大手企業、金融や保険会社、大手企業のグループ会社・子会社、セキュリティ意識の高い会社、そしてプライバシーマークを取得している企業は、委託先として「プライバシーマークを取得していない」企業を選択しないことが多いことをご存じだろうか。
2011年(※古いが2016年12月時点では最新のデータ)の個人情報の保護に関する取組み実態調査では、委託先を選ぶ際に「プライバシーマーク取得(第三者認証)を委託先選定基準や取引条件に含んでいる」とした企業は約19.6%と思った以上に高い。
(個人情報の保護に関する取組み実態調査の詳細は、プライバシーマークを取得する2つの意味と必要性についてを参照)
つまり、約企業の2割が、委託先として「プライバシーマークを取得していない」企業を選択していない。
プライバシーマークはビジネスにおいて必須ではないが、取得しておかないと10社のうち2社とは取引できないことになるということだ。
なぜ委託先として選択されないのか?その理由については、実際の現場から考えると理解しやすい。
そこで、プライバシーマークを取得していない企業に委託しない本当の理由について解説したい。
もしあなたが担当者だったら?
もし、あなたが企業の従業員であって、従業員情報や顧客情報を預ける必要がある業務について、委託先を探さなければいけない担当者だとしたら何を基準にその委託先を選ぶだろうか?
前提として、あなたは社長ではなく従業員で、また、委託する業務はサービスや料金に大きな差がなく、数多くある企業から委託先を選択できる立場であることとする。また、大手企業、金融や保険会社、大手企業のグループ会社・子会社、セキュリティ意識の高い会社、そしてプライバシーマークを取得している企業など、個人情報の漏えいリスクに意識が高い企業に所属しているとする。
そのようなあなたが、「従業員情報や顧客情報を預ける必要がある業務」の委託先を選ぶため、何を重要視するだろうか。
価格、サービスの質・量、利便性、ブランド力なども重要だが、まず考えるべきはセキュリティではないだろうか。
個人情報の漏えいリスクに意識が高い企業に所属している以上、万が一、預けた情報が漏えいした場合、責任の追及は必ず行われる。当然ながら、その委託先を選んだあなたの責任は追及されるだろう。
その責任の追及のことを考えると、従業員情報や顧客情報を預ける必要がある業務についてプライバシーマークやISMSを持っていない企業とは委託契約を結ぶのはリスクが高いと考えるだろう。
なぜなら、「プライバシーマークやISMSを持っていない企業」と委託契約を結び、結果的に漏えいした場合、数多くある企業のうち「なぜ」「プライバシーマークやISMSを持っていない企業」を選んだのか、委託先を選ぶ基準としてセキュリティを重要視していなかったのではないか、とその責任について問われるからである。
いくらあなたが、しっかりとしたセキュリティ体制を持っている会社だと認識していたと主張したとしても、客観性がないため、その主張は苦しくなるだろう。セキュリティは目に見えた証明が難しいからである。
そのため、担当者の立場としては「プライバシーマークやISMSを持っている企業」の方が委託しやすい。
結果的に漏えいした場合であっても、少なくとも、セキュリティを軽視したと言われることがないからである。
審査機関から一定の情報セキュリティ体制についてお墨付きもらっている「プライバシーマークやISMSを持っている企業」を委託先として選んでいながら漏えい事故が起きた場合と、そうではない場合ではどちらがあなたの責任が追及されやすいかは容易にわかるであろう。
また、あなたに上司がいるとするとしよう。
上司に委託先決定の決裁をもらうとしたら、「プライバシーマークやISMSを持っていない企業」と「プライバシーマークやISMSを持っている企業」ではどちらが決裁もらいやすいだろうか言うまでもないだろう。
プライバシーマークは必要最低限
上記のようなリスクが存在することが容易にわかっている中では、担当者やその上司からは「プライバシーマークやISMSを持っていない企業」は避けられ、「プライバシーマークやISMSを持っている企業」の中から委託先が検討されるのは当然である。
「プライバシーマークやISMSを持っていない企業」はそもそも検討先として選定の土俵にのることさえできていない。
わざわざ、「プライバシーマークやISMSを持っていない企業」を選択しなくても、「プライバシーマークやISMSを持っている企業」は数多くあり、「プライバシーマークやISMSを持っている企業」の中からでも比較検討が充分可能だからである。
もし、あなたの会社のサービスに特殊性があるのであれば、プライバシーマークは必要ないかもしれない。
委託先を選ぶ際に、セキュリティよりもその特殊性が上位に来るようであればプライバシーマークより、その特殊性を高めるほうがいいだろう。
しかしながら、われわれの会社を含め、数多くの企業は唯一無二の存在ではなく、容易に比較対象されてしまう立場であろう。
大手企業、金融や保険会社、大手企業のグループ会社・子会社、セキュリティ意識の高い会社、そしてプライバシーマークを取得している企業など、個人情報の漏えいリスクに意識が高い企業から受注を受けたいと考えるのであれば、プライバシーマークは必要最低限と言えるのではないだろうか。
まとめ
個人情報の保護に関する取組み実態調査によると、無作為選択された企業のうち2割が「プライバシーマークなどを取得していない」と委託先として選ばないと回答している。
委託先として選ばない理由は、委託先の決定権者が「プライバシーマークやISMSを持っていない企業」についてリスクを感じているからである。
企業存続のリスクを警戒する側面も当然あるが、担当者レベルとしたら、万が一の漏洩時の自分自身の責任問題に発展してしまうリスクが一番怖いであろう。
ある程度の規模の会社になると委託先を選ぶのは、経営層ではなく、その下の従業員であることが多い。
もし、あなたが担当者を説得し委託契約を獲得していくためには、プライバシーマークを取得は必要最低限と言えるのではないだろうか。