プライバシーマーク取得するのに必要な期間

インターネットが普及した今日、私たちは便利に買い物が出来るようになりました。

ウェブ通販のサイトを訪れ、お気に入りの商品が簡単に見つけられます。気の利いたサイトであれば、商品毎にユーザーの口コミなどが参照できるようになっていて、購入する時の参考にすることができます。

そして一度個人情報を登録してしまえば、次回以降の買い物は非常に便利になり、数回のクリックだけで買い物が完了します。しかし便利さには危険も付きものです。

時にニュースをにぎわすのが、個人情報の漏洩です。

企業が悪意を持って個人情報を漏洩させることは無いと言えそうですが、社員のちょっとしたミスや教育が不十分であると、個人情報は簡単に漏洩してしまいます。

不正アクセスして膨大な個人情報を盗み出そうとする悪意ある者が外部に存在することもあります。

そのため今日では、個人情報は慎重に取り扱っていますという表明だけでは不十分であり、そのことを客観的に証明する認証が必要になります。

その認証がプライバシーマークです。

今日では商取引をするのに企業側はプライバシーマークの取得が必須であり、無視できない段階に来ています。

ただしその取り組みのためにはかなりの費用と労力が要ります。もし白紙の状態からスタートするとしたら、一体どれほどの期間が必要になるでしょうか。

結論から言えば、その任務に特化したプロジェクトチームが組織できたとして、最短で半年は必要です。

もちろん普通は他の仕事も兼務しているでしょうから、その場合は長期化し、２年は必要となるでしょう。

以下、キックオフからコンサルの利用、独力で行なうなどの場合でどう変わってくるか、などを考察します。

取得までのスケジュール

プライバシーマークの取得するまでには、どのようなプロセスが必要でしょうか。どれだけの期間がかかるかを考えるには、まずこのプロセスの理解からスタートします。

第一に、経営者の意識改革が必要です。個人情報を適切に扱っているとする客観的証明なしには顧客の信頼は得られないということを知らなければなりません。

第二は、プライバシーマーク取得のためのプロジェクトの責任者を選任し、従業員全員に対しその責任者に経営者は権限を委任するという宣言をします。

第三は、プロジェクトチームの発足です。企業内の各部署から、業務を知悉している人物を１名ずつ選んで組織します。

第四は、チームメンバーが書籍・セミナーなどで個人情報とその取り扱いについて学び、プライバシーマーク取得までの計画を立案します。ここまでを３か月以内で終わらせるようにします。

第五は、従業員全員の啓蒙です。従来の仕事のやり方を変更せざるを得ない場合が多々発生し、従業員にはストレスを与えることにもなりますので難所といえ、変動要因になります。プロジェクトチームの責任者は、本件については経営者から全権委任を受けているというお墨付きが必要になるのはこのためです。

