Pマーク(プライバシーマーク)とは?
Pマーク(プライバシーマーク)は個人情報保護に関する制度で、制度が開始されてから20年以上が経過し、重要性を増してきています。
個人情報保護に必要な認定制度
Pマークは、企業が個人情報保護に取り組んでいることについて、一般財団法人日本情報経済社会推進協会が認定する制度を言います。企業の個人情報保護の取り組みを日本情報経済社会推進協会が審査し、認定します。認定された企業はPマークを使うことができるようになります。Pマークの目的は次の通りです。
・個人情報保護に関する消費者の意識向上に応えられる態勢を整え、企業が消費者からの信用を得る
Pマークは取得すればそれで良いというものではなく、内部監査や社員教育等を実施することで、認定を維持するための企業の取り組みが必要となります。
個人情報保護法よりも厳格なPマーク基準
Pマーク制度は、企業が個人情報をPマーク基準に則って管理していることを審査します。審査結果により適合している場合に、企業はPマークを使用できることになります。Pマーク基準は、JIS Q 15001 個人情報保護マネジメントシステムに基づいて決められています。
Pマーク基準には、JIS Q 15001の他、個人情報保護法・個人情報保護法に関するガイドライン・地方自治体による個人情報関連の条例・業界団体の個人情報関連のガイドライン等の各種法律も含めて設定されています。個人情報を保護する法律としては個人情報保護法がありますが、個人情報保護法よりも厳格なのがPマーク基準だということが理解できます。
Pマークが求められた背景とは?
個人情報保護法よりも厳格なPマークが求められた背景には次のような背景があります。
・個人情報漏えいへの不安
・顧客から求められる個人情報保護対策
Webマーケティングの普及
Webマーケティングの普及で企業は個人情報を容易に取得することができるようになりました。例えばCDP(カスタマーデータプラットフォーム)は、自社サイトだけでなくSNSや他社サイトにおける消費者の行動履歴を追って販売促進に繋げられるWebマーケティングです。企業にとって販売促進の機会があることはメリットですが、規制もなく、消費者の個人情報を企業が自由自在に使うことに抵抗感のある消費者は少なくないでしょう。
個人情報保護法は2017年に改訂され、従来は対象外だった従業員5,000人以下の企業にも保護法の対象となりました。法律は、個人が特定されないように加工を加えた情報への流通を認める一方で、個人情報保護に関して厳格化傾向になりました。Webマーケティングを行う企業がPマークの表示をすれば、消費者の安心を買うことに繋がるのです。
個人情報漏えいへの不安
個人情報を扱う企業にとって、個人情報漏えいへの不安はいつまでもぬぐうことができません。ひとたび個人情報が漏えいすればメディアで報道されて企業イメージが悪化し、顧客や取引先の減少に伴う業績悪化に繋がる恐れがあるのです。個人情報を漏えいした企業の事例を紹介しましょう。
2014年にベネッセが引き起こした個人情報漏えい事件は記憶に新しいと思います。本件はベネッセグループの派遣社員が顧客情報を盗んだことで発覚した事件。ベネッセは、顧客への補償費用として200億円を補償することが報道されました。個人情報保護法を上回る基準が求められるPマークが求められる背景には、個人情報漏えいによる莫大な補償費用、そして顧客への迷惑や業績悪化に繋がる恐れを防ぐことがあるのです。
顧客から求められる個人情報保護対策
個人情報保護に対する顧客の意識の高まりにより、顧客から個人情報保護対策が求められることもあります。Pマークは企業が表示することができます。「当社は個人情報保護を万全の態勢で行っています」というだけでなく、厳しい審査をクリアしたPマークを取得したことで顧客からの個人情報保護対策へのニーズに応えることになります。
Pマークと情報漏えいリスクの関係
Pマークと個人情報漏えいリスクの関係について、詳細を解説します。
個人情報保護法違反による罰則
個人情報保護法に違反すると厳しい罰則があります。6ヶ月以下の懲役または30万円以下の罰金に科せられることがあります。
損害賠償にかかるコスト
