2021年12月15日
プライバシーマークは意味がないと言われることがあります。プライバシーマークを維持するために必要な書類の作成ばかりが先行し、実際に個人情報保護に関する取り組みが置いて行かれるというケースが発生することがあるためです。
しかし、プライバシーマークのすべてに意味がないわけではありません。社内の中でどのように運用し、活用していくかが重要になります。
1.『プライバシーマーク(Pマーク)は意味がない』と言われる理由
プライバシーマークを取得して運用している企業の方に話を聞くと、お悩みをお持ちのケースが多くあります。
「業務と関係ない書類作成や日程調整などのタスクがたくさんある…」
「正直コツコツ運用が出来なくて、更新申請を行うタイミングや審査の前にまとめて書類を作っている…」
「コンサルからもらった雛形でプライバシーマークのルールを作ったが、会社で実際に取り組んでいることと乖離しており、形だけになっている…」
こういう声が絶え間なく上がっているため、「プライバシーマークは取得・運用しても意味がないのではないか?」と言われてしまう理由であると思われます。
個人情報を守る仕組みの一つであるプライバシーマーク(Pマーク)を取得している企業からこのような声が生まれるのはなぜでしょうか?
考えられる理由は大きく3つあります。
①規格要求事項でやらなければいけないことがある
プライバシーマーク(Pマーク)を取得する際は「個人情報保護マネジメントシステム-要求事項(JIS Q 15001)」に沿ったルール作りが求められます。
つまり、すでに決められている規格要求事項に沿ってやるべきことが決まっていきます。
この規格要求事項に書かれている内容は、どんな企業でも、規模にかかわらず対応しなければなりません。
「うちの会社ではこんなこと当てはまらない」
「規格要求事項上では必要なルールだけどプライバシーマークを取得してから1度も使っていない書類がある」
「うちの会社の規模ではそこまで必要ないのにやらなければいけない」
どのような企業に対しても対応できる要求事項を作っているものの、こういう声が出てきてしまうのです。
②お客様からの要求で変化する
プライバシーマーク(Pマーク)で対応すべきルールは、自社だけで決められるものではありません。
大きく分けて以下4つの観点でルール作りが行われます。
- プライバシーマークの規格要求
- 法律上の要求
- 自社の要求
- お客様からの要求
つまり、自社だけの判断ではルールが決められないのです。
特に重要になってくるのが、お客様からの要求です。
お取引を行う上で求められるセキュリティ環境や情報管理が出てくる場合、自社だけで判断できず、要求に合わせた対応が必要になります。
③社内ルールとあわせて作る必要がある
プライバシーマークを取得する際、コンサル会社に渡された雛形に沿ってルールを作った場合、社内ルールと重複する無駄なルールが生まれる可能性があります。
また、「本当はやりたくないけれど渡された雛形に書いてあるから」という理由でそのままルールを採用していることはないでしょうか。
社内ルールに合わせてプライバシーマークのルールを作らなければ、自社に合わない手間なルールが発生してしまいます。
2.そもそもプライバシーマーク(Pマーク)の必要性とは?
企業がプライバシーマークを必要とする理由はいくつかあり、以下があげられます。
- 取引先や顧客からプライバシーマークを取ってほしいといわれた
- 契約条件にプライバシーマークの取得が含まれていた
- 入札の条件になっている、入札に加点される
- 競合他社との差別化を図りたい
- 自社のブランディングを行いたい
- 自社の体制を整えて、従業員の情報セキュリティ意識を向上させたい
- エンドユーザーが安心して自社のサービスを使えるという指標になるようにしたい
プライバシーマークは、取得後のメリットもあります。
- 審査機関という第三者機関から、個人情報保護体制が整っているという明確な認証をもらえる
- 今まで何となくやっていた業務や社内ルールを文書化して明確にできた
- 社内でのセキュリティ面のチェック体制ができた
- 従業員の情報セキュリティに対する意識、リテラシーの向上が出来た
- 取引先要件、入札要件に入っていた為、新規の顧客・案件を獲得することができた
- これまで気づかなかった社内の情報漏洩リスクに気づき対策を打つことができた
通常業務に付随してプライバシーマークの活動をするのであれば、ただ取得するという目的だけではなく、実際に社内の活動の見直しや、社内の新しい情報セキュリティ脆弱性を発見し対処していく機会に出来るとよいです。
また、プライバシーマークを維持するためには、2年に1回審査機関の審査を受け続けないといけません。
こういった機会も、外部の第三者機関にチェックしてもらえるいい機会ととらえると、社内の改善にも使うことが出来ますね。
プライバシーマークが必要かどうかを検討する際に、話題にあがりやすいのが、プライバシーマークに似た規格、情報セキュリティに関する規格ISO27001(ISMS)があります。
そちらとの違いについてはこちらの記事をご覧ください。
>【結論】どっちを取得するのがいい!?PマークとISMSの違いを徹底比較!
