個人情報保護法とプライバシーマーク(Pマーク)関する記事を掲載して以来、いまだに、多くの方から様々なお問合せをいただいております。
ご相談の内容は、ある行為が合法か違法か?と言った内容から、利用目的の公開方法、リスクをどのように考えるかなどと多岐に渡っていますが、その中でも多いのが中小零細企業の方々からの「安くプライバシーマークを取得する方法」「プライバシーマークを取得するには幾ら必要か?」「あるコンサルタント業者から見積りを受けたが妥当か?」などいった取得費用に関するご相談です。
個人情報を扱う業務の性質や業務の数、個人情報の量、事業所の数などによって、その取り組みは随分異なってきますし、コンサルタント業者の指導方法やその作業に関わる方の人数などによっても大きく違ってきますので、一概に、高いか安いかについてお応えすることは難しいのが現実です。
最近は、プライバシーマークの取得支援をする会社も増えてきましたので、その料金は以前に較べて随分安くなってきているのは事実ですが、それでも、やはり決心のいる金額であることには間違いありません。
ここでは、そうした費用を少しでも安く抑えるためのヒントをお話ししたいと思います。
費用を安くに抑えるには、基本的に自社で取り組むことです。
とはいえ、何もかも全てを自社で取り組むということ難しいものがありますが、コンサルタントを適切に活用するのがいいでしょう。何もかもコンサルタント任せとせずに、適切に作業分担・役割分担することです。
そこで、単に費用を軽減するだけでなく、自社に浸透した効果的・効率的なシステム構築という観点からも、次のような手順をお勧めしております。
1、プロジェクトを立上げ、責任者を任命する。
個人情報保護のシステムを構築する作業は片手間ではなかなか難しいものがあります。会社として、しっかりと意思表明をし、責任者・担当者を定めて推進する必要があります。
ただ、小規模な会社において専任の担当者を置くことは困難ですから、担当者は日常の業務を抱える中での関わっていく必要がありますが、「日常業務の暇な時間で・・」などと言っていては決して作業は捗りません。「毎日○○時から○時間を作業にあたる」など、けじめをつけた活動が必要になります。
そのためには、経営者や他従業員の理解と、担当する者の覚悟も必要です。
2、個人情報保護やプライバシーマーク(Pマーク)に関する情報を収集する。
まずは、個人情報保護の全体像を把握することが必要です。
今、個人情報保護への関心の高まりとともに、こうした情報は巷にあふれておりますので、コンサルタントの指導を仰ぐ前に、市販の書籍を読んだり、セミナーや講演に参加したり、インターネットで調べるなど、自らその努力をすることです。
少なくとも、プロジェクトの責任者となられた方は、個人情報保護法やJISQ15001について充分な知識を有するよう、会社として勉強の機会(書籍の購入やセミナー等への参加など)を提供できるようにしなければなりません。
3、コンサルタント会社を選定する。
自社で個人情報保護システムを構築すると言っても、個人情報保護活動が網羅する範囲は広範囲で多岐に渡っていますので、相応の知識と経験がなければ自社担当者だけで完全なマネジメントシステムを構築することは困難です。
どうしても、部分的であってもコンサルタントのアドバイスを受けることが必要になるものと思います。そこで、コンサルタント費用を安く抑えために、次のような条件でコンサルタント会社を選定します。
@必要な時に必要な範囲で関わってくれる。
コンサルタント会社としては、その都度の依頼に対応することなど決して効率は良くありませんので、一括で請け負いたいものです。当然に対業務あたりの単価は向上しますが、全体で見たときには大きなコスト低減に繋がります。
事前相談として○回、PMS文書作成段階で○回、安全管理対策の指導に○回、申請前に○回、それ以外は1回つき○○円と言ったような契約などが考えられます。
最近は、このように申請までに10回程度の訪問指導を基本プログラムとして提案するコンサルタントが多いようですが、その間にも、メールや電話などで、きめ細かな対応をしてくれるコンサルタント会社を見つけ出すことが必用です。
A個人情報保護マネジメントシステム(PMS)文書の雛型を提供してくれる。
PMSの構築を全くの白紙から考え、作成していく作業は結構大変です。
そのため、その雛型となるサンプル文書の提供を受け、自社の実体に合わせて手を加えていくことで、要求された事項について漏れなく、効率的かつ効果的なPMSを構築する。というのが一般的です。
