情報セキュリティが重要視されている現代では、組織が取り扱っている従業員や消費者の個人情報は、厳密に管理することが求められるようになっています。そのため、個人情報保護に関する規格であるプライバシーマーク(Pマーク)の取得を検討する組織が増えています。

そこで本記事では、プライバシーの概要や取得企業数、取得に関して解説していきます。

プライバシーマーク(Pマーク)って?

プライバシーマークとは、日本国内で有効な個人情報保護マネジメントシステムPMS )のことです。一般財団法人日本情報経済社会推進協会(JIPDEC)やその指定機関による審査を受け、適合性認定 されることで、プライバシーマークの使用を認められるようになります。
また、プライバシーマークを取得するには、JIS(日本産業規格)が定めた「JIS Q 15001個人情報保護マネジメントシステム- 要求事項 」に適合していることが必要です。

プライバシーマークを取得することで、個人情報の漏えいや紛失、改ざんなどのリスク低減するための個人情報マネジメントシステムを構築・運用することができます。

関連記事:Pマークとは?認証取得のキホンと規格要求事項を徹底解説【Pマーク入門】
累計ダウンロード3,500件突破!ISO27001丸わかり説明資料

プライバシーマーク制度が設立された理由

インターネットやIT技術の進歩により、個人情報をインターネット上に預けることで受けられるサービスが普及するようになりました。この変化によって、個人情報を保護できる体制が整ってない組織において、個人情報漏えいなどの問題が発生していました。こうした問題が多発したことで、個人情報の取り扱いが社会的に求められるようになったのです。

そこで、通商産業省(現:経済産業省)の指導により、プライバシーマーク(Pマーク)制度が設立されたのです。

個人情報が漏洩する原因

日本ネットワークセキュリティ協会(JNSA)の2018年の調査報告によると、情報漏えいの10位までの原因は以下のようになっています。

1位:紛失・置忘れ
2位:誤操作
3位:不正アクセス
4位:管理ミス
5位:盗難
6位:設定ミス
7位:内部犯罪・内部不正行為
8位:不正な情報持ち出し
9位:バグ・セキュリティホール
10位:その他


参考:特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)「2018年 情報セキュリティインシデントに関する調査報告書」

原因を確認すると、組織外部からの影響による漏えいは不正アクセス、盗難などがあるものの、大部分は組織内部による問題となっています。
情報漏えいの最も多い原因である紛失・置忘れについては、働き方改革の推進にともなって、テレワークの導入が増えていることによる影響が考えられます。例えば、社用パソコンやデバイスなどを外出先のカフェなどに置き忘れたり、移動の際に紛失したりといったミスがあるでしょう。

このように、外部要因による漏えいリスクの低減だけでなく、ヒューマンエラーを予防するために全社的に取り組むことが、情報漏えいのリスクを低減するうえで欠かせません。

累計ダウンロード3,500件突破!ISO27001丸わかり説明資料

情報漏洩による損失

賠償金・見舞金などの金銭的な支払による損害

まず、金銭における直接的な損失としては、事故対応損害、賠償損害、利益損害などが挙げられます。それぞれの概要を解説します。

・事故対応損害:被害が発生してからの初動対応から復旧、再発防止までの対応を行った際にかかる損害のことです。
・賠償損害:被害を被った顧客から損害賠償請求がされた際に、負担した損害のことです。
・利益損害:被害が発生してから事業を中断した際に発生した利益喪失や、人件費などの支出による損害のことです。
参考:特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)「インシデント損害額調査レポート 2021年版」

社会的信用の低下

間接的な損失として挙げられるのが、社会的信用を失うことです。
昨今では、商品・サービスの質だけでなく、社会から求められている役割を果たしているかどうかが組織の価値を左右する大きな要素になっています。その中で、情報セキュリティにおける安全性の有無も、非常に重視されている部分です。

そのため、情報漏えいが発生すると、組織の内部体制に疑問をもたれ、社会的な信用を失ってしまうのです。また、社会的信用の低下により、取引や契約の機会損失や売上の減少にもつながる可能性があります。

経営活動の悪化

組織外部における損失だけでなく、組織内部においても経営活動が悪化するおそれがあります。
情報漏えいの調査から対策までは、基本的には組織内で行わなければなりません。また、情報漏えいが発生した情報がメディアにより拡散されることで、多くの問い合わせが寄せられる可能性がありますが、その対応を行うのも従業員です。こうした対応に追われることで、業務効率やモチベーションの低下や、コストが発生し、経営活動の悪化につながる可能性があります。

プライバシーマークを取得した企業の数や業種

現在のプライバシーマークを取得した企業数を調べるには、一般財団法人日本情報経済社会推進協会(JIPDEC)が運営しているプライバシーマーク制度というホームページの右上にある「付与事業者」を選択し「プライバシーマーク付与事業者検索」検索することができます。

