会 社 側「Pマークを取得するにはどんな設備が必要なんですか?」

コンサル「一概に必要な設備は決まっていません。御社の事業内容や規模に応じて経済的に実行可能な最良の技術を使うことになっています。つまりは、お財布と相談しながら決めればいいんですよ」

…なんとなく狐につままれたような感じで始まったプライバシーマークの取得活動。
なんとか審査までこぎつけましたが、審査員から意外な一言。

審 査 員 「個人情報へのアクセス状況をどのようにチェックしていますか?」
会 社 側 「???」
審 査 員 「ログのチェックはどのように実施していますか?」
会 社 側 「ログのチェックって?」
審 査 員 「いつ、だれが、どんな個人情報にアクセスして、どんな操作をしたのかをチェックすることです」
会 社 側 「そんなことをいちいちチェックしなきゃいけないんですか!?」

結局、システムログを定期的にチェックする仕組みを将来的に導入するという前提で、プライバシーマークを取得できました。

ところが、よくよく調べてみると、システムログを監視したり、解析したりするシステムを導入するには、多額な投資が必要だということがわかりました。

機械的なシステムを導入したいが、資金的な余裕がないから当面は人的運用でカバーすることは認められています。

しかし、いつ、だれが、どんな個人情報にアクセスして、どんな操作をしたのかをいちいち手作業で記録しておくことは、あまりにも煩雑な作業で実務上不可能でした。

結局、2年後の審査を受けることなく、プライバシーマークの更新をあきらめてしまいました。

これは実際にあったケースです。なぜ、こんなことが起きてしまうのでしょうか?

プライバシーマークのコンサルティングは過当競争です。低価格と短期取得を煽っている業者ばかりです。
コンサル以外でお金や手間がかかるような話はできれば避けて通りたいのが営業サイドの人情です。

「取り扱う個人情報の量や内容は事業者ごとに異なるので、講じなければならない事項を実施する手法も事業者の判断により異なって当然…」
「すべての個人情報について一律な措置が求められるわけではない…」
「費用、構築や運用の容易さ、効果等の観点から総合的に勘案する…」
「どんなにお金をかけてセキュリティ対策を講じたとしても全てのリスクがなくなるわけではない…」

どれも全く正しい主張ですが、プライバシーマークを取得しようとする側に都合が良いニュアンスにねじ曲げて語られることが多いのです。

ですから、プライバシーマークを取得しようとする際は、普段利用なさっているIT関係の業者さんに導入が必要だと思われるシステムについて見積もりを取るようにしてください。

ログの解析ツール以外にも導入を検討すべき設備は色々あります。詳細は、「プライバシーマークの取得を考える際の注意点」を参照ください。

弊社では、ご要望があれば専門のITコンサルタントを派遣して、お客様の実情に即したセキュリティ設備をご提案しております。

また、コンサルティング自体は、「プライバシーマーク自力取得パッケージ」で紹介している各種教材を使用してわかりやすく進めております。

セキュリティシステムの導入から、規定・様式類の作成、従業員への教育までトータルにサポートいたします。

詳細は、こちらからお問い合わせください。

※ 弊社は、お客様のプライバシーを第一に考え運営しております。
※上記に入力された情報は、SSLにて暗号化されて送信されます。
※ お客様の個人情報は、厳正な管理の下で安全に保管しております。
※ ご登録頂いた個人情報は、お客様からのお問い合わせに対する回答以外の目的で利用することはありません。
※ お客様の個人情報は、法律によって要求された場合を除き、第三者に提供する事はありません。