プライバシーマーク(Pマーク)って?取得企業数やメリットについて解説
- Pマークとは、国内で有効な個人情報保護マネジメントシステムのこと
- Pマークの取得業種は、個人情報の取り扱いが多いサービス業が大半を占めている
情報セキュリティが重要視されている現代では、組織が取り扱っている従業員や消費者の個人情報を厳密に管理することが求められるようになっています。そのため、個人情報保護に関する規格であるプライバシーマーク(Pマーク)の取得を検討する組織が増えています。
そこで本記事では、プライバシーマーク(Pマーク)の概要や取得企業数、取得企業の検索方法、取得の手順について解説します。
目次
プライバシーマーク(Pマーク)とは
プライバシーマークとは、日本国内で有効な個人情報保護マネジメントシステム
(PMS
)の認証
制度のことです。一般財団法人日本情報経済社会推進協会(JIPDEC)やその指定機関による審査を受け、
適合性
を
認定
されることで、プライバシーマークの使用を認められるようになります。
また、プライバシーマークを取得するには、JIS(日本産業規格)が定めた「JIS Q 15001個人情報保護マネジメントシステム-
要求事項
」に適合している必要があります。
プライバシーマークを取得することで、個人情報の漏えいや紛失、改ざんなどのリスクを低減するための個人情報マネジメントシステムを構築・運用できます。
プライバシーマーク(Pマーク)制度が設立された理由
インターネットやIT技術の進歩により、個人情報をインターネット上に預けることで受けられるサービスが普及するようになりました。
この変化によって、個人情報を保護できる体制が整っていない組織では個人情報漏えいの問題が発生するようになったのです。こうした問題が多発したことで、個人情報の取り扱いが社会的に求められるようになりました。
そこで、通商産業省(現:経済産業省)の指導により、プライバシーマーク(Pマーク)制度が設立されたのです。
個人情報が漏洩する原因
それでは、どのような原因で個人情報は漏洩してしまうのでしょうか。日本ネットワークセキュリティ協会(JNSA)の2018年の調査報告によると、情報漏えいの10位までの原因は以下のようになっています。
1位:紛失・置忘れ
2位:誤操作
3位:不正アクセス
4位:管理ミス
5位:盗難
6位:設定ミス
7位:内部犯罪・内部不正行為
8位:不正な情報持ち出し
9位:バグ・セキュリティホール
10位:その他
参考:特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)「2018年 情報セキュリティインシデントに関する調査報告書」
原因を確認すると、組織外部からの影響による漏えいは不正アクセス、盗難などがあるものの、大部分は組織内部による問題となっています。
情報漏えいの最も多い原因である紛失・置忘れについては、働き方改革の推進にともなって、テレワークの導入が増えていることによる影響が考えられます。例えば、社用パソコンやデバイスを外出先のカフェなどに置き忘れたり、移動の際に紛失したりといったミスがあるでしょう。
このように、外部要因による漏えいリスクの低減だけでなく、ヒューマンエラーを予防するために全社的に取り組むことが、情報漏えいのリスクを低減するうえで欠かせません。
個人情報が情報漏洩した場合のリスク
個人情報が情報漏洩した場合、企業にはどのようなリスクがあるのでしょうか。ここでは、3つのリスクを解説します。
賠償金・見舞金などの金銭的な支払による損害
まず、金銭における直接的な損失としては、事故対応損害、賠償損害、利益損害などが挙げられます。それぞれの概要を解説します。
- 事故対応損害:被害が発生してからの初動対応から復旧、再発防止までの対応を行った際にかかる損害のこと
- 賠償損害:被害を被った顧客から損害賠償請求がされた際に、負担した損害のこと
- 利益損害:被害が発生してから事業を中断した際に発生した利益喪失や、人件費などの支出による損害のこと
参考:特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)「インシデント損害額調査レポート 2021年版」
社会的信用の低下
間接的な損失として挙げられるのが、社会的信用を失うことです。
昨今では、商品・サービスの質だけでなく、社会から求められている役割を果たしているかどうかが組織の価値を左右する大きな要素になっています。その中で、情報セキュリティにおける安全性の有無も、非常に重視されている部分です。
そのため、情報漏えいが発生すると、組織の内部体制に疑問をもたれ、社会的な信用を失ってしまうのです。また、社会的信用の低下により、取引や契約の機会損失や売上の減少にもつながる可能性があります。
経営活動の悪化
組織外部における損失だけでなく、組織内部においても経営活動が悪化するおそれがあります。
情報漏えいの調査から対策までは、基本的には組織内で行わなければなりません。また、情報漏えいが発生した情報がメディアにより拡散されることで、多くの問い合わせが寄せられる可能性がありますが、その対応を行うのも従業員です。
こうした対応に追われることで、業務効率やモチベーションの低下、コストが発生し経営活動の悪化につながる可能性があります。
プライバシーマーク(Pマーク)の取得企業数や取得が多い業種
一般財団法人日本情報経済社会推進協会(JIPDEC)によると、2023年7月20日現在、17,496社にプライバシーマークが付与されています。また、2023年3月31日に公表されているデータによると、主な業種別の取得業者数は以下のようになっています。
- サービス業:13,373社
- 製造業:1,430社
- 卸・小売・飲食料業:977社
- 運輸・通信:777社
参考:一般財団法人日本情報経済社会推進協会(JIPDEC)「プライバシーマーク制度:不要の状況(2022年9月30日時点)」
