１．大型化する個人情報漏洩トラブル

最近の情報通信技術（ICT）の進歩発展・利用拡大には目を見張るものがある。つれて個人情報が規模の大小を問わず1ヶ所に大量に集められ、同時に受発信が行われている。同時に情報に関する事件・事故・不祥事が急拡大している。大きな事件ではわが国国家機関へのサイバーテロがかけられ、国家機密の流出、議員をはじめ国の重要事項に関与するキーマンの個人情報が奪われたという報道があったばかり。またビジネス界では通信会社や証券会社、ソニーなど大手企業の会員サービスを運営するサーバーなどが不正アクセスを受け大規模で百万単位、千万単位で利用者の個人情報が流出したと大きく報じられている。小さいところでいえば、教師が生徒の個人情報（成績・評価など）をCDROMやUSBメモリーに移して持ち歩き、紛失したり置き忘れたりするケースなど枚挙に暇がないほどだ。
個人情報を扱うビジネスシーンでの事件・トラブルでどう企業が事故処理に費やしたコストも近年急拡大している。日本ネットワークセキュリティ協会（JNSA）が2010年公表した｢情報セキュリティインシデントに関する調査報告書｣（2009年度版）によると、2008年中に起こった個人情報漏洩に関する事件・事故について｢被害を全て金銭で賠償したとすると総額389億4289万円に達すると推計される。公表されたトラブル件数は1539件と過去最高で、漏洩した個人情報は572万1498人に達した。また1人当たりの平均損害賠償金額は4万9961円と過去と比較してそれほど大差なく推移しているが、1件当たりの平均損害賠償額は2億6683万円と莫大な金額に達している｣とレポートしている。
しかし、このデータは判明されずに流出したケースや公表しなかったケースが想定される事から氷山の一角という事もできる。実際に企業が個人情報漏洩事故を起こしてしまった場合、企業はどのくらいの損害賠償請求に覚悟しなければならないのか。その負担が益々重くなっていく事が予想される。

