【まとめ】初めてプライバシーマーク(Pマーク)の取得をご検討のあなたが「知っておくべき4つのこと」

【まとめ】初めてプライバシーマーク(Pマーク)の取得をご検討のあなたが「知っておくべき4つのこと」

初めてプライバシーマーク(Pマーク)担当者になったあなたが知っておくべきことが4つあります。

1.プライバシーマーク(Pマーク)を取得する意味やメリット
2.プライバシーマーク(Pマーク)を取得するための期間
3.プライバシーマーク(Pマーク)を取得するための費用
4.プライバシーマークを無理なく取得するポイント

上記4点は、プライバシーマーク(Pマーク)の取得を検討し始めたら必ず確認しておくべきポイントですので解説します。

1.プライバシーマーク(Pマーク)を取得する意味やメリット

取得する意味やメリットをお話しする前に、そもそも「プライバシーマーク制度」とは何かご存知でしょうか?

プライバシーマーク制度とは、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。

簡単に言うと、プライバシーマーク制度というのは、
「JIS規格という基準に沿って個人情報の保護体制を取っている企業や団体にプライバシーマークを付与します。そして、取得したプライバシーマークを企業や団体のアピールに使っていいですよ」
という制度です。

プライバシーマークを取得することで、その企業や団体の社会的信用への動機付けとなり、さらにはそこで働く人々の個人情報保護に対する意識付けの道具となることから、現在、1万4千社を超える企業や団体などの「事業者」がプライバシーマークの付与認定を受けています。

つまり、大きくまとめると、企業にとってプライバシーマークを取得する意味やメリットは、会社の信用獲得及び従業者の個人情報保護の意識付けの2点にあると言えます。

また、官公庁の入札を希望する企業や団体の方にとっても、プライバシーマークは大きなメリットになります。
企業によって上記2つ以外の意味やメリットを持ちますので、その他の意味やメリットのについては、以下のWEB講座にて確認してください。

2.プライバシーマーク(Pマーク)を取得するための期間

コンサルタント等の力を使わず、自社だけでプライバシーマークを新規取得しようとする場合、準備期間を含め実質的なプライバシーマーク(Pマーク)取得までの平均期間は1年~2年くらいと言われています。
あなたが今からプライバシーマークの新規取得の準備をスタートすると、うまくいけば来年の今と同じ時期に認定付与されるということです。

尚、具体的には以下のステップでプライバシーマーク(Pマーク)を取得することになります。
参考「個人情報保護マネジメントシステム実施のためのガイドライン-第2版-

ステップ01:個人情報保護方針を定め文書化する
ステップ02:PMS 策定のための組織を作る
ステップ03:PMS 策定の作業計画を立てる
ステップ04:個人情報保護方針を組織内に周知する
ステップ05:個人情報を特定する
ステップ06:法令、国が定める指針その他の規範を特定する
ステップ07:個人情報のリスクを認識し、分析し対策を検討する
ステップ08:必要な資源を確保する
ステップ09:PMSの内部規程を策定する
ステップ10:PMSを周知するための教育を実施する
ステップ11:PMSの運用を開始する
ステップ12:PMSの運用状況を点検し改善する
ステップ13:PMSの見直しを実施する
ステップ14:申請書を作成・提出する
ステップ15:文書審査
ステップ16:現地審査
ステップ17:審査結果の通知
ステップ18:プライバシーマーク使用契約の締結
ステップ19:プライバシーマーク使用許諾事業者の公表
※自社取得の場合、このステップ1から19までの期間が大体1年から2年間ということ。

少しでも短期間でプライバシーマーク(Pマーク)を取得したい方は、是非ホリデーコンサルティングのセミナーに参加してください。
楽に早く取得するポイントをプライバシーマーク(Pマーク)取得セミナー限定でぶっちゃけています。

3.プライバシーマーク(Pマーク)を取得するための費用

プライバシーマークを取得するためにどれだけの費用がかかるのでしょうか?

