プライバシーマークを取得して、維持していく場合のデメリットは2点
以前プライバシーマーク取得のメリットのお話をしましたが、今回はデメリットについてです。
プライバシーマーク制度開始以降、毎年プライバシーマークの取得企業数は増えていっています。
しかし、せっかくプライバシーマークを取得したのに更新をやめてしまう企業も存在するようです。
理由は企業ごとに色々あるようですが、共通しているのは「デメリットがメリットを上回ってしまったから」ではないでしょうか。
そのデメリットとは何か?というと、『コスト(費用)』と『担当者の作業量』の2つになります。
コスト(費用)
1)設備・人材コスト
セキュリティ向上のために、もし現状が十分な状態でなければ、ソフトウェアの購入・更新やハード(ロッカー、棚、PCの購入など)の投資が必要となる場合があります。
また、プライバシーマーク認証・維持・管理するための担当者も選出する必要があり、その労力をかけるための人材コストが必要となります。
2)審査費用
プライバシーマークの取得をするためには審査機関で審査を受ける必要があり、取得の際に費用が発生します。(初回審査費用30~120万:企業の大中小による)
さらにプライバシーマークは取得しただけで終わりではなく、2年毎に更新する必要があります。(更新審査費用22~90万:企業の大中小による)
3)コンサルティング費用
自社でのみで取得する場合は必要ありませんが、取得へのサポートとして外部のコンサルタントを利用した場合、コンサルティング費用が発生します。スムーズで無駄のない取得を目指すにはコンサルティングの導入も必要であると考えられます。
これらは多くの中小企業において決して安価なものではなく、「会社にとってその決して安くないコストを払ってでも得たいメリットがあるか」という目線を持つことが非常に重要です。
担当者の作業量
一部の大企業を除いて多くの中小企業では、プライバシーマークの担当者は本来の業務と兼任しているケースが大半です。
そのため特に、必要以上に書類を作成したり過度なルールが制定されてしまっている場合は、プライバシーマークの運用を『プライバシーマークを維持するためのムダな作業』という見方になり、本来の業務まで手が回らないという事になれば、上記の「デメリットがメリットを上回ってしまう」状態になってしまいます。
しかし、この作業量におけるデメリットは、見方を変えれば決して『ムダな作業』とは言えず、本来企業の姿勢として情報を適切に取り扱うということは重要なことなのです。
なぜなら、企業は小さな事故でも一度個人情報の漏えいなどの事故を起こしてしまうと、その失った信頼を取り戻すのは容易ではなく、それこそプライバシーマークの運用とはくらべものにならないほどの作業負荷が会社に圧し掛かってくることになるからです。
プライバシーマークの取得を検討していたけどやめた、というケースや更新するのをやめた、といったケースにおいてもプライバシーマークの運用を参考にして、『情報には価値があり、漏えいなどの事故を起こすことは会社にとって非常にリスクがある』との共通認識をもつことはこれからの時代にますます強く求められてくるものと言えます。