２．中小・零細企業用の新たな個人情報保護認証制度スタート

1970年代から本格化した情報技術の革新は通信技術の進展と相まってビジネス構造のみならず、生活者のライフスタイルをも一変させた。特に90年代のIT革命後はその勢いを急進展させた。それは情報そのものがビジネス化させることでもあった。また金そのものがサイバー上でやり取りできるシステム、物の販売においても、居ながらにして購入できる通信販売など既存の店頭販売ビジネスを凌駕するまでになっている。よって現在のビジネスはいかに個人情報を含めて、大量に集めるが勝負のカギを握るとも言われるほどであり、個人情報そのものが金銭的価値を大きく膨らませてしまった。規制、ルール、マナーを逸脱した個人情報のビジネス利用はプライバシー保護の観点からも、個人の諸権利の侵害、不利益を被るまで発展してしまった。
そこで個人情報保護、プライバシー保護の声を上げたのがOECD（経済開発協力機構＝加盟国現在先進国30カ国）だった（情報先進国・米国は1960年代にすでに初歩の個人情報保護法制定）。1990年代半ばに交付されたOECD（個人情報保護に関する）8原則がそれである。8原則とは(1)収集制限、(2)データ内容、(3)目的の明確化、(4)利用制限、(5)安全制度、(6)公開、(7)個人参加、(8)責任―などとなっている。
わが国においては1998年消費者保護法案が提案され、その視点から個人情報保護規定が研究され、成果としてプライバシーマーク（以下Pマーク）制度がスタートしている。翌年には国家規格JIS Q15001が制定され、その内容がPマークの中に盛り込まれた。
さらに2003年には正式に｢個人情報保護に関する法律｣（個人情報保護法）が国会で成立（施行は2005年）、その規定との整合性をとったJIS改訂版が交付（JIS Q15001：2006年版）されている。Pマークはこうした流れを中心に実施団体である（財）日本情報処理開発協会（JIPDEC）が独自のガイドラインを策定、JIS Q15001：2006とJIPDECの双方を組み合わせて審査基準を設けている。
Pマークの認定機関は（社）情報サービス産業協会や（社）中部産業連盟のほか10団体。同制度がスタートして約13年。これまでPマークの認定を受けたのは1万3000事業所となっている。しかし、10年以上を経過したころから問題、不満の声が聞かれるようになった。わが国の個人情報保護規定があまりに厳しすぎて企業活動を萎縮させているのではないか。それと、Pマーク自体も大企業を対象とした為、経営資源の豊富な大企業であれば所得費用、維持コストもそれほど負担にはならないが、中小・零細企業にとって大きな負担となる。また、大企業側からは、最近の個人情報漏洩の事故がサプライチェーンの末期などから流出している事から、情報管理、処理などの発注先に対してPマーク取得企業のみに限定し、それ以外を締め出す動きも出てきた。
そうした中小企業の声に対応したのが経済産業省。JISQ15001 2006を基本とするのは同じだが新たな2004年、｢個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン｣（経済産業省ガイドライン）を策定、二度の改定（2008年、2009年）を経て、新たな中小企業向け個人情報保護法認証マーク制度を作った（認証制度のスタートは2008年）。その名称は（特定非営利活動法人）日本個人・医療情報管理協会（JAPHIC）が認証団体になった事からJAPHICマークという。
ではPマークとJAPHICマークにどんな違いがあるのかというと、Pマークが個人情報保護法（JIS Q15001：2006）と経済産業省ガイドライン、JIPDECガイドライン｣（一部非公開）の｢しなければならない｣および｢望ましい｣事項をほぼ全て網羅しているのに対し、JAPHICマークは個人情報保護法および経済産業省ガイドラインの「しなければならない」事項を網羅しているのは同じだが、｢望ましい｣事項の中から事業者の業務内容、規模などに合ったものを選択する事ができるという、中小企業向けの第三者認証制度になっている。
企業で個人情報保護マーク（PMS）の第三者認証を得るまでのステップを見ると、基本的にはキックオフ宣言に始まって(1)社員教育、(2)PMS運用実施、(3)内部監査、(4)内部監査是正処置、(5)書類作成、(6)申請、(7)審査、(8)審査指摘事項に対する対応処置―を経て合格すればマーク付与となる事はPマークもJAPHICマークも違いがない。しかし前述したように事業規模や内容に応じてJAPHICマークは選択できるようになっているほかPマークでは義務付けられている、対象のあらゆる領域におけるリスク分析によるリスクマネジメント体制の確立、情報システムなど安全管理に関しての導入、システム危機のモニタリング監視などがあるが、JAPHICマークではこの3項目はオプションとなっている。
費用の点でPマークとJAPHICマークを比較するとPマークは総額で300万以上かかるのに対し、JAPHICマークは約半分の180万円以上となっている。体制整備の間接費用を除いた直接費（新規取得時）を見ると、JAPHICマークは規模別に大中小と3分類されており、大規模企業（従業員51名以上）が申請料5万円、審査料15万円、年会費10万円となっている。中規模企業（10〜50名）が申請料5万円、審査料10万円、年会費7万円の合計22万円、また小規模企業（9名以下）が申請料5万円、審査料5万円、年会費5万円の合計15万円となっている。
また、更新時費用は大規模企業が申請料1万円、審査料11万円、年会費10万円の合計22万円、中規模が申請料1万円、審査料7万円、年会費7万円の計15万円、小規模が申請料1万円、審査料3万円、年会費5万円の計9万円となっている。
新規認証取得の初期直接費をPマークでみると約60万円、更新時費用（2年間）が45万円以上かかることから、JAPHICマークがいかにコスト負担が軽いかが分かる。そのほかにJAPHICマークには、自己認証的なJAPHIC会員マーク制度がある（初期取得費用3万円程度、期間1週間）。
一方、キックオフからマーク認証取得までの期間を比較するとPマークが最低でも1年程度（平均2年）かかるのに対しJAPHICマークは現在半年〜1年となっている。よっていかに経営リソースに乏しい中小・零細企業（金、コスト、時間が少なくて済む）に配慮した制度かが分かる。しかし、まだ制度がスタートして間もないため認証取得事業体の数は100社程度に留まっている。