このようにサービス業が取得業者数の大多数を占めています。サービス業の中で最も取得数が多いのが、情報サービス・調査業(7,173社)となっており、顧客情報を取り扱うサービス業者が積極的にプライバシーマークを取得していることがわかります。
プライバシーマーク(Pマーク)取得企業の検索方法
プライバシーマークの(Pマーク)の取得企業数の検索方法をご紹介します。
JIPDECのホームページを確認する
プライバシーマークを管轄しているJIPDEC(一般社団法人日本情報経済社会推進協会)からプライバシーマーク付与事業者情報を確認できます。
検索するには、プライバシーマーク制度というホームページの右上にある「付与事業者」を選択し「プライバシーマーク付与事業者検索」を選択してください。
常にPマーク取得事業者の最新情報が更新されています。どのような企業が取得しているのかを、本店の所在地や業種、事業者名称などから検索できるため、取得を検討している企業は競合他社を検索しても良いかもしれません。
企業のホームページを確認する
事業主が運営するホームページを確認すると、プライバシーマークのロゴマークが掲載されているでしょう。プライバシーマークは消費者からの認知度も高いため、取得企業のほとんどが自社のホームページに掲載しています。
ホームページのほかにも、パンフレットや名刺などを確認することで、プライバシーマークの取得業者かどうかを確認できます。
自社でプライバシーマーク(Pマーク)を取得した場合にも、ホームページやパンフレットなどに掲載し、アピールするようにしましょう。
プライバシーマーク(Pマーク)を取得するメリット・デメリット
次に、プライバシーマークを取得するメリット・デメリットについて解説します。まず、メリットから見ていきましょう。
・セキュリティリスクを低減できる
プライバシーマークを取得するためには、個人情報保護に関する要求事項を満たしたマネジメントシステムを構築・運用しなければなりません。そのため、プライバシーマークを取得するために取り組んでいくことで、セキュリティ体制を築けるため、情報漏えいのリスクの低減につながります。プライバシーマークの要求を満たしたから完璧というものではありませんので、さらに対策を検討する必要はあります。
・取引先や顧客からの信頼獲得
プライバシーマークは第三者機関による認証であるため、個人情報保護マネジメントシステムを構築できたという証明になります。そのため、取引先や顧客に自社のセキュリティ水準の高さをアピールできるのです。
次に、デメリットにおいても確認しておきましょう。
・取得するために労力や時間がかかる
JIS(日本産業規格)が定めた「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合した体制を構築・運用することが必要になります。そのため、取得を希望してもすぐに認証を得られるわけではありません。
一般的に、準備から認証を受けられるまでに、最低でも半年はかかるものと考えておきましょう。
以下の記事でプライバシーマークを取得するメリット・デメリットの詳細を解説していますので、あわせてご覧ください。
プライバシーマーク(Pマーク)を取得する手順
それでは、実際にプライバシーマークを取得するための手順について解説していきます。プライバシーマークを取得するためには、要求事項に記載されているマネジメントシステムを構築・運用したうえで、審査を受けることが必要です。
1.文書審査
8つの事項を満たす文書や日常の記録を作成します。
2.現地審査
文書審査をもとに、審査員による個人情報保護マネジメントシステムに関する質問がされ、実際の運用状況について確認されます。
3.是正処置
審査により不適合があった場合には、その指摘箇所に対して是正処置を行います。
4.取得認証
プライバシーマークの要求事項を満たしていた場合、認証が発行されます。
以下の記事で取得手順の詳細を解説していますので、あわせてご覧ください。
プライバシーマーク(Pマーク)取得後の注意点
有効期限がある
プライバシーマークの有効期限は2年間です。そのため、更新手続き期間に審査機関へ更新申請書類の提出をすることや更新料がかかることに注意が必要です。会社の規模によって更新料が異なります。このように、定期的な更新による手間と費用がかかることは覚えておきましょう。
また、ただ更新申請を行うというものはなく、取得後にも継続的な運用をしていることが欠かせません。例えば、個人情報台帳、リスク分析表の見直しや年1回以上の従業員教育などが挙げられます。
日々の運用ができている場合には、更新のために改めて行う準備は特にありません。
定期的な従業員教育が必要
プライバシーマークを取得するために全社的に取り組んでいる最中や取得直後には、個人情報保護に対する従業員の意識は向上しているでしょう。
それだけでなく、継続的な運用を続けていても、従業員の意識を高めていく必要があります。それは、マネジメントシステムはリスクを低減するためのツールであり、使用するのは従業員であるためです。
また、情報漏えいが発生する原因の多くがヒューマンエラーであることを考えると、漏えいリスクを防ぐためには、定期的な従業員教育が必要となります。
まとめ
プライバシーマークを取得し、個人情報保護マネジメントシステムを構築・運用することで、組織の情報セキュリティを高めることにつながります。社会的信用を高めるために、特に情報サービス業において積極的な取得が進められています。
プライバシーマーク取得支援を行っているコンサルティング業者もあります。依頼することで、自社の負担を大きく軽減しながら取得が可能です。
ヒューマンエラーによる情報漏えいのリスクを低減し、継続的な改善をしていきたい場合、プライバシーマークの取得を検討してみるのはいかがでしょうか。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい