どうも、サイバ課長サイよー。

2022年3月、大手菓子製造業者のサーバーが不正アクセスを受け、顧客164万8,922人分の個人情報（氏名や住所、連絡先など）が流出。

2022年6月、兵庫県尼崎市が、「全市民約46万人等が記録されたUSBメモリを紛失」と発表。臨時給付金支給事業の受託事業者の関係者が、USBメモリを外部に持ち出し、立ち寄った飲食店で紛失したという。

またか・・

個人情報の漏洩・紛失事故が、頻発しているサイ。
自分の個人情報を預けた企業が、どのようなポリシーや体制で情報を扱っているのかということに関心が集まるのは自然な流れサイね。
そこで、改めて注目を集めているのが、各企業や組織が、個人情報保護マネジメントシステム（PMS）を確立し、運用していることを第三者が認証するプライバシーマーク制度サイ。

プライバシーマーク取得事業者数は増え続けており、2022年9月16日時点で、1万7,154事業者に上るというから驚きサイね。
ただ、プライバシーマークを自社単独で取得するのは至難の業と言われているサイ。

今回は、累計1,845社（2022年9月1日現在）のプライバシーマーク取得支援実績を持つセキュリティーコンサルティング企業、株式会社UPFに突撃取材。
代表取締役 仲手川 啓 氏に、プライバシーマークを取得するメリットやコンサルタント選びで失敗しないコツについてお聞きしたサイよ。

ごめんくだサーイ！

プライバシーマーク（Pマーク）を取得するメリット

仲手川啓 氏（以下、仲手川）
取得のメリットは会社によって違います。
また、取ること自体にメリットがあるというよりは、ないことで顧客から切られてしまうことがあります。
プライバシーマークを持っていることで、営業の効率が良くなったり、受注率を上げることができる。一番の目的はビジネスチャンスの拡大ですね。

付与事業者数の推移（1998年度～2022年3月31日時点）/ JIPDEC

2022年9月16日時点で、プライバシーマーク付与事業者数は、1万7,154事業者に上る

仲手川
はい。これからも伸びていくと思います。プライバシーマークを取得した会社は、今後も維持し続けるでしょう。
今、持っている会社はずっと持ち続ける。そして、プライバシーマークを保有している会社は、取引先にもプライバシーマークの取得を求めます。
よって、これからもプライバシーマーク取得事業者数は、掛け算式に増えていくはずです。

仲手川
はい。プライバシーマークを持っている会社が、発注先にもプライバシーマークの取得を求めるので、持っていると案件が受注しやすくなります。

プライバシーマークを持っていない場合、どうなるか・・
案件の発注側企業は、委託予定先に対し、セキュリティ管理体制を確認するための書類「ヒアリングシート」の作成と提出を求めます。
このヒアリングシートは、一つの部署だけで回答できるようなものではなく、いろいろな部署をグルグル回して、最後は経営層が確認してやっと完成というように、作成の手間が非常にかかるものです。
さらに、このようなヒアリングシートの作成を、年間に何十件、何百件も求める企業があります。

仲手川
委託先企業がすでにプライバシーマークを取得していた場合は、このヒアリングシートは不要になるわけです。発注側も楽になりますよね。
プライバシーマークを持っているとコスト的にも、発注側・受注側双方にメリットがあるのです。

ヒアリングシートのやり取りがあまりにも煩雑なため、プライバシーマークを持っている企業が、取引先にもプライバシーマークを求めるケースが増えています。
今後も、その流れは変わらないと思いますね。

自社単独で取得を目指してもメリットほぼなし！逆にコスト増

仲手川
そうですね。プライバシーマーク取得を検討し始めた企業は、「手間が増えるのが嫌だな」、「本当に取れるのかな」、「取得した後が大変なんじゃないかな」と悩み、コンサルタントを入れることを検討します。