第六は、新しいルールの整備と文書の蓄積です。最短でも２か月は要するはずです。

第七は、ルールの施行を開始して試行錯誤し、PDCA方式で充填度をチェックします。これもやはり３か月は必要でしょう。

第八は、内部審査です。本審査を想定してチェックし、必要に応じて見直します。ここまでのプロセスに整合性があれば１か月で完了するはずです。

そして第九は本審査を受け、合否を待ちます。都合８～10か月というところです。

コンサルに依頼した場合

前述のプロセスを経てプライバシーマークの認証を得るには、ざっと８～１０か月必要であると暫定的な結論を述べました。

しかしこの期間で完了させるためには、プロジェクトチームの構成員が、従来手がけていた仕事から解放されているということが前提になります。

さもないと、プロジェクトチームの仕事をしていると言うのに、ひっきりなしに現場からの問い合せなどが起こり、仕事に集中できなくなるからです。

しかし実際には従来の仕事から解放されてプロジェクトチームの仕事に特化できるというのは、よほど恵まれた環境でないと実現しないでしょう。

特に中小企業の場合はそれだけの人員に自由な時間を与えるのは不可能です。

しかしプライバシーマークの認証を得るためには、のんびりしている訳にはいきません。

今日ではこの認証なしには仕事を受注できないなどの前提が発生しているため、もはや避けて通ることは出来ませんし、一刻も早く成し遂げなくてはなりません。

経営者からは、むしろ８～１０か月では悠長に過ぎると叱責されかねません。せいぜい６か月で完了するようにと厳命されることもあるはずです。

６か月で完了させるには、やはり外部の専門家と契約し、プライバシーマーク取得支援サービスを受けるべきです。

会社の現状をチェックしてもらい、プロセスをスムーズに進行させるための助言を受け、実際の審査がどのように行なわれるかを教えてもらう必要があります。

新しいルールの設定の仕方や従業員への啓蒙、文書蓄積についてのコツなど、トータルで指導してもらうことができます。当然費用は発生しますが、結果的に短期間で認証取得にこぎ着けることができ、長期的に見ればコストも抑えられるはずです。

自力で取得する場合

とはいえ外部の専門家によるプライバシーマーク取得支援サービスを受けず、独力で取得にこぎ着けるという選択肢もあります。まずコストを考えた場合そうせざるを得ないという判断もあるでしょう。自分たちの力でこのテーマについて学習し、従業員全員の啓蒙ができ、完遂することが出来れば企業としてのレベルが相当向上することは間違いなく、達成感や充実感はひとしおです。専門家に言われた通りに作業する、つまり与えられたテーマをこなすということではなく、真に創造的な営みとなります。

しかしその場合は、プロジェクトチームのメンバーにかかる負担は相当大きなものになるという覚悟が必要でしょう。また個人情報保護の問題は常にテーマがアップデートされ、ハードルが上がっていきますので、これで十分であるという形で完結することがありません。プロジェクトチームは常任体制になり、相当に意識の高い専門家集団となる必要があります。

このことを考慮すれば、プライバシーマーク取得支援サービスを受けずに企業が独力でこのテーマを完遂するのは、中小企業や個人事業では現実的にほぼ無理であり、大企業向けであると言えます。中小企業や個人事業主がこの選択した場合、よほど高い意識を持ち続けない限り途中で挫折し、認証取得に至らないで終わってしまう可能性が非常に高いと言えます。前述の通りこの問題は、それ自体が利益を生まないのではないかという思い込みは捨て、顧客からの信頼が無いと事業そのものが成り立たないのだという必須命題であることに立ち返れば、やはり避けて通る訳にはいきません。

独力で行なう上で最初の難所は、やはり従業員の理解を得ることです。客観的に個人情報の取り扱いが正しいといわれるためには、従来のやりやすい方法で仕事をしているだけでは不十分であることがあり、そこを変えようとすると現場との衝突が起こる可能性が非常に高いのです。

こうした理解の元に事を進めていくには、２年は必要になってくるのではないかと考えられます。

プライバシーマーク取得のための取り組みは、企業にとってはもはや欠くべからざる案件です。しかものんびり構えていてはそれだけでビジネスチャンスを逸してしまいかねません。

取得のためのプロジェクトも、これまで述べた背景からスムーズに事が運んでも８～10か月、専門家による、何をどうすべきかという指針やアドバイスを常に受けることができればそれが６か月程度に圧縮できます。そのアドバイスなしで認証を受けるには、中小企業の場合はやはり２年は覚悟すべきでしょう。

品質管理マネジメントのISO9001や環境保全マネジメントのISO14001と同様に、認証のための認証であってはほとんど意味がありません。中小企業でよくあるのは、継続審査を受ける際に、文書や記録をやっつけ仕事で作成して間に合わせる、というものです。これではなんのためのマネジメントなのか意味不明になるのですが、実際には多く見られる現象です。そうした認証のための認証に陥らず、個人情報保護が企業に根付き、テクノロジーや企業を取り巻く環境の変化に柔軟に対応していくためには、個人情報保護がなぜ必要なのか、という原点に常に立ち返るようにしてマネジメントを継続的にブラッシュアップしていく必要があります。