TRUSTe認証マークのまとめ
ポイントサイトなどお小遣い稼ぎ系のサイトを利用するとき、登録した個人情報が適切かつ、安全に管理されているかというのは利用者側からすれば気になるところだと思います。
そういった個人情報の管理が徹底されているか、基準通りに守られているかといったことを審査してもらう制度にプライバシーマーク制度というものがあるのはよく聞くところだと思いますが、それとは別にTRUSTe認証マーク制度なるものも存在しています。
TRUSTe認証と言われても個人的にはあまりピンとこなかったのですが、プライバシーマークと同じ第三者による個人情報の審査制度となっていて、基本的な考え方としては同じようなものみたいです。
ですが細かく見ていけばプライバシーマークとも色々と違いがあるようなので、TRUSTe認証マークはどのようなもので、プライバシーマークとどんな違いがあるのかについて、付け焼刃程度にですがまとめてみます。
詳しい内容はTRUSTeの公式サイトの方にも記載されています。
→TRUSTe認証マーク
TRUSTe認証マークとは
TRUSTe認証は、簡単に言えば個人情報がちゃんと守られているかということを審査して、OKなら認証マークを掲載してもいいですよ、という制度です。
認証マークは↓のようなマークです。
「TRUSTe」は「TRUST(信頼)」+「e(電子商取引)」の2つのワードが組み合わさったもので、電子商取引には信頼が大事だという考え方から1997年にアメリカで生まれた制度になってます。
プライバシーマークが始まったのが1998年頃になってるので、時期的には同じくらいですね。
日本では一般社団法人日本プライバシー認証機構(JPAC)が運営していて、審査対象の事業者がOECD(経済協力開発機構)プライバシーガイドラインという個人情報に関する基準に沿って、個人情報の管理が徹底されているかを見ているようです。
具体的には個人情報を扱う事業者のウェブサイトなどに掲載されているプライバシーステートメントと呼ばれる約束事の内容が、ちゃんとガイドラインに沿った内容になってるのか、その内容が本当に守られているのかといったことを審査しているとのことです。
プライバシーステートメントと言うと、「個人情報は指定された用途以外には利用しない」とか「個人情報を厳重に管理している」といったある種お決まりのような文言が記載された取り決めのようなものですが、確かにそれを宣言していても確実に守られているという保証はどこにもないので、ちゃんと第三者によってチェックされるというのはユーザーにとっては重要なことだと思います。
TRUSTeで認証されたウェブサイトは、トップページにTRUSTe認証マークやプライバシーステートメントへのリンクを張る必要があるので、そこに記載されている個人情報に関する内容は保証されているということです。
TRUSTe認証マーク取得の流れ
TRUSTeマークを取得するには通常TRUSTe認証の審査パートナー企業のコンサルティングを受けるのが一般的で、主に以下の4ステップに分かれているようです。
①自己査定書の作成
自己査定書というのはTRUSTe取得対象のウェブサイトが個人情報に対してどのような管理や対策をしてるかを自己診断するための書類です。
チェック項目は以下のようなものがあります。
- どのような情報をサイトから収集しているか
- 収集した個人情報をどのように扱っているか
- 第三者へ委託することがあるか
- セキュリティ対策はできているか
②プライバシーステートメントの作成
プライバシーステートメントという個人情報保護に関する考え方や基本的な方針を決めていきます。
プライバシーマークやTRUSTe認証マークを取得するしないに関わらず、個人情報を扱う事業者であればこういった方針を決めるのはもはや必須とも言えます。
プライバシーステートメント作成については、主に以下のような内容が盛り込まれて作成されているかと思います。
- 取得する個人情報の内容
- 個人情報を取得する組織の名前
- 取得した個人情報の利用目的
- 個人情報の第三者への提供について
- 個人情報を紛失や乱用、漏洩などを防ぐために行っている安全策の内容
- 苦情や相談への対応方法
③現地審査
作成したプライバシーステートメントや自己査定書などの書類と、現状のウェブサイトの運営に整合性が取れているかといったことを実際に審査します。
この現地審査の結果、不備が発見されたり、適切でないと判断されたとしてもそこでTRUSTeマークが取得できなくなるというわけではなく、指摘を受けた点について適切に修正を実施することができたら、無事にTRUSTeマークを取得することは可能だということです。
④TRUSTe認証
プライバシーステートメントの内容や、現地審査の結果、対象のウェブサイトがライセンシーに適合すると判断された場合、TRUSTeマークをウェブサイト内に掲載することが認証されます。
プライバシーマークとの違い
TRUSTe認証マークとプライバシーマークは第三者による個人情報管理の認証制度という基本的なところは同じで似ている制度だと思いますが、細かく見ていくとTRUSTeにはプライバシーマークにはない様々な特徴があります。
認証は申請したサイトに対して行う
プライバシーマークは企業などの事業者全体の個人情報の取り組みに対して認証を行うものであるのに対し、TRUSTeマークは申請したウェブサイトで個人情報が適切に取り扱われているかを認証するものになっています。
