プライバシーマークやISMS取得する為のセミナー
個人情報の保護などに関して、一定の要件を満たした企業や事業所が使用を認められた登録商標である「プライバシーマーク(Pマーク)」や「ISO27001(ISMS)」などの取得活動をするためには、さまざまな準備や知識が必要となります。
どちらのマークを取得するべきかは、事業所の規模や業務内容、保有している個人情報などによって異なり、必ずしも両方を取得しなければならないというわけではありません。
しかし、初めて個人情報に関する登録商標を取得する場合には、そもそも「どちらのマークを取得すれば良いのか分からない」という方も多くいらっしゃいます。
取得活動を行うには、自社でゼロから情報収集を行い取得する方法もありますが、「プライバシーマーク取得支援サービス」などのコンサルティングサービスを上手に活用して、短期間でのマーク取得を目指すことも可能です。
これまでに多くの企業の商標登録の取得に携わってきたプロのコンサルタントのセミナーや研修会などに参加をすれば、制度の詳しい仕組みや位置付けについての説明や、審査の申請方法から付与までの流れやそれに伴う費用、Pマークの審査基準であるJIS Q 15001:2006の概要、PMS(個人情報保護マネジメントシステム)構築のためのステップなど、新規取得のために必要な知識について学ぶことができます。
また、同業他社よりもいち早く取得をすることができるので、スムーズな事業の拡大を期待することが可能となります。
守りたい企業情報
コンピュータの普及に伴い、最近は情報漏洩などに関するニュースが頻繁に取り上げられるようになりました。
企業の情報セキュリティに関する意識を向上させるだけでなく、物理的にも起こりうる漏洩リスクに対して、安全で万全な対策を講じることができるように、多くの企業「プライバシーマーク(Pマーク)」や「ISMS(Information Security Management System)」などの認証制度を導入することが多くなりました。
とはいえ、これらの二つの認証制度に、どのような違いがあるのでしょうか?
厳密に、その内容についご存知の方は少ないのではないでしょうか。「ISMS(Information Security Management System)」とは、「情報セキュリティマネジメントシステム」と訳される制度のことで、組織が企業情報や機密を適切に管理するためのセキュリティに対する包括的な取り組みのことを指します。
つまり、自社で直接取得する情報は従業員の個人情報程度で、情報処理などを目的に外部から預かる情報の方が多い場合、つまり「B to B」を主体としている企業(システム開発業、広告代理店、コールセンター、人材派遣業、データエントリー業、印刷業など)が取得すべき認証制度でしょう。
個人情報も含むハードやソフト、重要書類や設計図、企業にとって大切なデータなど適用範囲内のすべての情報資産全般を対象に、情報資産の機密性や完全性、可用性の維持が要求される制度ですので、比較的高範囲での対策が必要となります。
自社だけでの知識では偏りが生じやすく、効率の良い運用ルールの構築が難しいため、プロのコンサルタントのセミナーを受講することは、非常に有効な手段であるといえるでしょう。
守りたい個人情報
一方、プライバシーマーク(Pマーク)制度の場合には、主に個人の情報を安全に管理し、保護を要求する制度のことで、企業のホームページや広告、社員の名刺などでもよく目にするマークですので、比較的なじみのなる制度ではないでしょうか。
Pマークとは、個人の権利を保ちながら、企業や組織が必要な情報を収集したり、利用する仕組みを運用するために誕生した制度ですが、そもそも個人情報とは、個人を特定し識別できる手掛かりとなる情報のことをいいます。
具体的な例としては、氏名や住所、電話番号、生年月日、性別などの基本的な情報などのほか、職歴や学歴、勤務先、クレジットカード番号、病歴、犯罪の前科なども対象となります。
そのほかにも、個人の債務履歴や人種、民族、宗教などもセンシティブな情報として、とくに取り扱いに注意が必要な情報となっています。
「個人情報保護法」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもののことを指しますが、Pマーク制度の要求はさらに厳しく、個人情報の安全保護を行うことだけではなく、個人情報の取得方法や利用方法、委託を行う際の監督義務、開示を求められた際の対応や苦情対策、廃棄にいたるまで、個人情報保護法を包括する厳格な取り扱いが求められます。
もちろん、Pマークを取得することでゴールに到達するのではなく、マーク取得はあくまでスタートラインに立ったに過ぎません。
