コラム

第三者認証「CLIPマーク」と「TRUSTe」の違いとは?


第三者認証制度は、自組織ではなく外部の第三者による客観的な指標で審査・承認されることで、自組織が客観的に見て信頼性が高いということをアピールできるメリットがあり、情報セキュリティ分野でも広く取り入れられています。

IT分野における第三者認証制度にはいくつか有名なものがありますが、ここでは「CLIPマーク」と「TRUSTe」について取り上げます。両者はそれぞれどういった特徴があり、どのように違うのでしょうか。

CLIPマークとTRUSTeの特徴

まず、「CLIPマーク」と「TRUSTe」の特徴について見ていきましょう。

CLIPマーク

認定個人情報保護団体である「中小企業個人情報セキュリティ推進協会」が、個人情報を取り扱う事業者が正しく情報を管理・活用しているかを審査・認定する制度です。この制度では、企業内で個人情報を扱う問題のない体制が構築され、運用が正しく行われていることを審査するものです。

TRUSTe

1997年に米国で生まれた認証制度であるTRUSTeは、主にWebサイトに着目した個人情報の保護についての審査・認証制度です。この制度は第三者機関であるTRUSTeが、OECD(経済協力開発機構)のプライバシーガイドラインに基づいて審査をするもので、Webサイトについて、より実戦的な内容での審査や認証が行われます。

CLIPマークとTRUSTeの違い

前項の特徴を表にまとめると以下のようになります。

認証制度 CLIPマーク TRUSTe
審査基準 「中小企業個人情報セキュリティ推進協会」の基準 OECDのプライバシーガイドライン
保護対象 事業者が扱う個人情報全般 Webサイトに関連した個人情報など
対外効果 企業・消費者にアピール 消費者にアピール

ここまでで「CLIPマーク」と「TRUSTe」の概要についてはお分りいただけたのではないでしょうか。

では、改めてこれら2つの認証制度の違いについて見ていきましょう。もちろん、「CLIPマーク」が日本で始められたもので、「TRUSTe」が米国発祥の認証制度であるなどといった制度としての違いはあります。その他の違いについて詳しく見ていきましょう。

審査基準が違う

「CLIPマーク」は「中小企業個人情報セキュリティ推進協会」のガイドラインに基づいて審査されていますが、「TRUSTe」はOECDのプライバシーガイドラインに基づいて審査されています。

対象が違う

「CLIPマーク」は主として対象を事業者が取り扱う個人情報としています。これに対して、「TRUSTe」では、主にWebサイトに特化して、Webサイト上で扱われる個人情報が安全かつ適切に取り扱いがなされているということを証明するものとなっています。

アピール対象が少し違う

「CLIPマーク」は、消費者と取引先企業の両方に対して取得事業者が適切に個人情報を扱い管理していることをアピールするものです。これに対して、「TRUSTe」は、Webサイトを利用したり訪れたりする個人の消費者が安全に個人情報を扱っているサイトを判断することができる指標となっており、企業ではなく主に消費者に対してアピールするものとなっています。

“個人情報全体”か”個人情報を扱うサイト”か

こういった表などから見える違いを踏まえて、改めて「CLIPマーク」と「TRUSTe」の違いを整理すると以下のようになります。

  • 「CLIPマーク」が個人情報全般を扱うのに対して、「TRUSTe」では、個人情報を扱うWebサイトを対象としていること
  • 「CLIPマーク」が消費者と取引先企業の両方をアピール対象としているのに対して、「TRUSTe」では、主に消費者個人を対象としていること

このように「CLIPマーク」と「TRUSTe」は審査を行う組織や、発祥が日本か米国かという違いはさておいて、「個人情報全体か、個人情報を扱うサイトか」という情報を扱う範囲が大きく違うこと。そして、「CLIPマーク」が取引先の企業と消費者の両方を対象にして、企業のアピールにつながるのに対して、「TRUSTe」は主にサイトを訪問する消費者に対して安全性を証明し、アピールするためのものとなります。

まとめ

「CLIPマーク」と「TRUSTe」は、いずれも社外の第三者機関によって個人情報の取り扱いや正しい管理・活用に関する審査や認証が行われる第三者認証制度であるという点では、共通したものとなっていますが、この2つの実際の対象や範囲はかなりの違いがあることがお分りいただけたのではないでしょうか。

組織として情報セキュリティ体制の強化に取り組み、個人情報の適切な管理を行うとともに、外部に対してそれをアピールしていく必要がある中、さまざまな第三者認証制度をうまく活用していくことは今後ますます重要になっていくことは間違いありません。

その中で大切なことは、自分の組織にとって必要な制度や認定を確実に選択して、利用・取得していくことです。第三者認証制度の取得を目指す際にはこのことを念頭に置いておいてください。