プライバシーマークを取得するためにかる費用は以下となります。
1.プライバシーマーク申請料、審査料及び付与登録料
2.設備投資費
3.人件費
4.コンサルティング費用(コンサルティングを利用する場合)

会社規模、業種、個人情報の保有数、管理方法、従業者数などが影響してきますが、

50名程度の事業規模の会社様でコンサルタントを雇わず自社でプライバシーマークを新規取得した場合、
プライバシーマーク(Pマーク)を取得するための費用は、ざっくり300万円くらいかかります。
※従業者数:50名、取得までの期間:1年半、設備投資費用:10万円で想定

もし、御社が少しでも安くプライバシーマーク(Pマーク)を新規取得したいと思うのであれば、コンサルタントを雇うことをおすすめします。

え?コンサルタントを雇う方が高くなるんじゃないの?って思われる方もいらっしゃるかと思いますが、実は、コンサルタントを雇った方が総額では安くなる可能性があります。

上記のケースで、コンサルタントを雇って新規取得した場合
プライバシーマーク(Pマーク)を取得するための費用は、ざっくり230万円くらいになります。
※従業者数:50名、取得までの期間:半年、設備投資費用:10万円。コンサルタント費用80万円で想定

約70万円が費用が圧縮されたことになります。
費用が安くなった大きな理由は、コンサルタントを雇うことによりプライバシーマーク(Pマーク)を取得するまでの期間が大幅に短くなっていると点です。

コンサルタントを雇わず自社でプライバシーマークを新規取得する場合、取得までの期間は大体1年から2年間くらいかかります。
その1年から2年間のプライバシーマーク担当者の人件費を考えると、コンサルタントを雇ってでも短期間で取得したほうが最終的な取得費用は安くなります。
詳細は下記WEB講座を参考にして下さい。

さらに、もし御社が助成金に該当する市区町村に所在する企業・団体であれば、更なるコストの軽減が可能ですので合わせて助成金についても確認しておきましょう。

4.プライバシーマーク(Pマーク)を無理なく取得するポイント

プライバシーマーク取得をする為には、「個人情報保護マネジメントシステム」を構築する必要がありますが、簡単に言えば、個人情報保護マネジメントシステムを構築するとは、「個人情報が漏洩しにくいルールを作る」ということです。(※「しない」ルールではなく、「しにくい」ルールです。個人情報漏洩を完全に防ぐことは不可能です。)

例えば、皆様が他社に訪問したときに来客受付票を記載したことはございませんでしょうか?
来客受付表は来訪者管理と言う目的で利用し、「個人情報保護マネジメントシステム」=「個人情報が漏洩しにくいルール」の一般的な安全管理措置の一つです。

この「個人情報保護マネジメントシステム」=「個人情報が漏洩しにくいルール」をどのように作るかによって、プライバシーマーク取得の難易度が大きく変わります。
「個人情報が漏洩しにくいルール」を無理のないルールとすることが、プライバシーマークを無理なく取得するポイントになります。

重要なポイント
「個人情報を漏洩しにくいルール」を作る上で、重要なポイントが3つあります。

それは、「①自社で運用できるルールであること。」「②見直し改善できる仕組みであること。」「③JIS Q 15001の基準を満たすこと。」の3点です。
特に1番目をうまく理解できていないと必要のないルールを作ったり、ルールは作ったが結局運用できなくなったりすることになります。

プライバシーマークを取得するためには、「個人情報が漏洩しにくいルールを作る」必要があるとお伝えしましたが、当然ですが、そのルールは運用できなければ意味がありません。
作ったはいいが、誰もそのルールを守れないでは意味がないのです。

個人情報保護マネジメントマニュアル(=ルールブック)の見直しをさせて頂いているとよくわかるのですが、いざルールを作ったが、運用できていないルールと言うものが数多く存在します。

例えば、ある会社のルールブックでは、「USBメモリの利用は禁止する」「ノートパソコンの持ち出しは禁止する」と書かれていましたが、実際に会社に訪問してみると、USBメモリを利用されていますし、営業の方は当然のようにノートパソコンを持ち出していました。

担当に確認してみると、確かに禁止するルールを作ったが、USBメモリ利用やノートパソコンの持ち出しが出来ないと仕事にならないので、黙認していますというお話でした。

なぜそのようなルールが出来てしまったかと言うと、USBメモリやノートパソコンを万が一紛失してしまった場合のリスクしか考えていないからです。
もっと言えば、漏洩リスクをなくさないとプライバシーマークが取得できないと考えてしまっているため、出来もしない禁止するルールを作ってしまったのです。

初めにも言いましたが、「漏洩しない」ルールを作る必要はなく(そもそもそれは不可能です)、「漏洩しにくい」ルールを作るのがプライバシーマークを取得するために必要なものです。

