「プライバシーマーク(Pマーク)を取得するとどんないいことがあるの?」
「取得する上で具体的にどんな取り組みが必要になってくるの?」
プライバシーマーク(Pマーク)制度は、個人情報の取り扱いに関して、組織として取り組んでいることを対外的に公表できるものですが、具体的なところになると、漠然とした印象のみお持ちかもしれません。
本記事では、プライバシーマークの取得を検討している担当者の方々に向けて、Pマークのメリットやデメリットを解説し、Pマークとよく比較されるISMS(情報セキュリティマネジメントシステム)との違いについても詳しく解説していきます。
プライバシーマークの取得のメリット
プライバシーマーク取得は、企業にとってさまざまなメリットをもたらします。ここでは、主要なメリットを3つに分けて詳しく解説します。
1. 顧客(消費者/取引先)からの信頼向上
個人情報の取り扱いに対する意識が高まる現代では、顧客は自社がどのような個人情報保護の取り組みを行っているかを重視しています。第三者機関によって認定されたPマークがあることで、顧客は安心して御社との取引を行えるでしょう。また特に法人の取引先ではこの傾向が顕著であり、「Pマークを持ってくれてると取引しやすい」というような要望をされる場合もあると思います。
2. ビジネスチャンスの拡大
上記の通り、信頼向上によりビジネスチャンスの拡大につながることももちろんですが、さらに大手企業との取引の場合や、自治体や官公庁の入札の場合には、Pマーク取得が前提条件であったり、加点の対象とされるケースが増えています。Pマーク取得は、競争優位に働き、受注数の増加やビジネス範囲の拡大につながります。
3. コンプライアンスとセキュリティの向上による事業の安定化
近年、個人情報を漏洩したり、適切でない取り扱いをすることは、企業の存続に大きな影響を与える問題となっています。Pマーク取得の過程では、これらのリスクに対処するための対策が講じられます。適切な個人情報の取り扱いと従業員の意識向上により、リスクを事前に回避し、長期的な事業の安定を図ることができます。
以上のメリットからもわかるように、プライバシーマーク取得は企業にとって重要な投資となります。個人情報保護の取り組みを強化し、企業の信頼性とビジネスチャンスを高めましょう。
プライバシーマークの取得のデメリット
プライバシーマーク取得には多くのメリットがありますが、一方でデメリットも存在します。以下では、そのデメリットと対処方法について解説します。
1. 日常的な運用と、2年ごとの審査対応に工数が発生する
Pマークの取得後、規程や台帳などの定期的な見直しや、全社員教育、全部署監査を行うなどして、毎年PDCAサイクルを回す必要があります。また、2年ごとに更新審査を受けなければなりません。これらにそれなりの工数が発生するのは事実です。
2. コンサル費用や審査費用が発生する
Pマークを取得する際には、専門のコンサル会社を頼ることが多いと思われます。コンサル費用は通常は成功報酬とされ、一定の金額がかかります。また取得審査、更新審査のたびに審査料金が発生します。会社の経営状態や方針により、これらの費用を「会社をよくするための費用」と考えられる企業と、まったくそうは考えられない企業が出てくると思われます。
3. 日本オリジナルの制度である
Pマークは日本のJIS規格に基づく国内限定の認証制度であり、主なターゲットを日本の個人情報保護法に置いています。グローバルなビジネスでは国際規格であるISO27001(ISMS)の方が認知度が高く、またそのアドオン規格であるISO27701(PIMS)は、欧州のGDPRをはじめとする世界の個人情報保護法制をターゲットにしており、親和性が高いといえます。
このように、Pマークの取得にはデメリットも存在しますが、コンサルタントから適切な助言を受けることでメリットを最大限活用できると考えます。
プライバシーマークとISMSの違い
プライバシーマークとISMSは、それぞれ異なる規格に基づく情報保護の認証制度です。下記でそれぞれの特徴や違いを明らかにし、どのような企業に向いているかを考察します。
| Pマーク | ISMS | |
| 規格 | JIS規格(日本産業規格)ISQ15001に準拠 | ISO規格(国際規格)ISO27001に準拠 |
| 対象 | 個人情報のみ | 個人情報+企業の持つ情報資産全て |
| 要求 | 個人情報保護法より少し厳しい基準で個人情報を取り扱うことを要求 | 情報の機密性・完全性・可能性を高めることを要求。 |
| 認証範囲 | 法人全体を対象とする(組織の一部だけでは取得できない) | 自由に対象組織を選択できる(法人全体ではなくても、部署限定でも取得できる) |
| 取得後の審査の頻度 | 更新審査(2年に一度) | 継続審査(毎年)更新審査(3年に1度) |
| セキュリティ対策 | 個人情報のリスク評価に基づいて、費用対効果を考えながら合理的なセキュリティ対策を実施することが求められる。 | リスク評価の結果、用意された93の管理策の中から当てはまるものを適用して、リスクを引き下げることが求められる。 |
このように、個人情報の取扱いに焦点を当てたのがプライバシーマーク、情報セキュリティ全体に焦点を当てたのがISMSといえます。
