LRMのコンサルティングポリシー

プライバシーマークは単に取得するだけでは意味がありません。継続的に運用出来るよう取得することに意味があります。

LRMはこれまでプライバシーマークの運用体制の構築を支援させていただいた中で、数多くの現場の意見を目の当たりにしてきました。

ある時、プライバシーマーク取得を検討されている会社の方とお話する機会があったのですが、
「プライバシーマークは取ってしまえば普段何もしなくても更新出来るんですよね？」
と質問されたことがあります。

詳しく話を伺ってみると、
「更新のタイミングで書類を一式揃えれば審査をクリア出来る」
「運用記録に必要な書類の作成は普段からアウトソースしてしまえば揃えてくれる」
とのことです。

たしかにマークの取得だけが目的であれば、その手段は間違っていないと思います。
しかし、会社にとってそれが本当の意味での個人情報保護につながっているのでしょうか。

その方に、「ハリボテのプライバシーマークでは情報漏えい事故が起きた場合、何も出来ず、被害だけが広がって損害額が上がり取引先から見向きもされなくなる可能性がありますよ。」
とお伝えしたところ、
「では、自社できちんと運用するためにはどうしたら良いのだろうか。」
と改めてプライバシーマークの運用について考えてもらえました。

あくまでプライバシーマークは目的ではなく個人情報をきちんと取り扱う手段として考え、社内の管理体制や取引先への信頼の向上に繋げてもらいたいのです。

LRMではお客様にあった形で必要な取り組みの優先順位を明確にし、無駄な部分を極力なくした上での運用出来るプライバシーマーク取得をお手伝いします。

ルールと現場のバランスを取り、ある意味「簡単」に
プライバシーマークを取得・運用・更新出来るようLRMでは以下の３つをお約束します。

1.意味のある取り組みをご提供

プライバシーマークの審査では基本的にルールに適合しているかをチェックしますが、ルールだけに固執し過ぎるとプライバシーマーク中心に物事が進み、「プライバシーマーク上の決まりだから」という理由で禁止事項・業務取り組むが無意味に増え、仕事の効率が下がるだけです。

そうなってしまうと個人情報の適切な保護を図るための仕組みが重荷になってしまい本末転倒な結果になります。
取り組むが全くない状態でプライバシーマークを取得することは不可能ですが、
会社のためになる「意味のある取り組み」をご提案します。

2.会社に合わせた文書作り

JISQ15001というルールを中心に取り組み・審査が進みますが、プライバシーマークを取るためだけの文書になり、運用が全く出来ず、会社に必要ないことばかりが記載され文書になっている状態をよく見かけます。

そうなると、結局運用を全く行わず更新までの２年間書庫の「肥やし」になってしまい更新直前に多大な苦労を強いられることになります。
ルールだけではなく、会社に合った形の内部文書作りをご提案します。

3.お客様の負荷を最小限にします

プライバシーマークを取得するのに負担や手間がかかるイメージがありますが、LRMではこれまでのコンサルティング実績から最も取得・運用し易いものを追求し、プライバシーマークに関する負担はできるだけ少なくします。
ただ、良い仕組みづくりの上で必要となる作業があれば積極的にご提案します。