１．『プライバシーマーク（Pマーク）は意味がない』と言われる理由

プライバシーマークを取得して運用している企業の方に話を聞くと、お悩みをお持ちのケースが多くあります。

「業務と関係ない書類作成や日程調整などのタスクがたくさんある…」
「正直コツコツ運用が出来なくて、更新申請を行うタイミングや審査の前にまとめて書類を作っている…」
「コンサルからもらった雛形でプライバシーマークのルールを作ったが、会社で実際に取り組んでいることと乖離しており、形だけになっている…」

こういう声が絶え間なく上がっているため、「プライバシーマークは取得・運用しても意味がないのではないか？」と言われてしまう理由であると思われます。

個人情報を守る仕組みの一つであるプライバシーマーク（Pマーク）を取得している企業からこのような声が生まれるのはなぜでしょうか？

考えられる理由は大きく３つあります。

①規格要求事項でやらなければいけないことがある

プライバシーマーク（Pマーク）を取得する際は「個人情報保護マネジメントシステム－要求事項（JIS Q 15001）」に沿ったルール作りが求められます。
つまり、すでに決められている規格要求事項に沿ってやるべきことが決まっていきます。

この規格要求事項に書かれている内容は、どんな企業でも、規模にかかわらず対応しなければなりません。

「うちの会社ではこんなこと当てはまらない」
「規格要求事項上では必要なルールだけどプライバシーマークを取得してから１度も使っていない書類がある」
「うちの会社の規模ではそこまで必要ないのにやらなければいけない」

どのような企業に対しても対応できる要求事項を作っているものの、こういう声が出てきてしまうのです。

②お客様からの要求で変化する

プライバシーマーク（Pマーク）で対応すべきルールは、自社だけで決められるものではありません。
大きく分けて以下４つの観点でルール作りが行われます。

• プライバシーマークの規格要求
• 法律上の要求
• 自社の要求
• お客様からの要求

つまり、自社だけの判断ではルールが決められないのです。

特に重要になってくるのが、お客様からの要求です。
お取引を行う上で求められるセキュリティ環境や情報管理が出てくる場合、自社だけで判断できず、要求に合わせた対応が必要になります。

③社内ルールとあわせて作る必要がある

プライバシーマークを取得する際、コンサル会社に渡された雛形に沿ってルールを作った場合、社内ルールと重複する無駄なルールが生まれる可能性があります。

また、「本当はやりたくないけれど渡された雛形に書いてあるから」という理由でそのままルールを採用していることはないでしょうか。

社内ルールに合わせてプライバシーマークのルールを作らなければ、自社に合わない手間なルールが発生してしまいます。

２．そもそもプライバシーマーク（Pマーク）の必要性とは？

企業がプライバシーマークを必要とする理由はいくつかあり、以下があげられます。

1. 取引先や顧客からプライバシーマークを取ってほしいといわれた
2. 契約条件にプライバシーマークの取得が含まれていた
3. 入札の条件になっている、入札に加点される
4. 競合他社との差別化を図りたい
5. 自社のブランディングを行いたい
6. 自社の体制を整えて、従業員の情報セキュリティ意識を向上させたい
7. エンドユーザーが安心して自社のサービスを使えるという指標になるようにしたい

プライバシーマークは、取得後のメリットもあります。

1. 審査機関という第三者機関から、個人情報保護体制が整っているという明確な認証をもらえる
2. 今まで何となくやっていた業務や社内ルールを文書化して明確にできた
3. 社内でのセキュリティ面のチェック体制ができた
4. 従業員の情報セキュリティに対する意識、リテラシーの向上が出来た
5. 取引先要件、入札要件に入っていた為、新規の顧客・案件を獲得することができた
6. これまで気づかなかった社内の情報漏洩リスクに気づき対策を打つことができた

通常業務に付随してプライバシーマークの活動をするのであれば、ただ取得するという目的だけではなく、実際に社内の活動の見直しや、社内の新しい情報セキュリティ脆弱性を発見し対処していく機会に出来るとよいです。

また、プライバシーマークを維持するためには、2年に1回審査機関の審査を受け続けないといけません。
こういった機会も、外部の第三者機関にチェックしてもらえるいい機会ととらえると、社内の改善にも使うことが出来ますね。

