fbpx
privacy

プライバシーマーク取得のメリットとは?ISMSとの違い

平成10年(1998年)4月1日のプライバシーマークの制度開始から20年以上が経過し、個人情報保護の考え方は大きく変遷しました。最近では、5,000人以下の個人情報を取り扱う事業者(小規模取扱事業者)も個人情報保護法の適用対象になるなど、社会的な要請を受け、個人情報に対する考え方はより厳格化しています。

個人情報はルールを遵守し、有効に活用すれば、ユーザーの利便性向上を含めビジネス上の優位性を高めることができます。

プライバシーマークとは?

プライバシーマークは、事業者にとっては法律に適合していて、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールする有効なツールとして活用できます。

プライバシーマーク制度は、事業者の個人情報の取扱いが適切であるかを評価し、基準に適合した事業者に”プライバシーマークの使用を認める”制度です。その目的は以下の2点です。

  • 消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること
  • 適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること

 個人情報保護をめぐる社会情勢は年々厳しくなっています。企業経営に大きな打撃を与え、最悪の場合、倒産の危機の可能性もあります。企業として、個人情報漏えいリスクによる影響はどんなものがあるのかを把握していますか?

  • 損害賠償(金銭で補填の必要性)
  • 機会損失(通常業務に支障が起きる)
  • 法的処罰(インサイダー取引)
  • 信用の失墜(業績悪化につながる恐れ)

個人情報の保護に関する法律

個人情報の保護を図るとともに適切な活用ができるように、「個人情報保護法(※)」が平成15年(2003年)5月に成立、平成17年(2005年)4月に全面施行されました。

※正式名称「個人情報の保護に関する法律」

大勢の従業員を抱える企業や大量の個人情報を事業に取り扱う企業はもちろん、中小企業や個人事業主、町内会・自治会、学校の同窓会なども、個人情報を取り扱う際のルールが義務づけられました。名前や性別、生年月日、住所などは、個人のプライバシーにも関わる大切な個人情報です。一方、個人情報を活用することで、行政や医療、ビジネスなど様々な分野で、業務の効率化やサービス向上を図ることができます。

JIS Q15001

JIS Q 15001は個人情報保護を目的として、さまざまな組織が個人情報を適切に管理するためのマネジメントシステムの要求事項を定めた規格です。プライバシーマークを取得するためにJIS Q 15001に基づいて社内体制を整備することにより、効果的かつ効率的な個人情報管理を行うことができます。

「JIS」とは、「Japanese Industrial Standards(日本工業規格)」のことであり、工業標準化の促進を目的とする工業標準化法に基づき制定される国家規格です。

「Q」とは、JISにおける部門記号であり、「管理システム」の部門に分類されていることを表しています。

個人情報とプライバシー

個人情報保護法でいう「個人情報」とは、生存する個人に関する情報(パーソナルデータ)のうち、特定の個人を識別できる情報のことです。一方、プライバシーとは、私生活や私事、個人の秘密のような他人にみだりに知られたくない情報のことで、個人情報=プライバシーではありません。

プライバシーマークを取得する目的

プライバシーマークを取得することで、「社会的信頼性を上げて取引をスムーズにしやすくする」というメリットが得られます。特に、BtoB企業のように取引先との立場が対等な場合、個人情報管理の信頼性は重要視されるポイントです。

中には、「プライバシーマークを取得している企業ではなければ取引できない」と断られるケースもあります。第三者から「この会社は個人情報マネジメントシステムを構築していて、安心して個人情報を預けることができる」と認められているという証のため、競合入札やコンペティションの参加条件としてプライバシーマーク認証が義務づけられているといったケースもありあす。

プライバシーマーク取得のメリット・デメリット

個人情報保護に関心が寄せられる中、プライバシーマークを取得するメリット・デメリットをご紹介します。

プライバシーマーク取得のメリット

先述の通り、プライバシーマークとは、個人情報を適切に管理する体制が整備されていることを証明するマークのことです。取得することで得られるメリットは下記の通りです。

  • 個人情報を有効に活用するため、社内体制の整備
  • 内部不正の防止、セキュリティインシデントの予防
  • 社会的信用の獲得、ビジネスチャンスの増加(競合他社との差別化)

  • 社内体制の整備

プライバシーマークを取得する場合、まずはプライバシーマーク付与適格性審査基準に基づいて社内体制を整備しましょう。

「一般財団法人日本情報経済社会推進協会(JIPDEC)」の審査機関に申請し、プライバシーマーク付与適格審査を受けます。先に審査基準をクリアする必要があるため、ハード面・ソフト面含めて社内体制を整備するきっかけにもなるでしょう。

  • 内部不正の防止

プライバシーマークの取得を全社的に周知することにより、従業員の意識向上が期待できます。また、個人情報を取り扱う手順や管理方法をルール化し、違反した場合の罰則を定めることで、内部不正の防止対策にもなります。

  • 社会的信用の獲得、ビジネスチャンスの増加(競合他社との差別化)

