その他の規格 COLUMNISO規格の知識コラム(その他の規格)

その他の規格 コラム

その他の規格

プライバシーマーク(Pマーク)は意味がない?

2023.02.22
プライバシーマーク(Pマーク)は意味がない?

近年、企業の情報漏洩が頻発しており、もし自社で情報漏洩してしまったらどうしようと他人事ではいられない企業様が多いと思います。

万が一情報漏洩する事態に陥ったときは、損害賠償の支払いや社会的信頼を失い、最悪の場合は事業継続が不可能ということまで発展する危険性があります。

その為、以前よりも適切な情報セキュリティ対策を取ることが重要視する企業様が増加しており、こうしたリスクを回避するためにPマーク(プライバシーマーク)やISMS(Information Security Management System)といった第三者機関の外部監査を受け、個人情報保護や情報セキュリティを確保することが重要視されてきております。

ですが、プライバシーマーク(Pマーク)を取得した結果、業務以外のタスクが増えた、外部監査の為に書類を作っている等とプライバシーマーク(Pマーク)って意味がないんじゃないかと疑問に感じられる企業様も多くいらっしゃいます。

当コラムではプライバシーマーク(Pマーク)を取得するメリット・デメリットについて解説していきます。

プライバシーマーク(Pマーク)とは

プライバシーマーク制度は、日本産業規格のJIS Q 15001「個人情報保護マネジメントシステム―要求事項」に適合して、個人情報の適切な保護のためのシステムを整備している事業者等を第3社の審査機関が認証する制度のことです。

認証された場合は、ホームページや名刺等にプライバシーマーク(Pマーク)を使用することができ、個人情報を適切に取り扱う安心な事業者としての証明にすることができます。

プライバシーマーク(Pマーク)取得までの流れ

プライバシーマーク(Pマーク)取得の流れは大きく6つに分けられます。

プライバシーマーク(Pマーク)取得までの流れ:①マニュアルとルールの作成、②マニュアルとルールの運用、③申請、④文書審査、⑤現地審査、⑥結果の通知

組織内での個人情報保護に関するマニュアル、ルール作成をする必要があります。
マニュアル、ルール作成には注意点があり、JIS Q 15001「個人情報保護マネジメントシステム―要求事項」の内容に沿って作成しなければなりません。

そして実際に作成したマニュアル、ルールを運用していきます。
運用していきながら、JIPDEC(一般財団法人 日本情報経済社会推進協会)にプライバシーマーク(Pマーク)の申請を行います。

その後、文書審査が実施され、現地審査という流れで進んでいきます。

プライバシーマーク(Pマーク)を取得するメリット

企業がプライバシーマーク(Pマーク)を取得した場合のメリットについて大きく3つあります。

メリット① 消費者や取引先に対して

プライバシーマーク(Pマーク)は幅広く社会全体で認知度が高く、プライバシーマーク(Pマーク)を取得している企業には消費者・取引先も安心して個人情報を提供できる印象があります。
よって対外的にイメージアップさせることで、結果的に販売促進や事業拡大などに繋げることができます。

メリット② 官公庁・自治体に対して

建設業などは、官公庁・自治体からの工事案件について入札する機会があると思います。
現在、官公庁の入札条件にはプライバシーマーク(Pマーク) の取得が挙げられている場合もあり、入札するときには競合他社より有利に働くこともあります。

メリット③ 従業員に対して

従業員に対しては、プライバシーマーク(Pマーク)に関する教育を年1回行うことが求められ、定期的に教育することにより、従業員のセキュリティ意識を向上させることができ、個人情報漏洩の危険性も減少させることに繋がります。

プライバシーマーク(Pマーク)を取得するデメリット

プライバシーマーク(Pマーク)を取得することは良いことばかりではないことも事実です。
デメリットについても大きく4つあります。

デメリット① 経費が必要

プライバシーマーク(Pマーク)取得には、外部審査を受けるために費用がかかります。
取得費用は企業規模によって様々であり、数十万円で済む場合もあれば、数百万円かかってしまう場合もあります。
さらに1回の審査で終了ではなく、取得後も2年ごとに更新する必要があり、その度に審査費用が必要になってきます。

