みんなが気になる「プライバシーマーク取得にかかる費用」

プライバシーマークを自社で取得した場合の費用相場は、約200万円から500万円と考えられます。
プライバシマークを自社で取得した場合の費用は主として人件費のみです。
その人件費の具体的な計算方法は以下のようになります。

①自社取得の場合、準備期間を含め実質的なPマーク取得までの平均期間は1年~1年半。
②体制構築に関与する担当者の人数平均は2~3名。
③担当者のプライバシーマーク構築の平均関与時間は1日1~2時間(所定労働8時間)
④個人情報保護管理者は、課長以上が約95%

 ★自社取得の場合の人件費コストは?
月給×関与人数×取得月数×8分の2時間
Ex)35万×2人×12か月×8分の2時間=約200万

以上が審査費用を含めるとトータルの取得金額と言えます。
(審査費用は、小規模事業者30万円、中規模事業者60万円、大規模事業者120万円となります。)

※もっと安く取得する方法を詳しく知りたい方は、是非無料ダウンロードを。

        
セミナー案内
詳細東京
詳細横浜
詳細大阪
    でも、そもそも私たちの会社はプライバシーマークが取得できるの?
    コンサルティングをお願いした場合のサービス内容は?    
   

 

プライバシーマークを取得する為に具体的に行うべきことは?

プライバシーマーク取得をする為には、上記のブルー項目のように「個人情報保護マネジメントシステム」を構築する。この一言に尽きます。
でも、初めてPマークを取得しようと考えている方であれば、個人情報保護マネジメントシステムを構築してくださいと言われても、うまくイメージできないのではないでしょうか?
簡単に言えば、個人情報保護マネジメントシステムを構築するとは、「個人情報を漏洩しにくいルールを作る」ということです。(※「しない」ルールではなく、「しにくい」ルールです。個人情報漏洩を完全に防ぐことは不可能です。)
例えば、皆様が他社に訪問したときに来客受付表を記載したことはございませんでしょうか?来客受付表は部外者の侵入を防ぐ意味でも、万が一漏洩した時にその日の来客者の確認をする意味でも重要なルールとなり、個人情報を漏洩しにくいルールの一般的なものの一つと言えます。

「個人情報を漏洩しにくいルールを作る」上で、重要なポイントが3つあります。
それは、「自社独自の基準で運用できること。」「見直し改善できる仕組みであること。」「JIS Q 15001の基準を満たすこと。」の3点です。
特に1番目をうまく理解できていないと必要のないルールを作ったり、ルールは作ったが結局運用できなくなったりすることになります。

良く質問で受けるのが、プライバシーマーク取得には「扉に電子錠が必要ですか?」「USBメモリの使用は禁止ですか?」「教育訓練は一斉にする必要ありますか?」などがありますが、 答えとしては必要ありませんし、禁止する必要もありませんとお答えしています。

上にも書きましたが、「自社独自の基準」=会社でルールを作れば良いのです。扉は開けっ放しでもかまいません。USBメモリも使ってください。教育訓練も会社の都合の良いタイミング、順番でしてください。

しかしながら、そうは言っても、何もしなくて良いというわけではありません。
JIS Q 15001の基準を満たす必要があります。JIS Q 15001には、「より」個人情報を漏洩しない仕組み作りの指針(=要求事項)が記載されています。その要求事項に則ったルールを作る必要はあります。

ただし、JIS Q 15001には個人情報を実際に保護するルールについて、細かい具体的ところまでは記載されていません。個人情報を「より」漏洩しにくいルールを作る為の基準があるだけで、マニュアルブックではありません。
例えば、JIS Q 15001にはUSBメモリは、個人情報漏洩の危険性が高いので使ってはならないとは記載していないのです。
記載はこうされています。「事業者は、その取り扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じなければならない。」
ただ、これだけです。個人情報のリスクに応じて適切な措置を講じなさいと書いてあるだけです。

つまり、具体的、詳細な運用ルールは自社で定めることが出来るのです。
もし、USBメモリを利用している会社様であれば、まず、USBメモリは漏洩リスクの高い製品であることを認識します(※大量のデータの保存ができ、また小さい為持ち運びが便利な面、紛失のリスクが高い)。

その上で、USBメモリに入っている個人情報をどうすれば、より漏洩しにくくなるだろうかと考えることになります。
例えば、セキュリティロックを掛けることが出来るUSBメモリに変更する。
例えば、決められたパソコンにしか反応しないように設定できるUSBメモリに変更する。
例えば、セキュリティ面の高いUSBメモリを新たに購入するにはお金がいるので、 なかなか難しい会社様であれば、USBメモリに入っている個人情報のファイル自体にパスワードを付けるルールにする。
これだけでも何もしないよりは格段に漏洩リスクは減少します。個人情報を漏洩しない仕組みを作るのではなく、より漏洩しにくいルールを会社独自で作成すれば良いのです。
ちなみに上記3つのUSBメモリの対応はどの対応でもプライバシーマークを取得できます。