2022年12月20日現在、17,312社にプライバシーマークが付与されています。また、2022年9月30日に公表されているデータによると、主な業種別の取得業者数は以下のようになっています。

  • サービス業:13,158社
  • 製造業:1,436社
  • 卸・小売・飲食料業:958社
  • 運輸・通信:756社

参考:一般財団法人日本情報経済社会推進協会(JIPDEC)「プライバシーマーク制度:不要の状況(2022年9月30日時点)」

このようにサービス業が取得業者数の大多数を占めています。サービス業の中で最も取得数が多いのが、情報サービス・調査業(7,076社)となっており、情報を取り扱うサービス業者が積極的にプライバシーマークを取得していることがわかります。

累計ダウンロード3,500件突破!ISO27001丸わかり説明資料

プライバシーマークを取得するメリット・デメリット

次に、プライバシーマークを取得するメリット・デメリットについて解説します。まず、メリットから見ていきましょう。

・セキュリティリスクを低減できる
プライバシーマークを取得するためには、個人情報保護に関する要求事項を満たしたマネジメントシステムを構築・運用しなければなりません。そのため、プライバシーマークを取得するために取り組んでいくことで、セキュリティ体制を築くことができ、情報漏えいのリスクの低減につながります。プライバシーマークの要求を満たしたから完璧というものではありませんので、さらに対策を検討する必要はあります。

・取引先や顧客からの信頼獲得
プライバシーマークは第三者機関による認証であるため、個人情報保護マネジメントシステムを構築することができたという証明になります。そのため、取引先や顧客に自社のセキュリティ水準の高さをアピールすることができるのです。

次に、デメリットにおいても確認しておきましょう。

・取得するために労力や時間がかかる
JIS(日本産業規格)が定めた「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合した体制を構築・運用することが必要になります。そのため、取得を希望してもすぐに認証を得られるわけではありません。
一般的に、準備から認証を受けられるまでに、最低でも半年はかかるものと考えておきましょう。

以下の記事でプライバシーマークを取得するメリット・デメリットの詳細を解説していますので、あわせてご覧ください。

関連記事:Pマーク(プライバシーマーク)を取得するメリットとは?

プライバシーマークを取得する手順

それでは、実際にプライバシーマークを取得するための手順について解説していきます。プライバシーマークを取得するためには、要求事項に記載されているマネジメントシステムを構築・運用したうえで、審査を受けることが必要です。

1.文書審査
8つの事項を満たす文書や日常の記録を作成します。

2.現地審査
文書審査をもとに、審査員による個人情報保護マネジメントシステムに関する質問がされ、実際の運用状況について確認されます。

3.是正処置
審査により不適合があった場合には、その指摘箇所に対して是正処置を行います。

4.取得認証
プライバシーマークの要求事項を満たしていた場合、認証が発行されます。

以下の記事で取得手順の詳細を解説していますので、あわせてご覧ください。

関連記事:Pマーク認証を取得する方法と流れを知ろう
累計ダウンロード3,500件突破!ISO27001丸わかり説明資料

プライバシーマーク取得後の注意点

有効期限がある

プライバシーマークには、2年間の有効期限があります。そのため、更新手続き期間に、審査機関に更新申請書類の提出や更新料がかかることに注意が必要です。会社の規模によって更新料が異なってきます。このように、定期的に更新における手間と費用がかかることは覚えておきましょう。

また、ただ更新申請を行うというものはなく、取得後にも継続的な運用をしていることが欠かせません。例えば、個人情報台帳、リスク分析表の見直しや年1回以上の従業員教育などが挙げられます。
日々の運用ができている場合には、更新のために改めて行う準備は特にありません。

定期的な従業員教育が必要

プライバシーマークを取得するために全社的に取り組んでいる最中や取得直後には、個人情報保護に対する従業員の意識は向上しているでしょう。
しかし、継続的な運用を続けていても、従業員の意識を高めていく必要があります。それは、マネジメントシステムはリスクを低減するためのツールであり、使用するのは従業員であるためです。
また、情報漏えいが発生する原因の多くがヒューマンエラーであることを考えると、漏えいリスクを防ぐためには、定期的な従業員教育が必要となります。

まとめ

プライバシーマークを取得し、個人情報保護マネジメントシステムを構築・運用することで、組織の情報セキュリティを高めることにつながります。社会的信用を高めるために、特に情報サービス業において積極的な取得が進められています。
ヒューマンエラーによる情報漏えいのリスクを低減し、継続的な改善をしていきたい場合、プライバシーマークの取得を検討してみるのはいかがでしょうか。

累計ダウンロード3,500件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4.4万円(税込)から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4.4万円(税込)からご利用いただけます。

ISO27001、44,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