している者をいい、雇用関係にある者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)だけでなく、取締役、執行役、理事、監査役、監事、派遣社員等も含みます。なお、役員は常勤/非常勤にかかわらず登記簿記載の全員が対象となります。

3.資本金の額または出資の総額の確定は、プライバシーマーク付与適格性審査申請時にご提出された書類(※注)に基づき行います。
※注:登記事項証明書等の申請事業者の実在を証す公的文書

4.プライバシーマーク制度では、同一人が個人情報保護管理者と個人情報保護監査責任者を兼務することを認めていないため、従業者(上記2. のとおり従業者には役員を含む。)が一人しかいない事業者の場合は、プライバシーマーク付与の対象となりません。



再調査


初回審査で不合格になった場合、または対応報告が著しく遅延した結果,その間に事業または体制の著しい変更等が生じた場合、個人情報漏洩等の事故が発生し、事故の原因となった不具合についての是正措置の適切性を確認する場合等、必要に応じて再審査を実施し、以下の料金表に基づき調査費を請求します(消費税込み※10%)。


費用
料金

基本料金

52,382
審査料金
20,952×(実際にかかった時間)×(調査員数)
52,382+20,952×実際にかかった時間×1〜2人
(注意)
  1. 上記料金以外、再調査にかかる交通費、宿泊費、日当は、財団の規程により別途請求致します。
    ※詳細については「現地審査の旅費に関する規則 」をご参照下さい。
  2. 上記料金は、事業者の規模、新規・更新にかかわらず同額となります。

 6.プライバシーマークの有効期間と取り消し
  1. 一回の認定によるプライバシーマーク付与の有効期間は2年間です。
  2. 以降は2年ごとに更新を行うことができます。
  3. 更新手続きは、有効期間の満了前4ヵ月以内から3ヵ月前までが、8か月以内から4か月前までに変更になります(以下の「※注」をご参照ください)。更新申請事業者は申請書類を審査機関に提出し更新のための審査を受けます。提出書類、審査方法は基本的に新規申請時と同じです。
    ※注
    Pマーク制度設置及び運営要領の改正について
    更新申請受付期間について


  4. プライバシーマーク制度の運用に問題がある事業者は、たとえ有効期間内であってもPマーク付与適格性を取り消されることがあります。


 *申請単位の例外
 医療法人等で全国に病院が点在している場合など法人全体で個人情報保護の体制を整備することが難しい場合であり、かつ以下の全ての条件を満たす場合については、個別に申請することができる場合があります(部門の申請)。本措置はあくまで例外ですので、部門の申請の際には必ず事前にご相談願います。
  1. 部門は、商法上の取締役が所掌するマネジメント単位に準ずること
  2. 部門は、企業の代表者による個人情報保護方針(JIS Q 15001 の 4.2 に規定) を受けてコンプライアンス・プログラム(MS)を策定すること。
  3. 部門が個人情報を取り扱う業務において他の部門と完全に独立していること
  4. 部門が個人情報を取り扱う業務において、一部の業務を他の部門に依頼して実施する場合は、両部門の担当取締役の名において、下記に示す内容を規定した覚書を取り交わす措置をMSにおいて規定すること。
    1. ●個人情報に関する機密保持
      ●再依頼(外部委託を含む)に関する事項
      ●事故時の責任分担
      ●業務終了時の個人情報の返却・消去

  5. 法人全体を紹介するパンフレット等での使用など、消費者に当該法人がプライバシーマーク付与適格性を受けていると誤解されるような方法でプライバシーマークを使用しないこと。
  6. 企業の代表者の名において、当該部門だけではなく法人全体として「欠格事項への該当の有無について」を提出すること。
  7. 法人は大規模事業者であること。
  8. 部門の従業員数が、101人以上であること(費用は大規模事業者の料金を適用)。

    *部門の申請については下記の事項について理解してください。
  • 上記の条件を満たした場合、事業者の一部の部門での申請を受け付けますが、当該部門を含めた法人全体が、欠格事項に該当していないことが条件です。
  • したがって、認定の後に、当該部門以外の部門で個人情報の取扱いに関して欠格事項に該当する事実が発覚、または発生した場合においても、当該部門の認定に影響(「プライバシーマーク制度設置及び運営要領(10情報開・セ第126号)」第4章参照)を及ぼすことがあります。
  • 一旦、部門を単位として認定を受けた場合は、それ以降の申請は、新たに法人全体の新規申請をするか、残った部門ごとの単位で申請するかの何れかの方法となります。つまり、既認定の部門に新たな部門を追加する(認定範囲を拡大する)方法での申請は受け付けません。
  • なお、「個人情報保護に関する法律」(平成15年法律第57号)は、事業者全体に適用されることを理解する必要があります。

Copyright(C) 2003, The Medical Information System Development Center. All Rights Reserved.