会社案内やWebサイトに表示できるプライバシーマークは、目に見えて確認できるため、消費者側の個人情報保護に対する意識を高められます。正しく個人情報を取り扱うことは、事業者の社会的信用にもつながります。

個人情報保護に関するマネジメントをさらに高いレベルで確立・運用できている事業者であることを、視覚的に理解してもらえます。

プライバシーマーク取得のデメリット

取得するメリットだけでなく、デメリットもお伝えします。

  • イニシャルコスト、ランニングコストがかかる
  • プライバシーマーク取り消しは信頼を失う

  • イニシャルコスト、ランニングコストがかかる

取得時には、初回審査費用などが必要です。(30~120万:企業の大中小によります)

次に、2年ごとに更新審査費用が継続的に必要です。

  • プライバシーマーク取り消しは信頼を失う

プライバシーマーク認定企業がもし個人情報を漏えいし、その漏洩の過程においてずさんな管理が露呈した場合、「取消」のケースもあります。

取得することが目的ではなく、取り消しの結果、社会的な信頼を失ってしまうことのないように気を付けましょう。

プライバシーマーク取得の流れ

取得するための流れは以下の通りです。取得するためのサポートやコンサルティングを提供している企業もあります。

  • 申請資格(法人格)
  • 書類審査(必要書類を揃える、提出先を確認する)
  • 現地審査(書類審査を通過後)
  • 合否通知(郵送)
  • 有効期限(2年ごとに更新)

申請から合格までのスケジュールの目安は、最短でも3~4か月です。(JIPDECによるプライバシーマーク公式サイトにおけるモデルケースの場合)

  • 申請から申請受理まで…約2週間
  • 書類審査と現地調査日の調整および申請料の入金確認…最短で約1.5か月
  • 現地審査と指摘事項の改善および審査会…最短で約1か月+指摘事項改善に必要な期間
  • Pマーク付与契約と登録完了…約2~3週間

プライバシーマーク取得企業の一覧

JIPDECは、プライバシーマーク制度に基づき、検索結果に示される事業者に対して、プライバシーマークを付与しています。認定された企業のサイトは、プライバシーマークが掲載でき、誰でも視覚的に確認することが可能です。

プライバシーマークとISMSとの違い

Pマークは、個人情報に特化した規格に基づく認証です。「個人情報だけでなく、営業秘密や企業秘密など情報全体に関して、取り組みをしたい」という場合はISMS(ISO27001)情報セキュリティマネジメントシステムの取得を検討しても良いでしょう。

プライバシーマークとISMSは、守るべき情報の範囲が違うため、自社に合った取得を検討しましょう。

ISMSとは

ISMSは『情報セキュリティマネジメントシステム』の略称で情報資産と呼ばれる資産の価値がある情報であり、事業者の財務情報や人事情報、技術情報はもちろん、個人情報も含まれます。

組織がISMSを確立し、リスクマネジメントプロセスを適用することにより、情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を得ることが可能です。

個人情報保護方針とコンテンツ

コンテンツ経由で個人情報を収集する場合、コンテンツを第三者が利用する場合など個人情報の取り扱いに注意を払っていますか?

自社へ応募してくれた候補者の個人情報の取り扱いには、注意が必要です。「応募者のプライバシーを尊重し、個人情報(以下の定義に従います)の管理に細心の注意を払い、これを適正に取り扱います。当社が採用活動において取得する個人情報は、以下の目的のために利用し、それ以外の目的には利用いたしません。」など個人情報の定義・利用目的・機微情報の取得・外部委託(採用代行・人材派遣など)に関して明記しましょう。

例えば、自社コンテンツを第三者が利用する場合は、

「コンテンツを利用する際は出典を記載してください。」「コンテンツを編集・加工等して利用する場合は以下の点を遵守してください。」「第三者の権利を侵害しないようにしてください。」など注意事項の明記が必要です。

Webサイト・オウンドメディアに掲載し得られる効果

「一般財団法人 日本情報経済社会推進協会(JIPDEC)より20○○年〇月〇日付けで「プライバシーマーク」(Pマーク)を取得しましたのでお知らせします。」

と、認定された企業はWebサイトにお知らせを掲載することができます。お客様が訪問したWebサイトやオウンドメディア上にプライバシーマークがあることで、「この会社ならば安心」と印象付けることができます。

社内でセキュリティ管理やプライバシー尊重をしっかり対策しているのならば、プライバシーマークを取得していても、取得していなくても関係ないかもしれません。しかしながら、第三者側からすれば「どのような基準でどのように運用をしているのか、客観的に確認できること」が重要なのです。

個人情報を適切に管理し、企業の信頼性を上げよう

新規案件で個人情報が関わる場合、「弊社はプライバシーマークを取得しています」と言えることは、他社との差別化にもなります。事業運営における個人情報の重要性を深く認識し、その保護をこれまで以上に徹底することで、自社が運営する各種サービスをお客さまに安心してご利用いただけるように、取得を検討してみてはいかがでしょうか。

資料ダウンロード申し込み

Scroll to Top