会社の個人情報保護対策、何から始めればいい?専門家が1から解説!
これだけは知って置くべき!というPマークのポイントをまとめました
日本では2005年4月から「個人情報の保護に関する法律」が全面施行され、個人情報保護を求める機運が高まりました。
情報の管理や活用は今や企業活動の生命線となり、企業の信頼を大きく左右します。特に個人情報に関わることは少しの不注意が会社の信用失墜へと直結するので、企業にとっては目を背けることのできない問題になっています。
今回は、プライバシーマーク制度を運営するJIPDEC(一般財団法人日本情報経済社会推進協会)に、企業が取り組む情報の保護と活用のポイントを伺いました。
(2016/05/25更新)
本文を読むこの記事の目次
保護すべき個人情報とは
皆さんは、個人情報の定義をご存知でしょうか。
個人情報とは、生存する個人に関する情報で、特定の個人を識別できるものに当たります。
個人を識別できる情報をベースに、事業活動を行う時に取得、利用する情報が該当します。
例えば、個人からの問い合わせメールや申し込み時の契約書、取引先担当者の名刺、業務委託先から受け取った顧客リスト、個人情報が含まれている書類や電子媒体などが該当します。
見落としがちなのが、写真や動画です。
ホームページに掲載しているスタッフ紹介画像やイベントの様子を撮影した動画などへも配慮が必要となります。
併せて従業者情報も保護対象であるため社員の履歴書や健康診断の結果も丁寧に扱う必要があります。
情報漏えいのリスクと事故の原因で最も多いものは?
リスクは主に2つあります。
直接的には、情報漏えいされた人への金銭的な保証です。損害賠償を請求されるケースもあり得ます。
間接的には、会社の社会的信用やブランドイメージが損なわれてしまうというリスクもあるでしょう。
そして、情報漏えい事故の原因としては、8割がヒューマンエラーという調査結果が出ています。
普段の仕事の中でのケアレスミスから発生しているケースや、PCや個人情報が入ったバッグを電車の中に置き忘れるといった事例、携帯電話の紛失などが挙げられます。
最初にこれだけは絶対やっておこう
まず、個人情報の取り扱いには経営上のリスクがあるということを、従業者全員が認識する必要があります。
その上で、組織として個人情報の管理を徹底するにはルールを作るというところからスタートすることが大切。
そして、そのルールを従業者が守れる体制を作ることが重要です。
個人情報が含まれる書類のファイルは、必ず鍵付きのキャビネットを用意して入れておく、といった簡単なところから始めるのもよいでしょう。
また、紛失・置き忘れ・盗難などに備えて、PCやスマホ、USBのような媒体にはパスワードを必ず設定する、ということは、今すぐにでも実践することができます。
Pマークの取得のタイミングと費用は?
取得のタイミングは、ある程度どのような個人情報を扱っていくかがわかった後、ルール決めができ、実行できてからが効率的です。
なぜならPマークというものは、いわゆるPDCA(Plan→Do→Check→Act)が回っている状態で初めて取得できるからです。
そのため、取得までの期間は、申請をしてから4~6か月程度ですが、何もない状態からだと1年程度かかることもあります。
費用は、登録料・審査料が規模によって変わりますが、小規模・新規の場合、約30万円。有効期限は2年間。更新の際は少し安くなります。
2年間というと短いと感じるかもしれませんが、日々技術が進み私たちの個人情報を取り巻く環境が変化しているためだとご理解ください。本当に実効性があるのか、ルールがきちんと守られているのか。ということを含め2年に1回見直し、定期的に第三者の目で確認をしてもらっているという安心感が出るのではないかと思います。
- 押さえておきたいポイント
-
- Pマーク取得までの期間は、最短で4~6ヶ月。長いと1年程度かかる
- Pマーク取得費用相場は、小規模・新規の場合約30万円
- 有効期限は2年
Pマーク取得のための申請から付与契約までのプロセス
Pマーク取得は審査機関に申請がまず必要。最近では取引条件にPマーク取得を必須にしているケースもあり、積極的な取得が望まれます。
- 申請
- 形式審査
- 文書審査
- 現地審査
- 付与可否の決定・通知
- 契約の締結、登録証交付及び公表
①審査機関(事業者が会員となっている審査機関
保健・医療・福祉分野の事業者、他、ホームページ参照)に申請する
⇒参照はこちらから
②付与機関(JIPDEC)に申請する
書類記載内容に不備がないか、申請資格の有無、
事業概要からの業種判断等の形式審査が行われる
受理された申請書類の記載内容等に関して、個人情報保護マネジメントシステム等の個人情報保護の行動指針を定めた規程類に準じた体制整備状況の視点から文書審査
個人情報保護マネジメントシステムの通りに体制が整備され、運用しているか等について確認を行われる
文書審審査及び現地審査の結果に基づき、プライバシーマーク付与適格性の有無を決定
その後申請者に対しプライバシーマーク付与適格性審査の結果の可否通知を送付
付与機関はプライバシーマーク付与適格決定の通知を受けた事業者との間で「プライバシーマーク付与契約」を締結し
登録証を交付
契約期間は2年間
付与契約締結後には、付与機関等のホームページで事業者名を公表
- Pマーク取得のメリット
-
- リスク管理ができる
- Pマーク取得が入札や契約の基本条件にしているケースがある
- 競合他社との差別化が図れる
わかりやすい制度紹介資料や申請書類はプライバシーマークホームページから
ダウンロードできます。
⇒詳しくはこちら
(取材協力:JIPDEC 一般財団法人日本情報経済社会推進協会)
(編集:創業手帳編集部)