3.プライバシーマーク(Pマーク)の取得企業は増えています
プライバシーマークの取得件数は年々増加傾向にあります。
プライバシーマーク制度は1998年(平成10年)4月、一般財団法人日本情報経済社会推進協会(JIPDEC)が運用をはじめました。
制度開始当初は58社と少なかったですが、その10年後の2008年には10,000社を越える企業がPマークを取得しています。
また、昨年は過去最多の17,480社が取得しており、個人情報保護について関心が高まる昨今、ますますプライバシーマークの取得企業は増加の傾向にあると考えられます。
4.結論:プライバシーマーク(Pマーク)には意味があります!
2.そもそもプライバシーマーク(Pマーク)の必要性とは?でも述べたように、プライバシーマーク取得にはメリットがたくさんあります。
取得には時間や費用はかかりますが、「個人情報保護の体制を確立している企業」と認識してもらえるというメリットがあります。
プライバシーマークを取得するためには、規格が求める基準に合致する必要があり、社内での個人情報管理体制を整える基準として活用することも有効でしょう。
プライバシーマークを取得することのメリットについては下記のコラムでもまとめておりますので、よろしければご覧ください。
5.プライバシーマーク(Pマーク)の効果的な取得・運用方法
では、プライバシーマークを効果的に取得・運用するためにはどのようにすればいいでしょうか。
今回は大きく3つのポイントに分けて解説します。
①自社にあった無理のないルールを作る
「せっかくプライバシーマーク(Pマーク)を取るから」と背伸びした無理なルールを作っていませんか?
理想を描きすぎる、審査で何も言われないようなルール作り等をした場合、実態にそぐわず形だけのプライバシーマークになってしまうリスクが生まれます。
プライバシーマーク(Pマーク)は取得して終わりではなく、2年に1回の審査があります。
長く続けられそうな、無理のないルール作りを行いましょう。
②わからないときは外部にアドバイスを求める
プライバシーマーク(Pマーク)のルールを作る場合、どのようなルールが適切か、また規格要求事項で求められるか、自社だけでは判断できないケースが多いです。
時には外部に相談できるアドバイザーを置くことも重要になります。
コンサルタントなどのアドバイザーは、多くの取得事例・運用事例を知っているので、貴社に合ったルール作りや運用方法を教えてくれるでしょう。
③面倒な部分をアウトソースする
プライバシーマーク(Pマーク)を取得する際、資料の作成やマニュアルの作成に、多くの社内工数が発生します。
「社内で資料を作る時間がもったいない」「人員も時間も足りない」という場合は、アウトソースを有効活用するのも1つの手です。
あくまで情報提供は自社から、資料作成のような作業をアウトソースするイメージです。
情報提供をしながら、気づいた点をうまく有効活用することで、自社の強みや弱みも確認することができます。
当社は、規格要求で求められているマニュアル作成などの社内工数を出来る限り0に近づけることをミッションに、サービスの運営をしております。
当社のサービスにご興味をお持ちの方は、ぜひサービスのページもご覧ください。より詳しく記載しております。
まとめ
プライバシーマークの運用がすべて意味がないわけではありません。運用方法を工夫したり、外部コンサルタントの力を借りて、本当に注力しないといけないことを社内で考え、取り組む仕組みを構築するなど、活用方法でプライバシーマークを意味のあるものにしていくことができます。
本当に社内で時間、工数を割くべき箇所はどこでしょうか。改めて考えていただき、自社の方針に合った運用が出来ると良いですね。
迷った方、見直しを検討されている方は、気軽にお問い合わせ頂ければと思います。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