プライバシーマーク(以下、Pマーク)の取得を目指す上でパソコンや所謂IT系のセキュリティをどこまで行うかは色々と意見が分かれます。
単にPマークというマークだけがほしいのであれば最低限だけの対策だけで取得することは可能です。
ただ、その場合企業にとってパソコン等の対策がどこまで重要なのかも検討しないことが多いのでハッキリ言って個人情報漏えいに対する対策が出来ているとは言い難い状態です。
どういった会社がレベルの高い対策を行うべきか
では、どういった会社がパソコン等の個人情報漏えい対策を行うべきかですが、まずは業務内容を振り返ってもらった際にどれだけ個人情報が電子データになっているかを考えてみてください。
業務の主なデータが電子化されている場合はPマーク取得の取り組みの中である程度のセキュリティを考えた方が良いでしょう。
例えば、通販会社で顧客情報がDB化されている場合などはその例です。
具体的に何をすべきか
次に具体的にどういった対策を考えていかないといけないかですが、下記のようなことがセキュリティ上、求められてきます。
・アクセス権限の設定
・ログの取得、管理
・バックアップの取得
・システムのテストや保守について
具体的な内容についてはまた別の機会にお話しますが、業務で電子化されたこういった事項について個人情報漏えいの対策を行ってもらった上でPマークを取得していただくと実りあるものになります。
もともとPマーク自体は情報が電子化されていく中で策定された認証制度なので電子化された情報へのセキュリティは行って頂くべきです。
たまにパソコン等のセキュリティはやらなくてもPマーク取得出来ます!と言い切っているコンサル会社もいますが、そういった会社はIT系に全く詳しくないか、格安コンサルとして自身達がやり易いように進め、取得や運用代行をするような悪質な会社である可能性が高いので注意が必要です。
IT系に強いコンサル会社を選定してもらうことが自社で運用できるPマーク取得の秘訣の1つと言えるでしょう。