審査機関でも問題課題【不良コンサル会社】
本件に関して、昨日プライバシーマークの認定機関胴元であるJIPDEC(一般財団法人日本経済社会推進協会)より、次の注意喚起文書が出ました。
http://privacymark.jp/news/2015/0130/index.html
企業がプライバシーマーク認定を取得しようとインターネットで検索すると、企業にとっては割と耳触りのいいコピーがはびこります。
「丸投げで取得できます」、
「月々たったの2万5千円でPマークの運用・更新作業すべてを請け負います」、
「お客様側の作業をゼロにする」。。など
このような、いかにも簡単に取得ができてしまうかのような誤解を取得希望事業者に与え、コンサル契約を取ろうとするコンサル会社が存在するのです。
取得を希望する事業者は、プライバシーマークを取得するために必要な知識をを全く理解することなく、依頼したコンサルタントが書類作成を全て行い、現地審査にも立ち会い、プライバシーマークを取得できてしまうという、首をかしげざるを得ないサービスを展開しているというのです。
当たり前ですが、
本来、プライバシーマークというものは、自身(自社)で個人情報を保護するルール体制を構築している事業者に認められるものであり、プライバシーマークは言わばその証明書であることはいうまでもありません。
しかし、このようなコンサル会社が行っている手法では本来の認定の意味を無意味にする反社会的なビジネスモデルといっても過言ではありません。
確かに中小規模事業者では、プライバシーマークを取得するための膨大な書式作成に人手や時間を割く余裕などはないので、ついつい「安く・早く・楽に」に飛びつきたくなる気持ちは分かります。
我々もコンサルタントを依頼企業に派遣し、企業側担当者と共に書類作成を行う過程において、「すべて丸投げ」を希望される企業も少なくありません。
しかし結論から言って、長い目で見ると結局高くつくと言えます。
認定機関審査員がコンサルタントを行う弊社が調べた、そういった「輩」の手口の特徴は以下の通りです。
特徴①
申請事業者の名刺を作成し、コンサルタントが事業者への出向社員(出向契約書を準備している場合もある)として現地審査に対応する。
特徴②
審査中に指摘に対しどうしたら良いですか?と答えを求めてくるような、若くて未熟なコンサルタントが多い。
特徴③
改善に係る対応は携帯電話からかけてくることが多く、同じ番号で違う社名として電話をかけてくる。
当たり前ですが、
このようなプライバシーマークを金で買うようなコンサルを受けても、決して個人情報保護体制が身につくはずはありません。
プライバシーマークは、外部から評価(認定)を得る事だけが目的ではなく、社内統制のための有効なツールの1つであることを忘れてはいけません。
このような方法で安易にプライバシーマーク取得を依頼してしまうと、せっかくの教育研修の機会を無駄にしてしまうだけでなく、結果的に従業員が社内のルールを堂々と無視するようになります。
プライバシーマークを取得しているにもかかわらず情報漏えい事故を起こす会社の特徴なのです。
また、HPで見るところ、一見コンサル費用が格安だと思われがちです。
しかしそういったコンサル会社は、あえて取得事業者に何もさせませんので、一度そういった会社に依頼して取得をしてしまうと、知識やノウハウが全く社内に蓄積されていないため、もうそのコンサル会社なしではプライバシーマークの更新すら自社でできず、毎回毎回更新の度にコンサルを依頼しなくてはならなくなってしまうのです。
つまり、自社だけでは維持ができなくなるので長期間にわたり永久に費用が発生することになります。
※プライバシーマークの更新は、しっかりとしたコンサル会社の指示に従い理解すれば、更新からはコンサルを依頼せずに自社のみで十分更新できるものです。
まさに麻薬です。
単純計算しても24ヶ月(Pマークは2年毎の更新)×25000円=60万円/2年。
これがPマークをやめない限り続くのです。
60万円なら、通常の新規時のコンサルタントを雇える金額よりも割高です。
まともなコンサル会社なら、更新は社内で行えるように指導しますので、少なくとも2回目か3回目からはいずれはコンサルタントから離れることも可能なのです。
知人で既にそういったコンサル会社に依頼してしまった某システム開発会社で先日以下のことがあったようです。
実地審査時に、審査員に派遣されたコンサルタントであることをまんまと見抜かれ、逆に厳しい審査となり山のような指摘事項が出て、結局改善を諦め申請取り下げとなりました。
このコンサルタントは入社1年未満の新入社員だったようで、その後退職してしまったようです。
※因みに、プライバシーマークの現地審査でコンサルの立会は止事項です。コンサルトが同席していると分かった時点で、本来は審査打ち切りとなります。
このビジネスモデルで最大の問題は、運用代行というサービスを売りにしていることなのです。
万一事故が起こってもコンサル会社は決して責任を負いません。
組織に根付かない上辺だけのルールや規定作りは、百害あって一利なしです。
一般の事業者はいざ知らず、顧客の個人情報を取り扱う事業者は、事故を起こしたらおしまいです。
危機を免れるのにうまい話はありません。
くれぐれも成長戦略を突き進むにまともな企業は、このような甘い誘いには乗ってはいけません。
信用とお金だけではなく、夢や希望を一発で壊してしまいます。