個人情報を漏えいした場合、企業は慰謝料として顧客に補償費用を支払わなくてはなりません。ベネッセが支払った補償費用は200億円でした。また、企業が民事訴訟を起こされた場合は損害賠償請求されることがあります。漏えいした個人情報の数が多ければ損害賠償額が大きくなることも考えられます。
顧客からの信用失墜
個人情報の漏えいの恐ろしさは、「自分の個人情報が何に使われているか分からない」ことの顧客の不安です。見知らぬ企業の販売促進に使われることもあれば、個人情報から犯罪に繋がることさえ否定できません。個人情報を漏えいするリスクは>顧客からの信用を失うことを意味します。
事業継続の不安
顧客から失った信用を回復できれば事業継続は維持できるでしょう。しかし信用回復ことに失敗すれば、最悪の事態として事業継続ができなくなることが想定されます。
以上、4つの個人情報漏えいリスクを見てきました。Pマークを取得することで社員の個人情報保護に対する意識を高め、リスクを防衛する必要があることが理解できます。
Pマークを取得するメリット
Pマークを取得するメリットを3つ紹介します。
顧客から信頼が得られる
Pマークは、個人情報保護法を上回る審査基準に合格することで取得できる制度です。Pマークを取得していること、Pマーク審査に合格または維持することの困難さについて、ホームページや広報活動を通じて企業がPRすれば、顧客から信頼を得ることができます。
個人情報漏えいについての報道を顧客は厳しく見ており、顧客の意識は高まっています。そんな意識があるからこそ、企業はPマークを取得・維持することで顧客の信頼を獲得することができるのです。
官公庁への入札のハードルが下がる
官公庁の仕事を事業にしている企業にとっては、官公庁への入札のしやすさは事業運営を左右することに繋がります。官公庁では、企業が個人情報保護に厳格に取り組んでいるかどうかを入札の基準にしていることがあります。Pマークを取得していれば官公庁の企業への評価は高くなります。結果として官公庁への入札のハードルが下がるメリットがあるのです。
事業の拡大に繋がる
新規事業を拡大するにあたって、Pマークを取得していれば競合との差別化に繋がります。Pマーク取得による顧客の信頼の獲得があることも、事業の拡大を促すことでしょう。
Pマークを取得するデメリット
Pマークを取得することのデメリットにはどんなことがあるでしょうか。Pマークを取得すれば未来永劫、Pマークを維持できる訳ではありません。維持するために内部監査、個人情報保護教育の実施等、社内作業があることがデメリットです。
内部監査の実施
Pマークの内部監査はPマークを維持するために社内で実施するもので、適合性監査と運用監査の2つに分けられます。まず、適合性監査については社内規程がJISQ15001に合致しているかを監査するものです。もう1つの運用監査は、職場で規程通りに運用されているかを監査するものです。
内部監査では運用監査が大変です。大変というのは、監査する側も監査される側も社員ですし、本業を抱えながら内部監査業務にあたるからですね。もし監査の結果、不適合が見つかれば職場で是正しなくてはなりません。Pマークを維持するための内部監査に工数がかかってしまうのがデメリットです。
個人情報保護教育の実施
Pマーク取得後は、年に1度、個人情報保護教育を社員に行う必要があります。個人情報保護教育を行うこと自体は、Pマークを維持するためには必要なことです。しかし、個人情報保護教育には以下のようなデメリットがあります。
・簡単な内容になってしまい教育効果を得にくい
・社員が教育に非協力的
教育には効果が得られなければ意味がありません。社員が読んで分かりやすいテキスト作り、e-leaningの問題作りの大変さ、そして教育に対して社員が協力的でないこともあります。
まとめ
企業の個人情報漏えいリスクは大きく、漏えいさせた場合の補償金額も多大です。顧客が離反し、業績が悪化した場合、事業継続できなくなる事態に陥ることもあり得るのです。Pマーク制度は個人情報保護法を上回る厳しい基準を満たした企業を認定する制度です。Pマークを取得していれば、顧客や取引先は安心し、企業の事業拡大にも繋がっていきます。Pマーク取得の必要性はますます高まっていくでしょう。