私どもは、行き過ぎたセキュリティ体制の構築は好ましくないと考えています。
なぜなら、セキュリティと業務の利便性はシーソーの関係だからです。個人情報保護の為にセキュリティ面を重視すると、セキュリティに関する作業量が増えるので業務に対する利便性は確実に下がってしまいます。
例えば、セキュリティ対策の為にメールを送る際に添付ファイルにパスワードをつけて送るようにしますと、パスワードをつける手間と先方にパスワードを伝える手間が増えます。業務効率性を考えますと、もちろんパスワードのなしが効率的だと言えます。 ただ、逆に業務の利便性や効率性をを追求してしまうとセキュリティ対策として不十分なものになってしまい、セキュリティレベルは下がります。 まさにセキュリティレベルの向上と業務の利便性はシーソーの関係と言えます。
それゆえに、そのさじ加減、会社様に合わせたルール作りが重要と言えるのではないでしょうか。

        
セミナー案内
詳細東京
詳細横浜
詳細大阪
    でも、そもそも私たちの会社はプライバシーマークが取得できるの?
    コンサルティングをお願いした場合のサービス内容は?    
   

 

そもそも「プライバシーマーク制度」って何?

プライバシーマーク制度とは、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、 個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。

企業や団体は、自らの「個人情報」の取り扱いが適切であることを、消費者(個人)に向けて「プライバシーマーク」というロゴマークでアピールすることができます。 これがその企業や団体の社会的信用への動機付けとなり、さらにはそこで働く人々の個人情報保護に対する意識付けの道具となることから、多くの企業や団体に導入され現在に至っています。

現在、1万社を超える企業や団体などの「事業者」がプライバシーマークの付与認定を受けています。
プライバシーマークを取得するメリットとしては大きく3つあると言われています。

1、取引先への信用拡大

最も大きなメリットは、企業間取引を行なう際の信用拡大であると思われます。

個人情報保護法では、業務の委託先企業の監督責任を負うことになりますから、 今後、特に、個人情報を活用して展開する事業の受託については個人情報管理体制が厳しく問われるようになりました。

事実、官公庁の入札条件として、あるいは、大企業の外注選定時の条件としてプライバシーマークの認証取得を要件化しているところもあるようですし、 個人情報の不適切な管理を理由に、以後の委託を中止された企業が実在しています。

プライバシーマーク取得企業でないと、大企業などリスク意識の高い企業からは、新しい取引相手としての選択肢にすらあがらないケースも考えられます。
参考)2010年、某大手印刷会社が、子会社・取引会社全てに対してPマークの取得を指示しました。

逆に考えれば、プライバシーマークを取得することで、受注チャンスが広がる可能性があります。
受注機会の創出や、会社としてのブランドの高まり(取っていない競合他社と比べ、維持費をかけて認証規格を取っている企業ではイメージが格段に違います。)も 期待ができます。

2、顧客に対する信用拡大

当然ながら自分自身の個人情報が一般に広く公開されることを好む人はいません。

中には決して知られたくない情報もサービスを受ける必要性から止む無く提供している場合もあるかと思います。
もし万が一、その漏洩していることを知ってしまったら、おそらくその会社がそのお店では二度とサービス提供や買い物をすることはないでしょう。
(事実、個人情報が漏洩した企業において営業損失は多大なものになったケースも存在します。)

個人情報保護法の施行以降、個人情報を提供する際に、提供した個人情報が適切に管理されているかを気にする人が増えています。
それを理由に国勢調査に応じないなどと言った行き過ぎた感じの例もありましたように、かくも個人情報保護への意識は高まっています。適切な個人情報管理がお客の企業選択条件の一つになっています。

顧客からの信用を得られないと、顧客情報を収集し活用し、顧客サービスの向上やマーケティング戦略を実施していく上で大きな影響がでてきます。
特にオンラインショップ等、店舗販売・訪問販売などの対面活動をしていない企業においてはその影響が大きいもとの予想されます。
 

3、従業員の意識向上

個人情報の漏えい等の事故の80%以上は従業員の過失によるものと言われています。従業員の無頓着な対応によって顧客からの信頼を失ったり、従業員の不注意から顧客情報が漏洩でもしてしまえば、その影響は計り知れません。

個人情報保護法では従業員の監督義務も示されており、企業従業員が一体で取り組まなければなりません。 プライバーシーマークの取得は全体参加でなければ取得できませんから、従業員の意識向上に大きく寄与するものと思います。

個人情報保護法が施行され6年以上たちますが、今でも連日のように官公庁及び企業の個人情報漏えい事故の後が絶ちません。また、その漏えい事故による損失も増大の傾向と言えます。
参考)某大手生命保険会社が2009年7月の漏えい事故で流出した顧客への謝罪金など計67億円を2010年3月期決算で特別損失として計上しています。

ある調査では、企業の33%が漏洩事故による倒産の可能性が十分あると答えている状況です。
企業のリスクマネジメントにおいて個人情報保護は、避けることが出来ない事項となってきていると言えるのではないでしょうか。
 

        
セミナー案内
詳細東京
詳細横浜
詳細大阪
    でも、そもそも私たちの会社はプライバシーマークが取得できるの?
    コンサルティングをお願いした場合のサービス内容は?    
   

 

© Copyright Holy-Day Consulting LLP All Rights Reserved

個人情報のお取り扱いについて会社概要