JIS Q 15001取得の目的とメリットとは

2018年10月9日

こんにちは。ＩＳＯコム通信にアクセスしていただきありがとうございます。

今回は“JIS Q 15001取得の目的とメリットとは”について、お話ししたいと思います。

なお、ISO規格では“認証”という言葉を使用しますが、プライバシーマーク（以後、Pマークと記載します。）は“付与適格決定”と正式には、言います。

なぜ、表現が異なるかというと、ISO9000などは、規格通り運用していることを外部から認証するルールは1種類しかありませんが、JISQ15001の規格通り運用していることを保証するルールは複数あり、その一つが、JIPDEC（般財団法人日本情報経済社会推進協会）が運営しているPマークだからです。

といっても、Pマークが占める割合が一番多く、“Pマーク”＝JISQ15001の“認証”と考えても良いと思います。

今回は、わかりやすく“取得”で表現しましょう

当社のISOコンサル実績はこちら

１．Pマークを取得することが必要な場合は？

事業者の皆様が、Pマークを取得したいと思われる場合は次に示すような場合が多いと思います。

(1) 取引に必須である。または取引先からPマークを取得することを要求されている。

(2) 既にPマークを取得している委託元からの個人情報の委託先として調査などを受ける場合に対応を簡単にしたい。

(3) 官公庁、地方公共団体との機密情報を取り扱う入札に必要である。

(4) 個人情報を大量に取り扱う事業のため、個人情報保護をちゃんと行っていることをお客様に示したい。

(5) 個人情報を大量に取り扱う事業のため、漏洩などの事故が起きないように管理したい。
また、その内容を第三者の視点で、問題がないか確認したい。

(6) 経営にマネジメントシステムの考え方を取り込みたい。

これらの内、(1)の内容は明白です。(1)の中には、個人情報の取り扱いがなくても会社が属しているグループの決まりでPマークを取得する必要がある場合も含みます。

(2)はPマークの取得をしていることで、委託元が第三者監査に合格していると判断し、調査や第二者監査を省略することが可能になるためです。
情報システム会社はほぼ必須で、広告代理店なども個人情報を取り扱う業務を受託する場合も同様です
なお、金融業などではPマーク/JISQ15001の付与適格決定を受けていても、第二者監査が行われるのが普通です。

(3)に関しては、一時Pマークの取得していることやJISQ27001の認証を受けていることが条件になるとの話もあり、地方公共団体では条件に入った例もあります。しかし、様々な事情によりPマークを取得できない等の事業者からの意見もあり、現在の入札資格では、これらの資格の認定を受けているか、“それ準ずる管理をしていること”と修正している場合が多くなっています。したがい、取得していなくても入札は出来ますが、取得していた方が有利だと思われます。しかし、入札のためだけに取得する必要はなくなっています。

余談ですが、日本年金機構から年金関係の情報の入力代行を受託し、中国の再委託した事業者はPマークを取得しておりませんでした。このようなこともPマークを取得しておくことが顧客からの信頼につながってくると思います。

(4)では、業務内容によりPマークを取得していることを、ウェブページに公表したり、名刺に印刷することで顧客に安心感を与える場合があります。

ちなみにこのためか、たまにPマークの取得していなくても、取得していると公表している事業者がいるので、皆さんが発注する立場になった場合には、注意が必要です。

一番簡単な見分け方は、Pマークのロゴの下に、8桁の数字（Pマーク登録番号といいます。）の記載がない場合です。ロゴの発行元のJIPDECは数字なしで掲載していますが、これは例外です。
(5)、(6)が本来の目的であるべきだと思いますが、これらを目的としているのは実際の取得している事業者の半分以下、もしくは三分の一以下でしょう。

かといって(1)～(4)が目的でも別に悪いわけではありません。

実際の行っている事業で個人情報の取り扱いがなくても、事業を続けていくためには、Pマークの取得することを躊躇することはありません。
少なくとも、従業者情報はありますし、お客様などの個人情報の取扱いがなくても、運用の仕方ではメリットがあります。次回以降でこの内容も触れていきたいと思います。

注）第二者監査：これらの資格では監査を3種類に分けて考えます。第一者監査（事業者自身による監査、内部監査と呼ぶことが多い。）第二者監査（取引先による監査）、第三者監査（独立した組織（第三者）による監査、資格の審査などがこれにあたります。）

２．Pマークを取得するメリットについて？

Pマークを取得するメリットは、直接的に表現すれば上記１．に記載した目的が達成できることです。

“え、それだけ？？”

と思われるかもしれませんが、当初の目的を達成することが一番です。しかし、それでは味気無いので、もう少しカッコ良く表現してみましょう。

名刺やウェブページなどやPマークのロゴの表示することにより顧客や消費者などに、自社が個人情報保護に積極的に取り組んでいることや、その体制が非常に高いレベルにあることなどを即座に認知してもらうことが可能となるわけであり、これがPマークを取得していることの最大のメリットになるのです。

(1)取引先への信用の拡大

企業間で取引を行う際に、Pマークを用いることで自社の信用が拡大します。

個人情報保護法では、業務の委託先は監督責任を問われますので、仕事の受託に当たっては個人情報保護の管理体制の確立が求められます。

Pマークを取得すれば、取引先に対して個人情報保護の管理体制が適切であることを示せます。

(2)一般顧客への信用の拡大

個人情報保護法の施行以来、個人情報に対する利用者の関心は高まる一方です。

適切な個人情報管理が、利用者の企業の選択条件の一つになりつつあることは間違いありません。Pマークを取得することは、しっかりした個人情報の保護体制があることを利用者にアピールすることになります。インターネット通販などで、何かを購入する場合には、やはり自分の個人情報を守ってくれる保証のある方が安心できませんか。

(3)社員意識の向上

過去の情報漏洩事件の多くの原因に、従業員のケアレスミスがあります。個人情報保護法では、従業員に対する監督義務も盛り込まれており、Pマークの取得するためには、従業員も一体となった活動を行い、個人情報に対する社員の意識をより向上していくことが出来ます。

３．個人情報保護マネジメントシステムを運用していくメリット

さて、Pマーク取得したら、今度は運用していかなければ資格の更新はできません。上記1.の(1)～(4)の様に、外部向けの目的のために取得した場合は運用がおろそかになりがちです。

運用に伴う作業を負荷が増えたと考えるか、この作業を通した新たなメリットを作っていくと考えるかで大きな差が出ます。

運用の仕方では、業務効率化の手段にも使えますので、作業負荷と増大と相殺することも可能です。

次回はこの点に触れてみたいと思います。

ISOコム通信を読んでいただき、ありがとうございました。

ISO取得のご依頼はこちらまで今すぐご相談を！

ISOコム株式会社お問合せ窓口 0120-549-330