プライバシーマークは全体的なイメージで、TRUSTeマークはウェブサイトを通じて取得した個人情報の取り扱いに限定されるということですね。
サイトを通して入力した登録情報であったり、ポイントサイトなら交換に必要な情報であったり、ショッピングサイトなら購入履歴とか購入に必要な情報といった内容が対象になっていますので、オンライン上でのやり取りが多いネットショップのウェブサイトなどで取得することが多いみたいです。
またウェブサイト認証以外でも、スマートフォンアプリごとに認証を行うスマホアプリ認証なる方法も存在します。
ユーザーに重点を置いた制度
TRUSTeマークはオンライン上で得た個人情報の取り扱いに関しての認証制度になっていますので、そういったウェブサイトやスマホアプリの利用者(ユーザー)に重きを置いた制度と言えます。
逆にプライバシーマークは企業全体の個人情報の取り組みに対する認証であるため、ユーザーというよりその企業と取引をする会社や企業に対してアピールできるという面が強いと見られます。
日本プライバシー認証機構に苦情を言うことができる
TRUSTeマークには、Watchdog(ウォッチドッグ)プログラムという苦情解決のための仕組みがあります。
TRUSTeを取得したウェブサイトなどを利用しているユーザーは、個人情報の取り扱いについてそのサイトに問題があると思ったときや、プライバシーステートメントが守られていないと感じたときに、そのサイトではなくTRUSTeを運営している日本プライバシー認証機構(JPAC)に苦情が言えるようになっています。
日本プライバシー認証機構はその苦情を受け付けて、ユーザーと対象サイトの間に入って迅速に問題を解決できるように動いてもらえます。
3ヶ月に1回チェックされる
TRUSTeを取得したサイトは取得したらそれで終わり、というわけではなく、取得後も3ヶ月に1回は定期的なチェックを受けることになっています。
サイトレビューを行ったり、実際にそのサイトから登録してみたりして、プライバシーステートメントが守られているか常に監視しているということです。
そのチェック結果によっては、改善要求を出したり、TRUSTeマークを剥奪される場合もあったりということなので、プライバシーマークと比べるとチェック体制は厳しいものになっていて、利用者側からしたらより安全な利用が可能になってると思います。
日本に限定されていない
プライバシーマークは基本的に日本国内においての認証制度という面が強いですが、TRUSTeマークはアメリカで誕生したということもあり、日本に限らず、アメリカやEU、アジアなどグローバルに利用することが可能になっています。
ライセンス料、取得費用の違い
TRUSTeを取得する際にはかかる料金はライセンス料、コンサルティング費用、審査費用などがあり、コンサルティング費用や審査費用は審査パートナーによって異なってくるようです。
ライセンス料については対象企業の年間の売上高によって変わるようになっています。
年間の売上 | 年間のライセンス料 |
---|---|
0~1億円 | 72,000円 |
1億円~5億円 | 96,000円 |
5億円~10億円 | 120,000円 |
ちなみにプライバシーマークの取得は企業の事業規模によって30万円~120万円ほどになっています。
取得にかかる期間の違い
TRUSTeマークはコンサルティングから取得まで約2~3ヶ月となっていて、プライバシーマークの半年~1年というのに比べると、取得期間は短くなっています。
また更新期間についてもTRUSTeは1年ごとの更新で、プライバシーマークの2年ごとの更新と比べると短くなっているようです。
TRUSTe認証マークを取得しているサイト
お小遣い稼ぎ系のサイトで言えばプライバシーマークを取得している企業の方が多い印象ですが、ちょびリッチはTRUSTeマークを取得していて、トップページにもマークが表示されています。
TRUSTe認証マークのまとめ
TRUSTeマークはよくプライバシーマークと一緒に名前が挙がっていますが、どちらを取得していた方がいいということはなく、取得対象の企業がどういった用途や目的でアピールしたいのかによって変わってくるのだと思います。
利用ユーザーに対してアピールしたい場合や、そこまで費用や時間をかけずに取得したい場合、申請サイトをグローバルに対応させたい場合などはプライバシーマークよりTRUSTeマークの方が向いていそうです。
逆に会社単位で個人情報の取り扱いに問題がないことをアピールしたい場合や、運営しているウェブサイトが複数あってそれら全てで個人情報の取り扱いがきっちりできているということ示したい場合などはプライバシーマークの方が合ってるような気がします。
運営しているサイトが複数あって1つ1つでTRUSTeマークを取得しようと思ったら、それだけ費用や時間も取られますし、運営しているサイトの数によっても判断が分かれそうです。
個人的に利用者側の目線から見ると、TRUSTeマークがサイトに表示されていた方が更新期間も短く、チェックも定期的にされているので、より信頼できそうな印象は持てます。
ただどちらにせよ第三者による個人情報管理の認証制度であるという点は同じで、取得するために一定の費用や時間がかかったり、厳しい審査の結果取得していたりするという点を考えると、そのサイトに対してある程度の安心感を持って利用することができそうです。
まあ取得しているからといって、絶対大丈夫というわけではないので、ある程度ユーザーからのチェックも必要になってくるのだとは思います。