コンサルティングの中で、雛型の提供があるかについて事前に確認しておきましょう。
ちなみに「雛型文書だけを購入したい。」との問合せが当社にもありますが、通常、こうした雛型を提供することは、自社のノウハウを暴露するものであり、また、コンサルティング業務の範囲を縮小させるものに繋がりますので、一般に雛型だけを提供してくれる会社は少ないものです。
最近、多くの書籍で、規定の見本などを掲載しているものも多くなりました。それはそれで参考になりますが、知る限りで必要な規定や手順書等の全てを網羅したものはありません。これで万全と安心するにはちょっと注意が必要です。
B自社の状況をしっかりと把握することに努めてくれる。
この見極めは難しいものがありますが、一つには同業種の支援経験があるかを聞いてみるのといいでしょう。
Webショップ経営、人材派遣、小売店、不動産関係、医療関係・・・それぞれの業界における法規制や慣習、他業種とは異なる特徴ある個人情報の扱いなどについて理解していただくことが必要です。
その上で、自社の組織、業務の進め方などについてしっかり把握することに努めていただけるかどうかを見極める必要があり、契約前のやり取りの中で担当コンサルタントの経験や人柄などの印象を掴むことです。
大手コンサルの場合は営業とコンサルタントが異なることも多いので、セールストークには注意が必要です。また、新規に参入するコンサルタントは、取り合えずは勉強として廉価で一生懸命取り組んでくれますが、試行錯誤を繰り返したり、重要なポイントを見落としたりなどして、かえって費用が嵩んだり時間がかかると言ったこともありますので、きちんと見極めることが大切です。
4、PMS文書の作成
上記の条件でコンサルタント会社の選定が終えれば、提供された雛型(サンプル文書)を参考に自社CPを作成します。
注意が必要なのは、雛形はあくまでもPMS文書の構成や書式の参考であるということです。
仮に雛形通りのPMSを構築しても、そのPMS通りの運用が困難であれば、Pマークを申請しても審査の段階で露見してしまうでしょうし、仮に運良く取得できても、その後に何らかの事故を起こした場合に、PSMに基く運用ができていないとなれば資格の剥奪や会社名の公開など、その代償はPマークを取得しない場合より大きなものになってしまいます。
如何に自社のシステムに対応させるかを真剣に考える必要があります。
この段階において、適切なタイミングによるコンサルタントのアドバイスを受けることが必要です。
「この通りにやっていればいいんですよ。」なんて指導するコンサルタントもおりますが、それで上手くプライバシーマークを取得できても、きちんと運用できていなければ、更新時につじつま合わせに翻弄することになってしまい、結果として過大な労力を割くことになってしまいます。
5、安全管理対策
個人情報の安全管理対策を実施します。入退室管理・施錠管理の整備、重要な書類の鍵付き書庫への保管、パソコン等の盗難防止、ネットワークへの不正アクセス対策、自然災害対策等々。
扱う個人情報の性質や重要性、組織の規模や形態に応じた安全管理対策を実施します。
果たして、どのレベルまで対策すればいいかと皆さんが悩むところです。お金をかければいいと言うものでもありませんんので、ここはコンサルタントのアドバイスを受けるといいでしょう。
6、申請前の監査
Pマーク申請においてはPMSに基いた一連の運用が確実に実施できていることが必要です。少なくとも、この監査だけでも外部コンサルタントに依頼することをお勧めします。このとき、現地審査時の注意事項などについても指導を受けておきましょう。
7、申請・審査
一定期間の運用を終え、社内にPMSに基く運用が確認できればPマークの申請を行います。審査時に指摘された事項などについては、コンサルトントに説明し、適切な処置についてのアドバイスを受けるといいでしょう。
8、監査
プライバシーマークの維持には、少なくとも年一回は監査が必要です。
PMSに基いた運用が出来ていなければ、先に述べたようにプライバシーマーク取得は意味が無いばかりか、万一の場合には大きな代償を負うことになります。
客観的な立場から監査できるように、コンサルタント会社に依頼することをお勧めします。
いい関係で長くお付き合いできるコンサルタントにめぐり会えるか否かが個人情報保護対策における大きな要素であると言えるでしょう。
幾つかのコンサルタント会社に遠慮なく相談してみましょう。
|
