プライバシーマーク取得のレベルはどれぐらい?
プライバシーマークを自社で取る場合、コンサルタントを使ったりセミナーに行って勉強するという場合など、取るための色々なケースが考えられます。
しかしどの程度のレベルがあるのかわからない場合もあります。
会社によっては自社で取った、別の会社によってはコンサルに全部お任せしたなど様々です。
自社で取得したという場合もある程度の難易度は考えなければなりません。
まずは言葉の意味をよく理解しなければいけません。
Pマークは規格に沿った書類を作成する必要があります。
この規格とはJISQ15001と呼ばれるもので、たとえるなら法律の文章のような感じです。
これは個人情報保護マネジメントシステム要求事項といって、個人情報保護の仕組みを指します。
そしてこの企画書は30ページ近くあり、有料で購入します。
まず最初に自社だけで取ろうとすると、この規格書類の用語が最初の難易度となります。
次に問題になるのが社内の統制です。
部単位で取得できないので、各部署が連携して取る必要があります。
そして社長から役員まですべての連携が必要になります。
社長だから、役員だからといってPマークの教育訓練を抜くということができないので、非常に気を遣うことになります。
上長や役員に対して説得する必要があるので、場合によっては第三者の外部コンサルタントのほうがやりやすいということもあるのです。
では取得がどの程度のレベルなのかを具体的に解説します。
プライバシーマークは個人の情報を保護するためのものです。
一方先ほどのJISQ15001はプライバシーマークの規格です。
これは日本独自のものです。
それに対してISMSという国際規格があります。
これは組織が保有している情報を脅威から守る対策を目的にしています。
Pマークが個人情報を保護することが主体で、ISMSは組織情報を保護し、その結果として個人を保護するという考え方です。
どちらのレベルも取得に時間は大変ですが、プライバシーマークが2年に1度の審査でもISMSは毎年維持審査、3年おきに更新審査があります。
どちらが難しいかというより、どちらもレベルとしては非常に難しく、何を目的に取得するべきなのかは企業の業種によっても変わります。
余談ですがISMSは組織単位で取れるので部署ごとでも可能ですが、プライバシーマークは必ず会社全体で取る必要があります。
その意味からもPマークのほうが手間を考えるとレベルが高いと言えます。