３．PマークとJAPHICマークの審査基準の相違点

両マーク制度（PMS）ともに基本的構成は(1)個人情報保護規定、(2)個人情報保護マニュアル、(3)個人情報保護様式、(4)記録―の4領域で成り立っている事に違いはない。しかし、PマークはJISQ15001 2006を基準に、またJAPHICマークが経済産業省ガイドラインを基準においているため、安全管理措置第三者提供の2分野で相違がある。その相違点を定義と考察の両面が2つのマーク制度の内容と狙いを比較してみたい。
Pマークの安全管理措置の定義：｢事業者はその取り扱う個人情報のリスクに応じて、漏洩、滅失または棄損の防止その他の個人情報の安全管理のために必要且つ適切な措置を講じなければならない｣と定めている。
JAPJHICマークの安全管理措置の定義：｢人的安全管理措置、組織的安全管理措置、技術的安全管理措置、物理的安全管理措置｣の4つのカテゴリーに分けられ、講じなければならない事項が定められている。さらにそれぞれの事項を実践する為に望まれる手法まで記載されている。
Pマークの同考察：具体的にどのようにすればよいか、という事は定められておらず、コンサルタントと経験や審査員の審査基準にかかわっており、それによって合否結果が変わってくる傾向がある。
JAPHICマークの同考察：具体的手法を例示しているため、事業者が取り組める手法を自ら選択する事ができる。そのため保護体制構築後においても今後目指す体制に参考にできる配慮がある。
Pマークの第三者提供の定義：事業者は個人情報を第三者に提供する場合には、予め本人に対して取得方法および、(1)事業者の氏名、(2)提供目的、(3)個人情報に関する管理者の氏名、(4)提供する項目、提供先の組織名など、(5)個人情報取り扱いに関する契約がある場合はその旨―など、これらの事項またはそれと同等以上の事項を本人に通知し、本人の同意を得なければならない。
JAPHICマークの第三者提供の定義：個人情報取得業者は提供に当たり予め(1)第三者の提供を利用目的とすること、(2)第三者に提供される個人データの項目、(3)第三者への提供の手段または方法、(4)本人の求めに応じて第三者への提供を停止する事―これらの事項を本人に通知または本人が用意に知り得る状態（ホームページや事務所の入り口など）に置いており、本人の求めに応じて第三者への提供を停止する場合、第三者への個人データを提供する子ができる（第三者提供におけるアウトプットという）。
Pマークにおける同考察：本人の同意のない第三者提供は原則禁止となっている。なお共同利用するために提供する場合は本人に通知または公表する事で本人の同意を得なくとも共同利用することができる。しかし、共同利用する目的で提供を受けた情報を利用し、本人に直接接触する場合には本人の同意が必要となる。具体的には(1)原則として本人の同意がない個人情報の収集・利用は禁止、(2)予め本人からの同意を得る措置を講じる事が原則―となっている。
JAPHICマークにおける同考察：「（不特定多数への）第三者提供」において、オプトアウトを行っている場合は、本人の同意を得たものとみなす事ができ、個人データや第三者に提供する事ができる。
「（限られた範囲での）共同利用」においては、共同利用する旨を通知または本人が用意に知り得る状態に置いている場合、共同利用することができる。具体的には(1)取得・利用に際して必ずしも本人の同意は必要としていない、(2)本人の求めがあった場合に後から第三者提供を停止する措置をとることができる―ようになっている。
JAPHICマークは以上の考察から分かるように、後発故に簡便に使いやすいように組み立てられている。特に個人事業主やフリーランスなど情報を多く扱う小規模事業者にとって取り組みやすい制度となっている。