2021年7月5日

プライバシーマーク(Pマーク)は意味がないのでしょうか?と聞かれることがあります。
なぜプライバシーマークの取得・維持に意味がないと言われるのでしょうか。
それは、「やることが増えてしまった」「審査前にまとめて準備している」などと、運用を負担に感じてしまっているからだと考えられます。
しかし、プライバシーマーク全て意味がないわけではありません!うまく運用し、活用することが重要になります。
1.『プライバシーマーク(Pマーク)は意味がない』と言われる理由
プライバシーマークを取得して運用している企業の方に話を聞くと、お悩みをお持ちのケースが多くあります。
「業務と関係ないタスクがたくさんある…」
「結局、更新申請を行うタイミングや審査の前にまとめて書類を作っている…」
「コンサルからもらった雛形でプライバシーマークのルールを作ったが、会社でやっていることと乖離しており、形だけになっている…」
「プライバシーマークは意味がない」と言われてしまうのは、こういった声がなくならないからでしょう。 では、なぜプライバシーマーク(Pマーク)を取得している企業からこのような声が生まれるのでしょうか?
大きく3つの理由があります。
①規格要求事項でやらなければいけないことがある
プライバシーマーク(Pマーク)を取得する際は「個人情報保護マネジメントシステム-要求事項(JIS Q 15001)」に沿ったルール作りが求められます。
つまり、すでに決められている規格要求事項に沿ってやるべきことが決まっていきます。
この規格要求事項に書かれている内容は、どんな企業でも、規模にかかわらず対応しなければなりません。
「うちの会社ではこんなこと当てはまらない」
「規格要求事項上では必要なルールだけどプライバシーマークを取得してから1度も使っていない書類がある」
「うちの会社の規模ではそこまで必要ないのにやらなければいけない」
どのような企業に対しても対応できる要求事項を作っているものの、こういう声が出てきてしまうのです。
②お客様からの要求で変化する
プライバシーマーク(Pマーク)で対応すべきルールは、自社だけで決められるものではありません。
大きく分けて以下4つの観点でルール作りが行われます。
・プライバシーマークの規格要求
・法律上の要求
・自社の要求
・お客様からの要求
つまり、自社だけの判断ではルールが決められないのです。
特に重要になってくるのが、お客様からの要求です。
お取引を行う上で求められるセキュリティ環境や情報管理が出てくる場合、自社だけで判断できず、要求に合わせた対応が必要になります。
③社内ルールとあわせて作る必要がある
プライバシーマークを取得する際、コンサル会社に渡された雛形に沿ってルールを作った場合、社内ルールと重複する無駄なルールが生まれる可能性があります。
また、「本当はやりたくないけれど渡された雛形に書いてあるから」という理由でそのままルールを採用していることはないでしょうか。
社内ルールに合わせてプライバシーマークのルールを作らなければ、自社に合わない手間なルールが発生してしまいます。
2.だけどプライバシーマーク(Pマーク)が必要になるのはなぜ?
上記のように、プライバシーマークを取得・運用に関して様々な不満の声を聞くことがあります。
また、自社だけでは取得が難しいため、審査費用以外にもコンサルティング費用や社内の人件費等、コスト面での負担も発生します。
それでも、プライバシーマークの取得企業は増え続けています。
取得企業の多くは、何らかの必要性を感じているからでしょう。
例えば以下のような理由です。
・取引先からプライバシーマークを取ってほしいといわれた
・契約条件にプライバシーマークの取得が含まれていた
・入札の条件になっている、加点がある
・競合他社との差別化を図りたい
入り口は自社から率先して取りに行くというよりは、間接的な必要性を感じることが多いです。
とはいえ、プライバシーマークの審査を受けることでメリットもあります。
・審査員という第三者の目線から会社を見てもらえる
・今まで何となくやっていた業務や基準を明確にできた
・社内でのセキュリティ面のチェック体制ができた
せっかく2年に1回の審査を受けるなら、うまく活用できるポイントを探すのがかしこい運用と言えるでしょう。
プライバシーマークと同情報保護に関する規格ISMS(ISO27001)との違いについてはこちらの記事をご覧ください。
3.結論:プライバシーマーク(Pマーク)って本当に意味がないの?
つまり、プライバシーマーク(Pマーク)は意味がないわけではありません、メリットも多くあります。
ただし、自社にあったルール作りをしっかりと行わない限り、形だけの意味のないものになりかねないのも事実です。
自社の規模、環境、業種、働き方等、様々な観点を考えながらルール作りを行うことで、プライバシーマーク(Pマーク)を有効に活用することができます。
4.プライバシーマーク(Pマーク)の効果的な取得・運用方法
では、プライバシーマークを効果的に取得・運用するためにはどのようにすればいいでしょうか。
今回は大きく3つのポイントに分けて解説します。
①自社にあった無理のないルールを作る
「せっかくプライバシーマーク(Pマーク)を取るから」と背伸びした無理なルールを作っていませんか?
理想を描きすぎる、審査で何も言われないようなルール作り、等をした場合、実態にそぐわず形だけのプライバシーマークになってしまうリスクが生まれます。
プライバシーマーク(Pマーク)は取得して終わりではなく、2年に1回の審査があります。
長く続けられそうな、無理のないルール作りを行いましょう。
②わからないときは外部にアドバイスを求める
プライバシーマーク(Pマーク)のルールを作る場合、どのようなルールが適切か、また規格要求事項で求められるか、自社だけでは判断できないケースが多いです。
時には外部に相談できるアドバイザーを置くことも重要になります。
コンサルタントなどのアドバイザーは、多くの取得事例・運用事例を知っているので、御社に合ったルール作りや運用方法を教えてくれるでしょう。
③面倒な部分をアウトソースする
プライバシーマーク(Pマーク)を取得する際、どうしても資料の作成やマニュアルの作成が必要になります。
「社内で資料を作る時間がもったいない」「人員も時間も足りない」という場合は、アウトソースを有効活用するのも1つの手です。
あくまで情報提供は自社から、資料作成の作業をアウトソースする形です。
情報提供をしながら気づいた点をうまく有効活用することで、自社の強みや弱みも確認することができます。
まとめ
このように、プライバシーマークが意味がないわけでありません。
せっかく取得・維持するのであれば、自社に合った効果的なルール作りを行い、工夫しながら運用していきましょう。
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