取引先からプライバシーマークを要望されたら

最近、企業のホームページや従業員の名刺などでもよく見かけるようになった「プライバシーマーク（Pマーク）」とは、「JIS Q15001：個人情報保護マネジメントシステム－要求事項」に基づいて、個人情報を管理する仕組みをきちんと構築し、維持・運用されていることを証明する制度のことです。

ひとくちにPマークを取得するといっても、「何をどのようにすれば、良いのか分からない」という方も多いかと思います。

もしも、あなたが会社からPマーク取得活動の担当者に選ばれたという場合には、まずはご自身の担当している通常業務などの状況確認を行い、会社がなぜPマークを取得しようと考えているのかを知る必要があります。

社内の情報管理体制の見直しや社員の意識向上のためにと考えている場合には、急を要する必要はないかもしれませんが、もしも、取引先から取得を要望されていたり、事業の拡大を急ぐなどの場合には、スピーディな取得が必要となります。

もしも、取得を急ぐという場合には、「プライバシーマーク取得支援サービス」などを上手に活用して、まずは信頼できるコンサルタントを探すことが大切です。

コンサルタントのアドバイスを受けながら活動した場合には、半年程度で確実に取得をすることが可能となります。

プライバシーマーク取得は突然必要になる

今日のように、コンピューターが普及し、膨大な個人情報を取り扱う機会が多くなってくると、すでに「うちも、そろそろプライバシーマーク（Pマーク）の取得を」と考えていらっしゃる会社も多いのではないでしょうか。

しかし、なかには取引先との打ち合わせで、「ところで、御社はプライバシーマーク制度の認証を受けていらしゃいますか？」と聞かれたり、大手の企業の下請けなどをしている場合には、「実は、今期から我が社の方針で、Pマークを取得している企業との取引だけが対象となってしまいました」など、いつか必要になるだろうと考えていたものの、取引先からの要望があって取得を決意するという会社も多く見受けられます。

とはいえ、Pマークを取得するためには、さまざまな準備や知識、社内全体への意識の改革、勉強なども必要となりますので、自社だけの力で短期間で取得することには限界があります。

まして、取引先から催促をされて取得を急いでいる場合には、のんびり取得活動を行っていれば、せっかくのビジネスチャンスを逃してしまう可能性もあるのです。

そのような場合には、自社だけの力で取得を目指すのではなく、「プライバシーマーク取得支援サービス」などのコンサルティングサービスを上手に活用し、半年程度でスピーディに取得することをおすすめします。

コンサルタントに依頼をすることで、事業所の規模や業種などに合わせて、無駄のない的確な情報管理体制を構築することができますし、結果的には大幅なコスト削減に繋がることになります。

取引先からの信頼アップ

また、取引先は、なぜ、今になってPマークの取得を要望するのでしょうか。

Pマークを取得し、承認を受けている企業は、社員の名刺、自社の封筒や便箋、広告物や資料のほか、ホームページ上でもPマークを表示することができるようになりますので、取引先だけでなく、その企業を利用する消費者に対しても広くアピールすることが可能となります。

それは、取引を行う企業だけではなく、消費者が利用する企業を選ぶ際の目安にも繋がります。

消費者は、企業を選んだり利用する際の判断材料として、Pマークを取得している企業であるか否かを目で見て選択することができるのです。

また、Pマークを取得し承認された企業は、プライバシーマーク認定制度の要求事項(JISQ15001)の3.4.3.4「委託先の監督」で委託先を選定、評価、監督することが求められています。

そのため、実施及び運用の際に、委託先の選定基準として、少なくとも自社と同等以上の個人情報保護水準を客観的に確認できるPマークを取得している企業を対象とする必要があります。

個人情報が漏洩する事故は、委託先から起こるということも十分に考えられますので、リスク回避のためにも委託先であっても同等の情報管理体制でなければなりません。

もちろん、その選定基準は全ての委託先に一律に強いるものでなく、リスクに応じて異なる場合もありますが、委託者と受託者の責任を明確にするためにも、今後は、ますます取引先にPマーク取得を要望する企業が多くなってくるでしょう。

社内体制の改善や強化に繋がる

プライバシーマーク（Pマーク）を取得することのメリットは、対外的な信頼度のアップや事業の拡大だけではありません。

Pマークを取得するためには、まず社内で保有している個人情報について、すべて洗い出しをする必要があります。

見直しの項目は、個人情報の取得方法だけでなく、利用の方法、共同できるようする際の手順、委託方法、提供方法、物理的な安全管理、開示用要求対応、苦情対応から、廃棄に至るまで、個人情報に関することのすべてにおいて、これまでの取り扱い手順を見直しを行う必要があるのです。

また、そのためには作業手順の構築や改正も必要となりますし、社員ひとりひとりが個人情報に対する意識を変えていく必要も出てくるでしょう。ひとりひとりが個人情報に対するこれまでの見方や取り扱い方を見直し、あらためて適切な手順を学習することで、より社内の個人情報保護の管理体制の改善や強化に繋がっていくことになります。

これまで、何気なく行っていたルーチンワークや、管理方法もすべて見直しの対象となりますので、起こりうる漏洩リスクを想定しながら、そのリスクに対して最適な安全策を講じることが可能となります。

社内全体の意識が変わり、適切で無駄のない作業手順に変わることが最大のメリットです。とはえ、日々膨大になっていく情報管理に対し、状況に応じて作業手順を変化させていく必要もあります。

そのため、Pマークは取得そのものがゴールではありません。

取得後にも、定期的な見直しを行い、2年ごとの更新審査によって、常に新鮮な管理体制を維持していく必要があり、その運用そのものがPマーク制度を承認する本来の目的となっています。

プライバシーマーク（Pマーク）の取得を取引先から要望されたという場合には、まず、Pマークを取得するための担当者を選ぶ必要があります。

多くの企業では、Pマーク取得のために専任の担当者を配置することはできませんので、一般的には通常の業務と並行しながら、取得活動を行うことがほとんどです。しかし、その場合には、その担当者の配属が変わったり、退社したりすれば、うまく引継ぎが行われず、継続的な運用に支障をきたしてしまう場合もあります。

また、担当者に移動がない場合であっても、定期的な運用の見直しや情報管理に対する社員への教育など、2年ごとの更新審査のための準備も必要となりますので、担当者の業務効率の低下も懸念されます。

また、情報管理の体制については、法改正や社会情勢に伴い、常に新鮮な情報を得る必要がありますので、社内だけの管理・運用では限界も出てくるでしょう。

取得までは自社で行えたものの、その後の管理や運用に行き詰まってしまう企業も少なくありません。そのような場合にも、「プライバシーマーク取得支援サービス」などのコンサルティングサービスに相談をすることで、客観的なアドバイスを得ることができますので、効果的な運用を実施することができるようになります。