自社がプライバシーマーク取得が必要かどうかを調べる方法

プライバシーマーク（Pマーク）とは、個人情報の保護体制をきちんと整備している会社であることを証明する第三者認証のことで、審査機関である日本工業規格の「JISQ15001：個人情報保護マネジメントシステム要求事項」の規格に適合し、認められた企業に対して付与される認証制度です。

とはいえ、ご自身の会社に「本当にPマークを取得する必要があるかどうか分からない」という方も多くいらっしゃいます。

そもそも、Pマーク取得の本来の目的は、個人情報を適切に扱う仕組みを作り上げることですので、「同業他社が取得しているから、うちも取得しておこう」という類のものではありません。

また、Pマークは一度取得したらそれでお終いという制度ではなく、その後の運用も義務となります。

自社がPマークの取得が必要かどうかを調べる方法とは、まず、現在どのくらいの個人情報の取り扱いをしているのか、すべて洗い出して調べる必要があります。

自社で、直接取得する顧客などの個人情報が多い場合、つまり、「B to C（Business to Consumerの略））」が主体となっていて、消費者を相手にしたサービスなどに携わっている企業の場合には、Pマークの取得が必要となってくるでしょう。

プライバシーマークは派遣会社に必要？

プライバシーマーク（Pマーク）の取得が必要な業種に、とくに決まりはありません。Pマークの取得とは、従業員の個人情報も含む企業内のすべての個人情報が対象となっていて、個人情報の取得だけでなく、その利用方法や委託、提供、安全管理のほか、情報セキュリティ、開示等要求対応、苦情対応など、実にさまざまな要求があります。

個人情報を取り扱う企業でいえば、「派遣会社」などは、その最たる業種であると言えます。

まず、派遣会社で働く派遣社員の個人情報について言えば、一般の企業と比較しても膨大な量になりますし、派遣会社の場合には、人材を派遣先に派遣しますので、そこから人事に関連する情報を受け取る必要があります。

さらに、派遣元の企業情報なども決して漏洩が許されるものではありません。

自社に登録している派遣社員の情報だけではなく、取引先となる派遣元からもさまざまな情報を預かることになりますから、一般の企業に比べて、さらにしっかりと情報保護体制が整っている企業であるという証明が必要になってきます。

派遣会社に登録する派遣社員からも、派遣先の企業からも非常に厳しい目で見られている業種ですので、しっかりとした体制作りを行っていく必要があるのです。

ただし、Pマーク取得に必要なコストは決して安価ではありませんので、確実な取得や安定した運用を目指すためには、「プライバシーマーク取得支援サービス」などのコンサルティング会社などを利用しながら、できるだけ低コストでスムーズな取得、運用を目指すことが大切になってくるでしょう。

プライバシーマーク取得方法は複数ある

プライバシーマーク（Pマーク）を取得する方法は、自社（社内）でマークの取得を目指す方法と、「プライバシーマーク取得支援サービス」などのコンサルティングサービスを活用して取得を目指す方法の2通りがあります。

もちろん、自社で取得をする場合には、コンサルティング料金などは不要となりますが、通常は、会社の人間が通常の業務と兼任で担当することが多いため、マークの取得までに時間を要してしまうケースが多く見られます。

コンサルティング会社にサポートしてもらいながら取得をする場合には、通常6か月程度の期間で完了しますが、これまで取得経験のない自社で取得を目指す場合には、長ければ2年ほど掛かってしまう場合があります。

その間の担当者の業務効率の低下や疲労度などを考えると、決してコスト削減に繋がっていないというのが現状のようです。

コンサルタントを介する場合には、これまでの経験からポイントを押さえたうえで、個人情報の取り扱い方法の見直しなどを行えるうえに、必要最小限のスタイルで無理のない長期的な運用が可能となります。

自社で取得を目指す場合には、どうしても得手不得手の分野がありますので、体制作りに偏りがあるというデメリットが生じてしまいます。

さらに、通常の業務が忙しいので、限られた少ない時間の中で社内全体に情報の取り扱い方法を伝達し、遂行していくことは極めて困難です。

コンサルティング会社を効率よく利用すれば、取得までがスピーディなうえ、取得後には、定期的なセミナーの開催や無料相談なども充実していますので、スムーズな運用を確保することができます。

プライバシーマーク取得後に変わる事

プライバシーマーク（Pマーク）を取得された企業では、「取得するよりも、取得後の運用が想像以上に大変だった」という声が多く聞かれます。

Pマーク制度とは、マークを取得することは、単にスタートラインに立っただけでしかなく、決してゴールではありません。

マークを取得した後には、個人情報を社内で保護するPMS（個人情報保護マネジメントシステム）を構築し、安定したPDCAサイクル（計画＝PLAN、実施＝DO、監査＝CHECK、見直し＝ACT）の中で、長期にわたって継続していくことが大切です。

さらに、今後厳しくなっていくであろう情報社会の中では、運用精度をさらに上げていく必要があります。

そのため、PMS（個人情報保護マネジメントシステム）が、JIS Q 15001の要求事項を満たしているか否か、個人情報保護監査責任者による定期的なチェックが必要となります。

一定のルールに基づいて内部監査を定期的に行い、２年後の更新審査にクリアしなければならないのです。

一般企業の多くは、担当者をPマーク専任で確保することが難しいため、どうしても担当者の日常業務に支障が出てしまったり、担当者が転勤になってしまうなど、うまく業務を引き継ぐことができないケースも多々あります。

取得の際には、自社で手探りで調べるなどして何とか取得はしたものの、その後の運用になって行き詰まってしまったため、運用からはコンサルタント会社に任せているという企業も増えているようです。

もしも、現在の運用方法に行き詰まりを感じている場合や、もう少し効率良く運用を行いたいという場合にも、「プライバシーマーク取得支援サービス」などのコンサルタントの活用はおすすめです。

プライバシーマーク（Pマーク）の取得には、想像以上にコストが掛かるのが事実です。

費用は、会社の規模などによって異なりますが、一般的な中規模企業が新規でマークの取得を検討する場合には、申請料として約5万円、審査料として約46万円、付与登録料として約10万円など、標準取得の場合であっても、基本料金が70万円程度と決して安価ではありません。

ここで、少しでもそのコストを削減するためには、いかにスピーディな取得を目指し、適切なルーチンを構築して、安定稼働を行うかということが大きなポイントとなってきます。

新規取得の場合には、もちろん社員ひとりひとりの個人情報に対する意識の改革や学習も必要となってきますし、業種などによってはスキル的に難しい面も出てくるでしょう。

もしも、あなたご自身がPマーク取得の担当者に選ばれたのであれば、まずは情報の洗い出し、次にご自身が置かれている状況、現在の業務と並行してどこまでの取得活動ができるのかという現状の把握が大切です。

そして最後に、できるだけ信頼度の高いコンサルティング業者を調べること。そして、コンサルタントのアドバイスに基づいて、企業の規模、業種に適切かつ合理的な取得を目指すことが大切です。