個人情報の取扱いが多く、個人情報保護法の対応もしっかりやりたい場合には、プライバシーマークが適していると考えられます。一方で、個人情報の取り扱いはそれほど多くはないものの、情報セキュリティの取り組みをしっかりとやりたいという場合には ISMSが適しているといえましょう。
業種的には、プライバシーマークがIT企業だけはなく、広告系、人材系、不動産系など、サービス業全体に広がりを見せているのに対して、ISMSはやはりIT企業が多いです。
さらに、プライバシーマークが全社でしか取得できないのに対して、ISMSは部署限定で取得できるため、大企業が一部の部門だけで取得するのにはISMSの方が有利です。
このような情報をもとに、自社に適しているのはプライバシーマーク・ISMSのいずれなのかを判断していただければと思います。テーマが異なる制度ですから、最終的には両方を取得するケースも多くあります。
プライバシーマーク取得までのステップ
プライバシーマークを取得するためには、大きく分けて下記の8つのステップが存在します。
- 現状調査:社内に存在する個人情報や、個人情報の取扱いの委託先を洗い出したり、現状調査を行います
- 規程作成:社内運用のためのルールやマニュアルを作成します
- 社内運用:作成した規程を元にPDCAサイクルを回します
- 社員教育:ルールの浸透のために研修等を実施します
- 内部監査:運用している規程がプライバシーマークの水準に達しているかどうかを確認します
- マネジメントレビュー:代表者による規程の見直しを行います
- 審査:文書審査、現地審査の二段階の審査が行われます
- 認証取得:審査に合格すると、認証が与えられます
通常、コンサルタントに依頼した場合でも、この全てのステップを通過して、プライバシーマークを取得するのに、半年から1年ほどかかります。
コンサルタントに依頼するべきか、自力取得するべきか
プライバシーマーク取得を検討する際、「専門のコンサル会社に依頼すべきか、自社で取得すべきか」という問題がしばしば議論されます。自社で取得を検討する場合、以下のいくつかの質問に答えることで、最適な方法を見つけることができます。
Q.取得まで1年以上の時間を要しても問題ないか?
プライバシーマーク取得にはコンサルタントの助言を得ても、半年から1年程度かかります。自力取得の場合には、1年以上の期間がかかることを覚悟する必要があります。
Q.独力で学ぶことができるか?
プライバシーマークを自力取得するには、JIS規格や審査基準を熟読し、それを正しく満たすことが必要です。多少難解な文書を読み取って、自社に適用できる能力が求められます。
Q.経験者に相談することができるか?
すでにプライバシーマークを取得した会社の担当者に教えてもらえる、前職でプライバシーマークを取得した経験者がいて相談できるなど、経験者に相談できるのであれば、そこである程度役立つ情報を得られる可能性があります。
Q.審査で多数の指摘を受けても対応できるか?
プライバシーマークの審査では、かなり細かな部分までチェックされ、指摘されます。自力で取り組んだ場合には、作成した社内規程に何か所も見直して再度承認が必要になったり、内部監査をしたのにもう一回やり直し、というような試行錯誤に対応する必要があります。
これらの質問に対し、1つでも「NO」が出る場合、専門のコンサルタントに相談することを検討してください。
プライバシーマーク取得が難しい企業
これまでプライバシーマーク取得の具体的な手順やメリットについて説明してきましたが、いくつかのケースでは取得が難しいことがあります。注意が必要な企業は以下の通りです。
(1)外国法人(日本の法律に基づいて営業所登記している場合は除く)
(2)役員に次のような状況がある企業
- 個人情報保護法や行政手続法に違反して刑罰が確定し、その執行終了から2年を経過していない者
- その他の法令に違反し、禁錮以上の刑に処せられ、その執行終了から2年を経過していない者
- 暴力団関係者やその他反社会的勢力に関連する者
(3)付与機関が指定する業種、業態、サービス等
- インターネット異性紹介事業に関する法律に違反する場合
- 風俗営業等の規制及び業務の適正化等に関する法律に規定される性風俗関連特殊営業を行う企業
(4)プライバシーマーク制度に対する一般の信頼を毀損すると判断される事業活動を行う企業
これら以外にも、過去1年以内に重大な個人情報漏洩事件などを起こした場合には、審査を受けられない場合もあります。プライバシーマーク取得を検討する企業は上記にあたることがないかよく確認してください。
まとめ
信頼性の高いプライバシーマーク取得に関して詳しく解説しました。自社で取得を進めることも選択肢の一つですが、予想以上に時間と労力がかかることが予想されます。
オプティマ・ソリューションズでは、Pマーク取得のためのコンサルティングサービスや、Pマーク専門のE-Learningなどを提供しています。御社が最も効率よく、最大のメリットを享受できるノウハウを豊富に揃え、腕利きコンサルタントが多数おります。東京、大阪、名古屋と拠点を展開しており、企業がプライバシーマークを早期に取得することを目指して迅速に対応しています。最短4ヶ月で取得した事例もありますので、ぜひお声がけください。
