プライバシーマーク

個人情報をきちんと扱う事業者かどうかを、契約相手や住民が外から見分けるにはどうすればよいか。その目印の一つがプライバシーマークで、個人情報保護マネジメントシステムの規格JIS Q 15001に適合していると審査機関が認めた事業者だけが、ロゴ（Pマーク）の使用を認められる。認定は2年ごとの更新制で、運用が形骸化していないかが繰り返し点検される。

この制度が実務で効くのは、業務委託先の選定場面である。住民情報を扱う業務を外部に委託する際、委託先のセキュリティ体制を一から審査するのは負担が大きいため、PマークやISMS認証の取得を入札参加要件や仕様書の条件に掲げることで、最低限の管理水準を担保する。

ただしマークの取得は管理体制が存在することの証明にとどまり、漏えいが起きないことを保証するものではない。委託先がPマークを持っていても、契約上の安全管理措置の取り決めや、再委託の制限、定期的な委託先管理を省いてよいことにはならない。マークは出発点であって到達点ではないと捉える必要がある。