日常的な業務の中での個人情報の取り扱いルールを明確に定め、それらを計画的に運用し、維持していくことこそが、個人情報を守ることの最大の目的です。
2つの取得に関する誤解
「プライバシーマーク(Pマーク)」や「ISMS(情報セキュリティマネジメントシステム)」などの認証制度を取得する際に誤解されやすい点がいくつかあります。
まず、「中小企業には取得できない」という誤解です。いずれの制度も、2名以上の組織であれば取得活動を行うことは可能で、大企業でなければ取得できないというわけではなく、最近では、取引先や消費者などからの価値や信頼度を高めるために、小さな企業こそ取得を目指していることが多く、マークを取得することによってスムーズな事業の拡大を得ている企業が増えています。次に、「取得活動が大変」という誤解です。
確かに、自社だけの努力で取得活動をスタートする場合には、担当者が日常の業務と並行して活動をしなければなりませんので、社員全員の意識改革を行うことは大変な作業です。
しかし、「プライバシーマーク取得支援サービス」などのコンサルティングサービスを活用し、セミナーを受講したり、プロのアドバイスで自社の規模や事業内容に合った適切なルールを構築すれば、半年程度で取得することができるうえに、その後の運用もスムーズに行うことができます。
また、コンサルタントを利用すると高額なコンサルタント料金を取られてしまうのでは?と思われる方も多いようですが、自社で取得を目指したら、承認を得るまでに2年も時間が掛かってしまったというケースも見られ、結果的には「担当者の業務効率が落ちた」、「同業他社に追い越されてしまった」、「事業拡大のチャンスを逃してしまった」などのリスクも考えられます。たしかにコンサルタント料金は必要となりますが、長期的な視野で考えた場合には、コンサルティング会社に依頼を行い、自社に合った無駄のない仕組みを構築していくことに全力を注ぐ方が、コスト面でも、業務効率でも良い結果を出すことができるのです。
このように、「プライバシーマーク(Pマーク)」や「ISO27001(ISMS)」などの認証制度を取得するためには、さまざまな方法があります。
自社でゼロから取得を目指し、組織にとって血となり肉となっていくことも非常に大切なことです。
しかし、これだけの情報社会でコンピューターやインターネットなどの進化は非常に目まぐるしいものです。
これらの進化のスピードに追いつき、それを維持ししていくことは、自社だけでの努力、また数名の担当者の技術やスキルでは、いずれ限界が来ることも事実です。
常に広い視野と知識を持って、先手で新たな情報対策を講じていくことができれば問題はありませんが、自社だけの知識では、常に高い情報漏洩リスクも抱えているということも知っておかなければなりません。
また、マークを取得した企業は、その後の運用と維持、継続をし、定期的な更新審査のための準備も行わなければなりません。
「自社で取得をすれば安上がり」という誤解は、結果的には大きな疲労とリスクを伴う可能性もありますので、ご自身が「プライバシーマーク(Pマーク)」などのマークを取得する担当者に任命された場合には、まずは、セミナーを受講し、信頼できるコンサルタントを探すことから始めてみてはいかがでしょうか。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
7/23・24『第3回バックオフィスDXPO東京’24【夏】』に出展します
2024年7月23・24日、東京ビックサイト西1・2ホールにて開催の、 管理部門の業務効率化・DX推進のための展示会 第3回バックオフィスDXPO東京’24【夏】に出展します。 ご […]
BPO業者選びは情報セキュリティー対策の有無【Pマーク、ISMS】
最近、ビジネス・プロセス・アウトソーシング(BPO)がどんどん広まってきています。業務の一部を外部に任せることで、コストを削減したり効率化したりできるのは確かに魅力的です。 しかし […]
本日より仕事始めです。
皆さま、新年あけましておめでとうございます! 2024年1月4日、本日より弊社も仕事はじめとなります。 旧年中は大変お世話になりました。 本年もよろしくお願いします! […]
年末年始休暇のご案内
平素は格別のお引き立てをいただき厚くお礼申し上げます。 弊社では、誠に勝手ながら年末年始休業日を下記のとおりとさせていただきます。 【年末年始休業期間】 2023年12月28日(木 […]
TISAX認証取得の流れ ~準備から認証取得までを一気に解説~
TISAX(Trusted Information Security Assessment Exchange)は、2017年に策定された自動車産業における情報セキュリティの評価と共 […]