個人情報について適切な保護措置を講ずる体制を整備している企業に対して認証されるプライバシーマーク、いわゆるPマークを取得している企業は、今や16,603社（2021年3月現在）に上り、個人情報を扱う企業のスタンダードといってよいほどの認知を誇ります。

新規でPマークの認証を取得しようとすると、しっかりとした管理体制やマニュアル化などの対応が必要なため、どうやったら取得できるのか、何から手を付けたらよいのか、という声をききます。一方、苦労して認証を取得した企業なら、マニュアル通りの運用管理方法や2年ごとの更新申請の対応など、担当する人材の社内体制を含めて継続した運用をどう対応していけばよいのか……などと、頭を悩ませている企業も多いではないでしょうか。

そんな悩みを抱える総務担当者の方々のために、今回はPマークやISO認証に精通した認証パートナーの小林氏にPマークの取得・更新・運用に関する総務担当者の課題やその解決方法について解説していただきます。

Pマークにまつわるさまざまな課題

貴社には多くのPマークに関するお問い合わせが寄せられるかと思いますが、どんな課題が多いのでしょうか？

Pマークについての課題はさまざまですが、集約すると以下のような項目があげられます。

●専任者の異動・退職で困っている
●規程や文書が複雑でシンプルにしたい
●更新審査の際の指摘に対応しきれない

これは、新たにPマークを取得する時に「Pマークをとること」を目的にコンサルがルールを作ってしまっていることや、Pマークに真面目に取り組んできた結果、複雑になってしまったことが原因です。その結果、多くの企業では、数少ない専任者にPマークの運用を任せてしまって属人的になっていることで、不具合が起きているケースが多いようです。

例えば、Pマーク担当者を他部署に異動させたいが後任がいなかったり、退職などであわてて引き継いだことでうまく運用できていなかったりといったケースはよくあります。

また、Pマークの運用において、全社員の個人情報への理解を促しつつ、また、分かりやすい行動指針を示すことを目的として、従来の規程や運用マニュアルなどの関連文書のスリム化を図りたいと思っても、社内にノウハウがなく、どうやったらいいのか皆目見当がつかないといったお悩みを聞くこともあります。

さらに、更新審査の際に指摘された事項について、どう改善すればよいのかといった課題についても、多くの相談を受けています。

課題に対する解決方法は？

確かにそのような状況になったら担当者は大変ですね。そのような課題について、本来どのように対応するべきでしょうか？

過去の過剰な認証のための仕組みをすべて一新し、次のステージにいくためのPマーク運用を作ることです。

一般的に各企業ではどのように対応されるのですか？

一般的には、社内のPマーク担当者が自力で解決しようとされる企業が多いと思います。その際は、インターネット検索で解決法を調べたり、あるいはセミナーに参加したりするなどして、なんとか解決できないかと奮闘されているという声を聞きます。

お金をかけずに自社内で解決ですか。でも工数がかかるし、内容が正しいかどうかも不安ですよね……。

はい。そのため、外部のコンサル会社にサポートを依頼したり、関連業務をアウトソースしたりする企業もあります。その場合は、コンプライアンス的にも問題ありませんし、個人情報の漏洩におびえながら業務を遂行する必要がなくなることから、安心感が生まれます。

外部にコンサルティングやアウトソースをお願いした場合、コストがとても高い印象があります。

金額の感じ方はそれぞれですが、社内で対応した場合の工数や人件費とそれがどの程度削減できるかを考えれば、外注コストが決して高いわけではありません。

例えば、下表を見ていただくと分かるのですが、管理者の時給を3,000円とした場合、社内ですべて対応したとすると年間1,569時間必要で、これを費用に換算すると500万円以上もかかってしまうことになります。

こうしてみると、Pマークに関わる業務は非常に多岐にわたりますね。この時間の全部または一部が削減できるなら外注しても費用対効果はよさそうですね。でも、一部ではコンサル会社に依頼してもうまく工数が削減できなかったという話も聞きます。外注先を選ぶ際のポイントや注意点を教えてください。

プライバシーマーク（Pマーク）の取得や運用を外部に任せるには、まずはきちんとした経験値、ノウハウを持っているかを見極めることが大切です。中には、請け負ったものの、実際のペーパー作業は行政書士などへ下請けに出すといったコンサル会社なども見受けられます。

また、口頭のアドバイスだけをして作業は対応してもらえないコンサル会社や、テンプレートを提供するだけで終わってしまうコンサル会社も大きな工数の削減につながらないので注意が必要です。

その上で、それぞれの企業が抱えている課題や実態に沿ったアドバイスをしてもらえるかが選択のカギとなります。例えば、先述の「規定や文書が複雑でシンプルにしたい」という課題であれば、それに対する具体的な解決策が提案できるかといったところが、見極めのポイントです。

そのほかにも、「審査員がコンサルします」というコンサル会社には注意が必要です。なぜなら、審査に通すことだけが目的になってしまって、がちがちのマネジメントシステムとなってしまうことが多く、運用が重たくなり、結局必要のない過剰なセキュリティルールに縛られ、従業員の負担になってしまうからです。

また、「1年で自社運用できます」という甘い言葉を鵜呑みにするのはNGです。1年で表面上のルールだけ作成し、現場の実務とマッチしないものとなってしまうこともあります。その後、総務担当者もルールを守らなければいけない現場も、大変な苦労をすることになります。

上記のような点に注意したうえで外部に委託したとしても、作業工数は減らせると思うのですが、逆に社内にノウハウが蓄積されないという懸念もあります。
いえ、そこはやり方次第ですね。作業を自分たちで行うとノウハウが溜まるというのは案外理にかなっていません。書類作成の作業に時間を割かれ、個人情報の漏えいを防ぐための活動の時間がなくなり、疎かになってしまうからです。

運用サポートを頼む場合は、社内にノウハウを貯めるためのコンサルティングをしてくれるのは大前提として、書類作成やルーティンワークの部分をアウトソースできる業者を選定し、個人情報の漏えいを防ぐための活動の時間を捻出することが大切です。

最適な外部委託サービスは？

今回お話をお聞きした小林氏が所属する認証パートナーでも、従業員100名以上の企業の多くが抱えている課題の解決に役立つPマーク取得・運用サポート「PマークNEXT」を提供しています。

 

「PマークNEXT」は、Pマークの対応に悩む総務担当者にとってありがたい特徴が多数カバーされています。

●支援実績3,000社以上

●Pマークの取得や更新ができなかった場合、全額返金保証

●自社対応に比べ約97％工数削減

●専任者1名を雇うよりも安いコストで、ムリ・ムダをカット

 
「PマークNEXT」の詳細はコチラ！
 

新規取得時の相談はもちろんのこと、担当者の異動や退職などで困った際や、更新審査の際の指摘事項への対応に困った際など、多くの課題への対応が可能です。

まとめ

Pマークの取得・更新・運用にまつわる課題は、大企業にとってもやっかいな問題です。自社内であれこれ悩むより、面倒な課題をスムーズに解決してくれる外部委託サービスを導入することも解決への近道です。

多くの導入実績を誇り、高い課題解決力を持った認証パートナーの「PマークNEXT」なら、低コストで適切な個人情報保護マネジメントシステムの運用が可能となります。

Pマークの取得や更新でお困りのことがある際は、あれこれと悩む前に一度認証パートナーに相談してみてはいかがでしょうか。

 
「PマークNEXT」の詳細はコチラ！