デメリット② 時間がかかる

プライバシーマーク(Pマーク)取得には多くの時間がかかります。

まずはJIS Q 15001の要求事項に沿って社内のルール作り(約1〜5ヶ月)、JIPDECの指定機関に審査依頼し、2回の審査を受けた結果合格するとプライバシーマーク(Pマーク)を取得することができます。
申請から合格までは約2〜4ヶ月の時間がかかります。

最短でも5か月、最長なら1年くらいはかかってしまうと想定しておく必要があります。

デメリット③ 業務の増加

プライバシーマーク(Pマーク)を取得すると、PMS(個人情報保護マネジメントシステム)に沿った業務ルールを追加する必要性があるので、従業員の側面で見ると、余分な作業が増加してしまう可能性があります。

それ以外にも、正しくPMSを運用している証拠として記録を残したりもしなければなりません。
結果として、余分な作業が増えて、これまでよりも生産性が落ちる可能性があります。

具体的にPMSが実施しなければいけないことは以下になります。

  • 2年ごとの更新審査を受けなければならない
  • 1年に1回内部監査を実施
  • 1年に1回従業員の個人情報保護教育を実施

デメリット④ 国外事業者向けではない

プライバシーマーク(Pマーク)は日本国内に拠点を持つ企業が対象であり、海外の認知度は0に等しいものになります。
そのため国際ビジネスにとってはアピールポイントになりにくい点は注意すべきところになります。
よって、海外企業向けにアピールしたい場合はISMS(ISO27001)を取得する方が適しています。

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

まとめ

プライバシーマーク(Pマーク)を取得することはデメリットもありますが、正しいルール作りをすることで有効的な運用ができ、教育を通して、従業員の個人情報保護に対して理解を深めていくことで、余分な作業と感じさせないような取り組みにすることで会社に大きな良い影響をもたらす可能性も秘めています。

コラム内容を確認していただき、プライバシーマーク(Pマーク)に対するメリット・デメリットの大枠は理解していただけたことと思います。
その結果、自社にとってプライバシーマーク(Pマーク)は本当に必要かどうか精査するきっかけになれば幸いです。

当コラムを最後までお読みいただきありがとうございました。

ISO27001(ISMS)に関するよくあるご質問

QISO27001(ISMS)とPマークとの違いは?

対象となる範囲が異なります。
Pマーク(PMS)は個人情報が対象となり、ISO27001(ISMS)は組織や企業が所持している情報資産(個人情報も含まれうる)が対象となります。

範囲で言うとISO27001(ISMS)の方が多岐にわたります。

Q情報セキュリティって何ですか?

情報セキュリティ(ISMS)とは、情報の機密性・完全性・可用性を維持し、かつ、リスクを適切に管理することを言います。

Q情報セキュリティにおけるリスクにはどんなものがありますか?

そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。

「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。
「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。

QISO27001(ISMS)の重要性は?

ISO27001(ISMS)を認証取得していることは、組織内の仕組み・取り組みの品質保証に繋がります。

情報セキュリティが甘いと攻撃や情報漏洩のリスクが高まります。
そしてそういった事態は一度起こってしまうと取り返しがつかず、組織の信用回復も難しいでしょう。

そのため、行政の入札や大手顧客との取引でISO27001(ISMS)の取得が必須要件とされることが非常に増えてきています。

ISO27001(ISMS)は内部の仕組み改善だけでなく、対外的な信用を得る上でも非常に重要な存在としての認識が高まってきています。

  • SNSでシェアする

1分でカンタン!
なんでも質問フォーム

株式会社GCERTI-JAPAN
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。

北村 一真
北村 一真ISO審査員

お客様にとって分かりやすい審査を心掛けていきたいと考えております。 一審査員として、お客様に認めて頂けるように努めてまいりますので、よろしくお願い致します。

お問い合わせはこちら
お問い合わせはこちら
無料お見積もり お問い合わせ

Social media & sharing icons powered by UltimatelySocial