プライバシーマークを取得する検討段階において、そもそも取得した方がいいのか、不要ではないかと悩んでいる企業は非常に多い。
なぜならプライバシーマークはビジネスにおいて必須ではないからだ。
個人情報を多く取り扱う事業者は「個人情報保護法」を守る必要があるが、プライバシーマークを取らなくても何ら問題はない。
さらに言えば、プライバシーマークを取得するためには、最低でも約30万円から約120万円(事業規模による)の費用が掛かる。
したがって、あなたが手間やコストをかけてまでプライバシーマークを取得する意味・必要性はあるのだろうか?と疑問に思うことは極々自然なことと言える。
そこで、本日は、プライバシーマークを取得する意味・必要性について説明したい。
プライバシーマークの取得を検討しているあなたに、是非読んでほしい。
プライバシーマークを取得する意味
プライバシーマークを取得する意味は大きく2つ。
1.営業先・取引先へのアピール
2.個人情報保護体制の整備
1.営業先・取引先へのアピール
プライバシーマークを取得することにより、営業先・取引先へ個人情報保護体制を整備していることのアピールが出来る。
次を参考にしてもらいたい。
上のグラフは、経済産業省の「経済産業分野の事業者における個人情報の保護に関する取組み実態調査(2011)」の中にある「個人情報の取扱いの委託先や取引先を選定する際、第三者認証の有無を考慮しますか」という質問項目を抜粋した数字だ。
参考:経済産業分野の事業者における個人情報の保護に関する取組み実態調査
つまり、このグラフは、新しい取引相手としてプライバシーマークやISO27001などの第三者認証の有無を考慮している企業がどれくらいいるかの割合を示したものとなる。
「委託先選定基準や取引条件に含んでいる」とした企業は全体の約20%となり、おおよそ2割の企業においては、プライバシーマークやISO27001などの第三者認証を持たない企業とは契約しないということだ。
この個人情報の保護に関する取組み実態調査は、2006年、2007年、2008年、2011年と行われており、「委託先選定基準や取引条件に含んでいる」の回答の割合は、2006年:4.7%、2007年:14.4%、2008年14.6%、20011年19.6%と年々増えている。
2012年以降調査は行われていないが、年金番号漏洩事件、ベネッセ事件、マイナンバー制度の施行など、世間を賑わすニュースもあり、ますます個人情報保護の関心度が高まっていることは容易に推測できる。
そのため、企業として、個人情報保護体制を整備していることをうまくアピールすることが出来れば、他社との差別化が可能である。
しかしながら、企業の個人情報保護体制というものは目に見えにくいもので、アピールし難いものである。
その点、プライバシーマークは、第三者機関が企業の個人情報保護体制に一定の担保をしてくれる認証規格マークであるため、効果的なアピールが可能である。
つまり、プライバシーマークの取得する意味とは、営業先・取引先または消費者に向けて個人情報保護体制を整備していることを効果的かつ目に見える形でアピール出来る点にある。
2.個人情報保護体制の整備
プライバシーマークを取得する意味として、1点目は社外へのアピールと書いたが、2点目は社内へのアピールと言える。
プライバシーマークに取得することで、個人情報保護の取り組みを社内へアピールし、会社全体の個人情報保護への意識向上や体制整備が可能である。
個人情報保護の体制の構築は、会社全体として取り組む必要がある。
なぜなら、個人情報漏洩はモラルの低いところから起きるからだ。
会社の一部のみで個人情報保護をしたとしても、その一部以外で漏洩が起きてしまっては意味がない。
しかしながら、会社全体として取り組むことは容易ではない。
個人情報の保護対策は手間がかかるため、従業員はその作業を嫌がりやすいからだ。
例えば、メールで個人情報を送るときにパスワードをつけるように言っているが漏れがち。個人情報の記載された紙はシュレッダーにかけるように言ってもゴミ箱にそのまま捨てられている。と悩んでいる方も多いのではないだろうか。
従業員は、経営層ほど個人情報保護の意識は高くない。
そのため、個人情報保護を従業員に求めるなら、行動の理由付けが必須となるが、プライバシーマークは、個人情報保護の理由付けとして利用しやすい。
プライバシーマークを取得・維持するためには、個人情報保護に伴う作業を行う必要があると従業員に伝えやすいためだ。
つまり、プライバシーマークの取得する意味は、個人情報保護の理由付けとして利用し、会社全体の個人情報保護への意識向上や体制整備につながる点にある。
プライバシーマークを取得する必要性
ここからはプライバシーマークを取得する必要性について説明する。
プライバシーマークを取得する意味は、「1.営業先・取引先へのアピール」「2.個人情報保護体制の整備」の2つにあるが、この2つに魅力や価値を感じない企業はプライバシーマークを取得する必要性がない。
(1)「1.営業先・取引先へのアピール」をする必要がない。
例えば、取引先が固定しており、かつプライバシーマークを求めらたことがない(例:親会社からのみ仕事を受注しており、かつ親会社からプライバシーマークを取れと言われない)。
(2)「2.個人情報保護体制の整備」についても興味がない。
例えば、既に個人情報保護体制は確立している、または個人情報保護体制を構築すること自体に魅力や価値を感じない。
上記にあてはまるのであれば、あなたの会社はプライバシーマークを取得する必要性はないだろう。
「今必要?」「将来必要?」
「1.営業先・取引先へのアピール」「2.個人情報保護体制の整備」のどちらか1つでも魅力や価値を感じる企業は、次に「今必要」なのか「将来必要」なのかを検討しよう。
「今必要」とは、「取引先からプライバシーマークを取得するように言われている」「入札参加にプライバシーマークが必要」「取引契約にプライバシーマークの取得が必須となっている」といった場合である。
「将来必要」とは、「将来的に取引先からプライバシーマークを取得するように言われそう」「将来的に入札に参加したい」「今後、取引契約にプライバシーマーク取得が必要となるだろう」と言った場合である。
プライバシーマークの取得の意味や必要性は何かと悩まれている企業は、「1.営業先・取引先へのアピール」「2.個人情報保護体制の整備」に魅力や価値を感じるが、「将来必要」となる企業のことと言える。
「1.営業先・取引先へのアピール」「2.個人情報保護体制の整備」に魅力や価値を感じない企業や「今必要」な企業は、取得の意味や必要性に悩むことがないからである。
まとめ
もし、あなたがプライバシーマークを取得する意味や必要性を考えているのであれば、まずは、「取得する意味」について確認しよう。
1.営業先・取引先へのアピール
2.個人情報保護体制の整備
この2つに魅力や価値を感じないのであれば、取得する意味も必要性もない。
少しでも魅力や価値を感じるのであれば、次に「今必要」なのか「将来必要」なのかを確認しよう。
「今必要」であれば、悩むことない。
「将来必要」であれば、「今必要」となるまで待てるかどうかで判断するとわかりやすい。
待てると判断した会社は今まで通りの企業体制や営業活動でも問題はないということだ。
待てると判断できなかったもしくは悩んだ会社は、少なくとも今まで通りでは問題があると認識しているはずだ。
この場合、プライバシーマークを取得するしないは別として、その問題点を掘り下げてみる。
問題点をはっきりさせてから、その問題点はプライバシーマークを取得することで改善出来るかどうかを考えてみると良い。
改善が出来るのであれば、プライバシーマークを取得をお勧めする。