プライバシーマークが必要かどうかを検討する際に、話題にあがりやすいのが、プライバシーマークに似た規格、情報セキュリティに関する規格ISO27001（ISMS）があります。
そちらとの違いについてはこちらの記事をご覧ください。

＞【結論】どっちを取得するのがいい！？PマークとISMSの違いを徹底比較！

３．プライバシーマーク（Pマーク）の取得企業は増えています

プライバシーマークの取得件数は年々増加傾向にあります。

プライバシーマーク制度は1998年（平成10年）4月、一般財団法人日本情報経済社会推進協会（JIPDEC）が運用をはじめました。
制度開始当初は58社と少なかったですが、その10年後の2008年には10,000社を越える企業がPマークを取得しています。

また、昨年は過去最多の17,480社が取得しており、個人情報保護について関心が高まる昨今、ますますプライバシーマークの取得企業は増加の傾向にあると考えられます。

４．結論：プライバシーマーク（Pマーク）には意味があります！

２．そもそもプライバシーマーク（Pマーク）の必要性とは？でも述べたように、プライバシーマーク取得にはメリットがたくさんあります。
取得には時間や費用はかかりますが、「個人情報保護の体制を確立している企業」と認識してもらえるというメリットがあります。

プライバシーマークを取得するためには、規格が求める基準に合致する必要があり、社内での個人情報管理体制を整える基準として活用することも有効でしょう。

プライバシーマークを取得することのメリットについては下記のコラムでもまとめておりますので、よろしければご覧ください。

＞プライバシーマーク(Pマーク)取得のメリット・デメリット

５．プライバシーマーク（Pマーク）の効果的な取得・運用方法

では、プライバシーマークを効果的に取得・運用するためにはどのようにすればいいでしょうか。

今回は大きく3つのポイントに分けて解説します。

①自社にあった無理のないルールを作る

「せっかくプライバシーマーク（Pマーク）を取るから」と背伸びした無理なルールを作っていませんか？

理想を描きすぎる、審査で何も言われないようなルール作り等をした場合、実態にそぐわず形だけのプライバシーマークになってしまうリスクが生まれます。

プライバシーマーク（Pマーク）は取得して終わりではなく、２年に１回の審査があります。
長く続けられそうな、無理のないルール作りを行いましょう。

②わからないときは外部にアドバイスを求める

プライバシーマーク（Pマーク）のルールを作る場合、どのようなルールが適切か、また規格要求事項で求められるか、自社だけでは判断できないケースが多いです。

時には外部に相談できるアドバイザーを置くことも重要になります。

コンサルタントなどのアドバイザーは、多くの取得事例・運用事例を知っているので、貴社に合ったルール作りや運用方法を教えてくれるでしょう。

③面倒な部分をアウトソースする

プライバシーマーク（Pマーク）を取得する際、資料の作成やマニュアルの作成に、多くの社内工数が発生します。
「社内で資料を作る時間がもったいない」「人員も時間も足りない」という場合は、アウトソースを有効活用するのも1つの手です。

あくまで情報提供は自社から、資料作成のような作業をアウトソースするイメージです。
情報提供をしながら、気づいた点をうまく有効活用することで、自社の強みや弱みも確認することができます。

当社は、規格要求で求められているマニュアル作成などの社内工数を出来る限り0に近づけることをミッションに、サービスの運営をしております。
当社のサービスにご興味をお持ちの方は、ぜひサービスのページもご覧ください。より詳しく記載しております。

まとめ

プライバシーマークの運用がすべて意味がないわけではありません。運用方法を工夫したり、外部コンサルタントの力を借りて、本当に注力しないといけないことを社内で考え、取り組む仕組みを構築するなど、活用方法でプライバシーマークを意味のあるものにしていくことができます。

本当に社内で時間、工数を割くべき箇所はどこでしょうか。改めて考えていただき、自社の方針に合った運用が出来ると良いですね。

迷った方、見直しを検討されている方は、気軽にお問い合わせ頂ければと思います。

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン
  相談予約

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン相談予約