ブログ

Pマークを取っていれば委託先として認められる


近年、優良企業の判断材料として、Pマーク取得事業者が挙げられ、特に大手企業では、マーク取得事業者以外の優先取引を禁じるコンプライアンス規定も増加しています。
そのため、会社がPマーク取得事業者となることで社会的信用が得られ、委託先として認められる場合も多くなってきましたが、これは、社会全体が個人情報に対する意識が高まってきていることも大きな要因です。
そして、マーク取得事業者は、企業全体で個人情報保護意識が高くなることで、企業内部情報の流出抑制となり、従業員の保護意識が高いことでトラブル発生時の企業イメージのダウン回避につながるなど、大きなリスクヘッジが期待できるようになります。
また、マーク取得は、法令遵守をしていると評価され、事業の安定と継続性が確保できるようになります。
さらに、マーク取得で顧客からの信頼関係が高まり、個人情報を収集する対象の消費者からも信用され、預託関係にある取引先からも信頼性を担保されるため、受注競争の場合、優位性が保てたり、企業などの委託先としての推薦を受けることもあります。
このように、企業にとって潤滑な取引の拡大で収益が上向き、従業員との信頼関係が構築できるようになるなど大きな役割りを果たすプライバシーマークですが、一方、自社で取得するには、煩雑な仕組みやルールが立ちはだかります。

消費者の判断材料

名刺やパンフレット、企業のホームページなどで良く見かけるPマークは、正式名称がプライバシーマークといい、企業や組織が個人情報保護を実施していることを告知しているマークであることを意味します。
特に、顧客から個人情報を預かるオンラインショップや、職業紹介、人材派遣会社などは、自社のホームページや会社のパンフレット、名刺などに必ずこのマークを掲載しています。
しかし、このマークは、申請すれば簡単に取得できるというマークではなく、取得するには、厳しい審査が必須です。
たとえば、プライバシーマークの取得審査では、企業と従業員が一丸となり、個人情報保護活動に取り組まなければならず、合格後も定期的に審査が続きます。
このマークを取得している会社は、個人情報保護法を遵守し、保護活動を積極的に行い、推進している企業であることが証明されているので、消費者にとってマーク取得企業は、安心で信用できる企業として認められるなど、会社を判断できる大きな基準となっています。
また、プライバシーマークを取得している会社は、個人情報に関する問い合わせ窓口があり、社長自ら個人情報保護の方針を立てて社員に周知し、働くすべての者は個人情報保護の教育を受けていることが認められているので、個人情報に関する正しい取扱いが実施されるほか、苦情や相談を真摯に受け付けています。
さらに、個人情報の漏洩事故対策を実施し、消費者が安心できる取り組みと努力を行っていることがPマークによって明確化されることで、その会社に対する信用度が上がるなど、消費者の大きな判断材料となっています。

Pマークの適合審査

Pマークの適合審査では、文書審査、現地審査、指摘事項改善がありますが、文書審査では、必要書類がすべて整っている、PMS文書が個人情報保護マネジメントシステム要求事項を満たしている、PMS文書に関連する必要な様式がすべて揃っていることが審査されます。
そして、従業員教育、内部監査の実施記録、代表者による見直しの実施記録が必須で、不備があれば指摘事項で送付され、現地審査までに改善する必要があります。
次に、現地調査では、審査員が本社に2名来訪し、審査リーダーがメインで聴き取りを行い、マーク取得の動機や、代表者がマネジメントシステムに関っているか、計画の承認や報告書の承認について聴き取りをし、個人情報の管理台帳とリスク分析を行います。
そして、従業員教育の実施内容をチェックし、実施したテストやアンケート人数の把握を行うほか、内部監査の実施内容のチェックを行い、項目や結果の確認と報告書の是正内容を確認します。
このように、全ての報告書が承認され、マネジメントの有効性やJISの要求する事項に対して見直しがされているか実施記録のチェックが行われます。
その後、現地調査が終了してから2週間後くらいに、審査リーダーから現地検査で不適合とされた箇所についての改善すべき指摘事項が届くので、3ヶ月以内に改善報告書及び、実際に改善した内容で運行した記録、証拠の提出が必須となりますが、この指摘事項は、一回の改善報告で付与されることは少なく、数回の再指摘事項を経て、JISの要求事項を満たした個人情報保護マネジメントシステムの運用遂行が承認されるようになります。

審査合格への道のり

Pマークは、JIPDECの運営するプライバシーマーク制度で、この法人から使用許諾が与えられることで取得できるシステムですが、このマークを取得するためには、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム要求事項」で要求されている全ての事項を満たし、認証審査に合格することが必須です。
そして、審査合格への道のりでは、要求事項の規格により、個人情報保護を目的としたマネジメントシステムの構築と運用が要求されます。
また、ルールが要求事項を満たしているかどうかの確認手段として、ルールを文書化することが必要で、さらに、文書化したものを実施した記録を作り、審査機関に申請し、審査を受けます。
なお、プライバシーマークを取得するための内容では、JIS Q 15001:2006が要求しているルールを文書化し、その内容を実施して審査機関に申請しますが、JIS Q 15001:2006の38項目の要求事項は、自社で実施していくためのルール作りのための重要なポイントとなります。
それは、個人情報保護活動を実施していくための代表者の方針と実施するための計画、そして、計画した内容の実施と法を遵守するための施策、実施状況の点検や内容の適正状況の確認、さらに、計画、実施、点検から仕組みの改善ポイントを見つけて実施するといった流れを続けるための要求となります。
そして、取得の準備では、責任者を決めることから始め、通常、取得活動スタートから申請まで、約半年程度の期間で進めますが、プライバシーマーク取得支援サービスを活用することで、個人情報保護の知識が向上し、取得後の運営もスムーズに行われることも少なくありません。

近年、個人情報保護法の施行や、個人情報漏洩事故の発生により、個人情報に対する意識が社会全体に高まる一方、ビジネスリスクも大きくなってきています。
そして、個人保護情報を推進して、プライバシーマークを取得している会社は、厚い信頼を受けていると認知され、企業から委託先として認められることが増えてきています。
そのため、マークを取得することが会社を発展させることにつながるひとつの目安ともなりますが、多忙な会社がマークを取得するには、煩雑な手続きやルール作りのノウハウが必須で、取得はハードルが高いともいえます。
そのような会社のため、プライバシーマーク取得支援サービスでは、個人情報保護法に準拠した仕組みの構築を作り上げ、個人情報の漏洩発生リスクを減少させるなど、マーク取得の仕組みづくりと運用ノウハウを提供していて、活用により、個人情報保護に関する知識や意識が向上し、策定後の普及や運営などがスムーズに行われる場合も少なくありません。
また、日々の業務の中でプライバシーマーク業務を行うことが難しい会社でも、マーク取得支援サービスによるバックアップ体制で、自分の仕事の時間を確保出来たり、取得後の運営も円滑に行われることから、支援サービスによる活用は、今後、委託先として認められるための大きな手助けの一環ともなるといえます。

この記事を書いた人

upf_pmark
upf_pmark
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。

プライバシーマークについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: ブログ