fbpx

情報セキュリティにまつわる
お役立ち情報を発信

「取って良かった」と思うPマークの最大のメリット

仲手川です。

4月も終わり来週からは5月に入りますね。
5月と言えばゴールデンウイーク、
そしてもう一つ。
5月と言えば30日にいよいよ『改正個人情報保護法の全面施行』が開始されます。

この個人情報の改正や、様々な個人上にまつわる事件事故が、Pマークの必要性や取得事業者の増加に大きく関連しているのです。

これまでのPマーク制度

プライバシーマーク制度は、今から19年前の1998年、欧米では一般的になっていた個人情報の保護に対する民間企業の意識を普及させるため開始されましたが、当初はあまりなじみのない制度だったようです。
(※弊社がPマーク事業を始めたのは2008年から)

しかし、2005年の「個人情報保護法制定」により従来の考え方が一新され、その認知は一気に広まり、大手企業や公共事業の入札を中心に取得事業者が増えていきました。

また、2007年の大日本印刷、2014年のベネッセHDの大量個人情報流出事件を皮切りに、Pマークの取得件数は近年増え続けたというのも背景の一つです。

また、近年のトピックスとして昨年から開始されたマイナンバー制度(2016年1月~)により、今まではITや人材系企業、広告代理店などがメインであった業種に加え、医療、士業、保険代理店、不動産管理業などの、取得される業種業態は多岐にわたるようにもなりました。

更に、本年5月30日から全面施行される個人情報保護法の12年ぶりの大改正により、『5,000件以上の個人情報を持っている事業者のみが個人情報管理事業者』という件数条件がなくなること、内閣府に個人情報保護委員会の設置されたことも、企業間取引に関係が生じる事業者が増えた原因の一つです。

このように取得したPマークを企業間取引に活用して企業の発展に役立てている事業者がある一方、逆に「そもそも取得に価値を見出せない」、または「取得したものの、結局更新を断念する」企業も少なからず存在します。

ここで、約20年に渡り浸透し、認知度が進んだPマークだからこそ、改めて取得するメリットを確認してみたいと思います。

 

メリットがあるのは、「受託側」

自社の業務に必要な業務の一部を他社に委託する、または他社から特定の業務を委託(受託)されている、という事業形態は多く存在しますが、Pマークが必要なのは後者の方です。
つまり、「他社から特定の業務を委託されている」側にとってメリットがあります。
通常、業務を受託する契為の約を結ぶ際は、1年間の期間を定め、その期間が満了になると契約を更新する、というケースが一般的です。
(※契約年は1年が一般的ですが、稀に2~3年もある)

その契約更新の際に、これまでは要求されなかったにもかかわらず「次回の契約更新の際にはPマークの取得が新たに要件として加わる」可能性が増加傾向にあります。
特に最近では、冒頭に述べたようにベネッセ事件の影響にならい、業務の委託元としても同様の連鎖トラブルをさけるため、個人情報保護の取扱を重視している企業を委託先に選ぶ社会傾向は、益々強まっていくといえます。
つまり、新規に利益を獲得することはもちろん、それ以前に、まず現在の取引を維持すること、下請けとして切られない為にも「うちはPマークを取得している会社です」というレッテルが役に立つのが意義なのです。

Pマークを持っている会社が100%安全ではないが、Pマークを持っていない会社に外注することはリスクを放置したことになる


例えば、ベネッセ事件を例にしますと、ベネッセがシンフォームに個人情報を扱う業務を委託し、シンフォーム社が個人情報の漏えいなどの事故を起こしてた場合、その個人情報漏えいについての責任はシンフォームだけではなく同時にベネッセにも責任があるとなります。
つまり、ベネッセは「あなたが個人情報を適正取扱っている委託先を選ばなかったから、事故原因はあなたです」と社会的な制裁を受けることになったのです。

このように、個人情報を取扱う業務の委託先を選定する際、背負うリスクを最小限に抑える方法の一つとして委託先の選別が重要です。

その選択基準が「最低Pマークを取得している会社」というのが徐々に社会通念可してきているのです。

それだけで、メリットがあります。というより、大手企業から業務を受託する企業にとっては、もはやPマークを取得せずに経営を行うという事は、万が一の際に連鎖被害を被る可能性のあることを言いながら契約することであり、委託元企業にとっては、リスクを承知で外注することなのです。

 

悪質なPマークコンサル会社の甘い罠に乗ってはいけない

上に挙げたPマーク取得メリットとPマークを取得していない会社へ業務を外注するリスクは、会社の経営を進めていく上では重要な要素であることは間違いありません。

したがってPマーク取得を検討されるほとんどの企業が、上記で述べるな「委託元からの悪影響」を避ける為に取り組みに踏み切っていることも事実です。

しかし、そういった取引上の優位性のみを目的に据えると、中には「Pマークさえ取得できれば良くて、実際の運用はままならなくてもOK」という考えに至ってしまっている企業も登場しがちです。

現に、世にいるPマークコンサル会社の中には、低価格で運用の定着や体制改善をおこなわずに単に取得のみを代行する悪質な業者も残念ながら多く存在することになりました。

それらは、会社の実態や業態に沿わないルール作り申請してしまい、審査機関の目を盗み偽りの運用実態のマニュアルをつくるので、結果としてせっかくの取得も何の意味もないことになってしまいます。

「お客様は何にもしなくていいですよ、審査対応も我々が代行します」と甘い言葉で誘惑してきます。

当然、日ごろ忙しい経営者やPマーク取得を任された総務部長にとっては喉から手が出るほど魅力的です。

しかし、 たまにいる『Pマークを取得しているのもかかわらず個人情報漏洩を起こす会社』はこの類というのが私の個人的な見解です。

単に取引先にアピールするためだけのPマーク取得を目的とするのではなく、取得を通じて社で取り組んだプロジェクトをきっかけとして、大切な個人情報を適切に取り扱う社風が社に構築されれば、当然先に挙げたメリット以上に、会社の事業発展に寄与されることは間違いありません。

JIPDECのWEBサイトで公表されているPマーク取得事業者の一覧をご覧を見れば、Pマークを取得し、長年運用されている企業が長期的に成長していることは一目瞭然である事がお分かりかと思います。
JIPDECウエブサイト

まとめ

長期的に社会に認知され、継続発展し続ける。
それこそが長期的な展望における「取ってて良かった」と感じることが出来るプライバシーマークの最大のメリットと言えるのです。

 

★こちらの記事もおすすめ

→【仮想通貨を支えるブロックチェーン技術の仕組みと取引所のセキュリティってどうなっている?(ISMS取得事業者からよくある質問)】

この記事を書いた人

仲手川

仲手川

■出身地:神奈川県 ■趣味:読書、格闘技観戦 ■苦手なもの:混雑している場所 ■著書:Pマーク・ISMSを取ろうと思ったら読む本(幻冬舎) 東京、名古屋、大阪、福岡にオフィスを構える株式会社UPFです。 日本全国を対象にISMS、プライバシーマークの新規取得と取得後の運用支援コンサルティング事業をしております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846 セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る