ブログ

B to BビジネスでもPマークの必要性は高まっている


 企業が扱う資源は以前、「ヒト、モノ、カネ」でしたが、近年の著しい情報化技術の発達により、これらに「情報」が加わりました。中でも個人情報は企業にとって非常に有用な資源です。顧客の年齢、性別、居住地域、趣味嗜好、家族構成、年収、商品購入履歴等、様々な情報を保持、管理する事は、タイムリーな顧客ニーズの察知に結びつき、最終的には企業利益の向上に繋がります。しかしながら同時にそれは、企業が情報という無防備な資産を厳重に保管する責務を負った事も意味しました。顧客と直に接する企業は、自身のみが個人情報の扱いに注意すればよいわけではありません。顧客への製品、サービスを提供する一連のプロセスの中には多くの協力企業が関わり、必要な場合は個人情報を共有しなければなりません。そういった場合、企業間においてどのように互いの個人情報保護活動のレベルを査定し取引の可否を見極めればよいのでしょうか。その方法の1つとしてPマーク(正式名称はプライバシーマーク)の利用が挙げられます。このマークは、企業が個人情報の保護を適切に行っている事を知らせるためのマークであり、厳しい審査に合格した企業のみ提示する事ができます。
 以下の説明では、まず企業間取引にはどういったものがあるのか、そこでのプライバシーマークの必要性はどういったものなのか、そして個人情報保護活動において企業は何をしなければならないのかを説明します。

企業取引におけるPマーク

 企業の商品やサービスの生成過程において、自社のみでそのプロセスをすべて完結させる事は稀です。多くの場合、協力企業にプロセスの一部を委託したり、或いは共同で行ったりしています。このような企業間取引にはどういったものがあるのでしょうか。代表的なものを下記に記載します。
 ・製造業を営む企業による部品や原料等の調達
  (例:自動車製造のために各種素材メーカーから、鉄鋼、ゴム、金属、繊維、紙などを購入   する。)
 ・マーケティングリサーチの委託
  (例:新規商品開発にあたり、マーケティングリサーチ専門会社に最新の顧客動向の市場     調査を依頼する。)
 ・コンサルティングサービスの利用
  (例:自社の経営について、専門家による客観的な評価を依頼しアドバイスを受ける。)
 ・システム部門の委託
  (例:システムインテグレータへ顧客管理に利用する新規システムの開発を依頼する。また開   発後はシステムの保守を依頼する。)
 ・病院による薬剤の調達
  (例:病院が製薬会社から薬剤を購入する。)
 ・小売業
  (例:生産者や卸売業者から、商品を購入する。)
このようにBtoCビジネスの過程では、多くのBtoBビジネス(企業間取引)が発生しており、必要に応じて、自社、或いは顧客の個人情報を企業間で共有する場合があります。そのような場合、依頼元の企業はもちろんの事、依頼先の企業も個人情報保護活動を徹底して行わなければなりませんが、お互いの個人情報保護に対する信頼性を確認し合うためにPマークを有効利用する事ができるのです。次の項でその必要性を説明します。

Pマークの必要性

 企業が顧客の個人情報等を委託先と共有する必要がある場合、どのように委託先企業の個人情報保護活動が信頼に足るものなのか評価すればよいのでしょうか。個人情報保護活動には、ルールの策定、社内教育の実施、内部監査プロセスの策定等があり、確認すべきポイントは多岐に渡ります。このような作業を、委託元が新規取引発生の度に実施していては大変な工数とコストが必要になってしまいます。取引相手の信用性を厳しくチェックする作業には際限がありませんし、当事者同士でチェックし合う事で、長引けば互いの関係に悪影響を与える事もあるかもしれません。そこでPマークを有効利用する事ができます。委託先の企業がPマークを取得していれば、それは保護活動のレベルが第三者によって評価され、一定基準を満たしている事を証明します。BtoBビジネスにおける企業間のスムーズな信頼関係の構築をサポートしてくれるのです。またPマークを取得している事がホームページに掲載されていれば、委託元企業はコンタクトを取る前に委託先企業の個人情報保護活動に対する信頼性を確認する事ができます。
 プライバシーマークの取得は、業界によっては契約条件であったりするため、今後のビジネスを考慮して、取得する企業が年々増加しています。取得する事は企業外へのアピールにもなりますし、企業内の社員の意識向上、良い人材の調達にも繋がり、BtoBビジネスの成功に繋がる可能性があります。
 では個人情報保護活動とは具体的にどういった活動になるのでしょうか。次の項で説明します。

個人情報保護活動

 企業が実施すべき個人情報保護活動にはどのようなものがあるのでしょうか。まず重要なのは、従業員一人ひとりの情報セキュリティーに対する意識を高める事です。従業員一人ひとりに、秘匿性の高い顧客の個人情報を扱っている事を強く意識させ、万が一問題を発生させてしまった場合には企業の信頼性に多大なダメージを与えると共に、問題を発生させた個人もそれ相応の責任を負う場合がある事を理解させる必要があります。これを達成するために、社内での定期的な教育とテストを実施し、ルールが徹底されているか確認するために定期的な監査を行います。
 従業員へ教育する事の1つにラべリングがあります。各文書に対し秘匿度を設定し、誰が見てよいのかを明確に示すのです。これを行う事により、例えば営業活動を行う社員であれば、過去における他社との取引実績をアピールしたい場合に、開示可能なデータであるか否か一目でわかるようになります。
 上記は未然防止策ですが、ルールを徹底しても問題が発生してしまうケースはあります。発生してしまった場合の被害を最小限にとどめるプロセスを予め準備しておくことも重要です。万が一問題が発生してしまった場合は、事実調査を行い、原因究明をして影響範囲を特定します。そして再発防止策を検討しそれを実施します。
 現在は多くの情報がシステム内に保存されています。従業員の意識向上だけではなく、システムのセキュリティーレベルを向上させる事も重要な保護活動の1つです。機密性、安全性、可用性を考慮し、許可された者だけが、情報にアクセスし、不正な書き換え等を防止し、必要な時に必要な資産を有効利用できるようにしておく事が重要です。

 ここまでで、企業間取引とそこでのPマークの必要性、そして具体的な個人情報保護活動を説明してきました。最後に実際にプライバシーマークの取得を目指す企業が行う作業をまとめます。取得申請の前に、まずは体制の構築が必要になります。構築における主な作業としては、方針の策定、個人情報保護台帳の作成、PMS文書の策定、内部監査の策定等があり、およそ2、3か月程を要します。構築が完了したら申請を行い、そこから3、4か月程かけて審査が行われます。企業の規模によって個人差はありますが、構築作業着手から、取得まではおよそ半年を要します。企業が自身で取得作業を進める場合は、工数の増加、実務との兼業、コストの増加等様々な障害がありますので、取得にはプライバシーマーク取得支援サービスを行っているコンサルティング企業を利用するとよいでしょう。このような業者はプライバシーマーク取得支援サービスを専門に行っているので、取得までのプロセスを完全に把握しており効率よく作業を進める事ができます。自身で行った場合には気が付きにくいセキュリティリスク等を認識し、中身のある保護体制の効率的な構築を支援してくれます。
 企業間取引において、プライバシーマークは今後も益々重要な役割を果たすことになるでしょう。未だ取得していない企業は取得への準備を始めるとよいかもしれません。

この記事を書いた人

upf_pmark
upf_pmark
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。

プライバシーマークについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: ブログ