USBメモリ利用やノートパソコンの持ち出しが出来ないと仕事にならないのであれば、USBメモリは利用する。ノートパソコンは持ち出す。を大前提としてルールを作らないと絶対に運用できないルールになってしまいます。
USBメモリは利用する。ノートパソコンも持ち出すことを前提にどのように個人情報の漏洩リスクを軽減させる(=漏洩しにくくする)かを考えればいいのです。
それで充分にプライバシマークは取得できます。

「漏洩してはダメ」→「じゃあ禁止しよう」とするのではなく、漏洩しにくくするルール、例えば、今まで利用していたUSBメモリとは違い、
①セキュリティロックを掛けることが出来るUSBメモリに変更しよう。
②決められたパソコンにしか反応しないように設定しよう。
③セキュリティ面の高いUSBメモリを新たに購入するお金がないので、USBメモリに入っている個人情報のファイル自体にパスワードを付けるルールにしよう。
といった「現在の運用よりも」漏洩しにくいであろうルールを考えて、その内から自社で運用できるルールを選択すればいいのです。

プライバシーマークの規格書である「JIS Q 15001」を見てもらえばわかりますが、
JIS Q 15001には、実際に個人情報を保護するルールについて、細かく具体的ところまで記載されていません。

例えば、JIS Q 15001「安全管理措置」はこのように書かれています。
「事業者は、その取り扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じなければならない。」

ただ、これだけです。個人情報のリスクに応じて適切な措置を講じなさいと書いてあるだけです。

JIS Q 15001には、具体的に「USBメモリは個人情報漏洩の危険性が高いので使ってはならない」など、記載されていないのです。

つまり、「個人情報のリスクに応じて適切な措置」の具体的、詳細な運用ルールについては、自社に合ったルールで自由に定めることが出来るのです。
個人情報を漏洩しない仕組みを作るのではなく、より漏洩しにくいルールを会社独自で作成すれば良いのです。

つまり、プライバシーマーク(Pマーク)を無理なく取得するポイントとは、(運用できたとしても)セキュリティルールの難易度を上げ過ぎないということです。

なぜなら、セキュリティルールと業務の利便性は、シーソーの関係であると言えます。
個人情報保護の為にセキュリティ面を重視すると、セキュリティに関する作業量が増えるので業務に対する利便性は下がります。

先ほどの事例では、セキュリティ面を重視するばかりに、USBメモリ利用やノートパソコンの持ち出しを禁止するという業務の利便性を大きく損なう形となりました。

例えば、セキュリティ対策の為にメールを送る際に添付ファイルにパスワードをつけて送るようにしますと、パスワードをつける手間と先方にパスワードを伝える手間が増えます。
逆に業務効率性だけを考えますと、もちろんパスワードなしが一番効率的だと言えます。
ただし、それではセキュリティ対策として不十分なものになってしまい、業務の利便性は上がるかもしれませんが、セキュリティレベルは下がります。

まさにセキュリティルールの難易度と業務の利便性はシーソーの関係と言えます。
それゆえに、セキュリティルールの難易度を上げ過ぎず、背伸びをしない運用ルールを作って行くことがプライバシーマーク(Pマーク)を無理なく取得するコツです。

Pマーク取得セミナーを開催します
 

Pマークは難しいと誤解していませんか?

Pマークの取得を検討している方の多くが、Pマークについて誤解をしています。実はPマークの取得は決して難しいものではありません。

コンサルタントとして本当は教えたくない「Pマークって実はこうすれば楽にかんたんに取得できる方法」について解説します。

セミナーの詳細や日程については下記よりご参照ください。

The following two tabs change content below.
酒井 教彰

酒井 教彰

2003年より大手コンサルティング会社所属コンサルタントとしてプライバシーマーク及びISO規格コンサルティング携わり、2010年以降、独立コンサルタントとして数多くのプライバシーマーク取得に携わる。 現在までに導入から取得まで一貫して携わったプライバシーマークコンサルティング実績350社以上。 30代コンサルタントとして国内トップクラスの実績を持つ。 大手会社のコンサルティングをメインとしてた会社所属コンサルタント時代とは違い、自身が中小企業経営者の立場となった経験を踏まえ、業務の忙しい中小企業でも「片手間で、兼業担当者1人いれば取得できる」スリム化されたコンサルティングをモットーとしている。

コメントする

*
*
* (公開されません)