とくに中小規模企業では、一般社員が通常業務をしながらプライバシーマークの勉強をすることは現実的ではありません。

仲手川
社長から「プライバシーマークを取得するから勉強しなさい」と指示を受けたものの、日常業務をしながらの勉強に無理が生じてしまう担当者も少なくありません。
一般社員にあれもこれもと強いることは、結果、コンサルタントを活用するより人件費がアップしてしまいます。

仲手川
次に、プロの手を借りるべく、コンサルタント会社選びを始めるわけですが、多数の会社がある中、「どこを選べばいいのかな」と迷っているうちに、コンサル選びを失敗する方がいるのです。この、コンサル選びという最初のステップでの失敗を防ぎたい。

仲手川
まず、自社だけで取得しようとして、結局つまずくというパターンです。

そのような企業は、「ちょっと自分たちでやってみたんだけど、上手くいかなかったから助けて欲しい」と、UPFに相談に来られます。自力で取得を試みた企業の場合は、ギブアップも早い！
でも、このように早めに相談してくださるのはありがたいですね。
PMS構築段階からコンサルタントと組んで取得を目指す方が、絶対に効率的なので。

仲手川
一番多いのが、自社のスタンスと合わないコンサルタント会社と組んでしまい、目標が達成できずにUPFに相談に来られるパターンです。
コンサルタントが「取得できる」って言うから契約したものの、結局達成できずに終わり、最終的に当社に相談にいらっしゃる。

Pマークコンサルタント会社は大きく分けて3タイプ

仲手川
プライバシーマークの取得支援を行うコンサルタント会社は、大きく分けて次の３タイプに分かれます。

プライバシーマーク取得のためには、コンサルタント会社の選び方が非常に重要です。コンサル選びからプライバシーマーク取得の取り組みが始まっているといっても過言ではありません。

仲手川
コンサルタントを入れた方が良いことは知っていて、コンサルタント会社に支援を依頼したが、安いだけの会社を選んだために、「必要なことをやってくれなかった」「結局取得できなかった」という方が少なくありません。
そのようなコンサルタント会社から、「あなたの会社が悪かったから取得に失敗したのですよ」と言われてしまったと、当社に相談に来られた方もいらっしゃいました。

仲手川
「とにかく安い」というのが売りのコンサルタント会社は、セミナー・レクチャー型の会社に多いですね。
安いだけの会社では、申請書類を一切作らず、書類の作成はお客さんがすべて行うというパターンが多い。

質問を受ければ回答するが、そもそもお客さんが、自分が何を分からないかが理解できないため質問すらできない状態に陥ります。

Pマークコンサルタント選びで最も大切なこと

仲手川
「自社とスタンスが一致したコンサル会社と組むこと」です。
プライバシーマーク取得の取り組みは、コンサルタント会社選びから始まっています。

会社選びを間違えてしまうと、プライバシーマークを取ることができないまま、二軒三軒とたらい回しになってしまい、お金だけがかかってしまう。コンサル選びのステップで間違えてしまう方は、驚くほど多いです。

仲手川
面倒なことをやってくれた上に、会社の体制を整え、かつ担当者の方にもレクチャーをしてくれるというコンサルタントが最適な場合もある。

逆に、コンサルタントに頼りすぎず、自社で手と足を動かして書類を作成したい。コンサルタントにはレクチャーだけをして欲しい。面倒なことを自分たちでやればそれだけ覚えるし、勉強できるからという場合もある。
また、安さ最優先なら、分からないことだけ質問できる・レクチャーだけをしてくれるコンサルタントが良いかもしれません。
コンサルタント会社の違いを理解して、自社のスタンスに合ったところを選んで欲しいですね。

仲手川
はい。実際、丸投げできるコンサルタント会社を求めている人もいる。
事実、本当に丸投げですからね。

実際のオフィスの状況とは異なる内容で書類を作成して、審査を通す、テクニカル的に認証だけを取るということもプロならできる。
ただ、事故が起きてしまうリスクを放置したまま、認証だけを取っている状態であることを理解しなくてはいけません。

仲手川
プライバシーマークの適格性審査では、文書審査の終了後、現地審査が実施されます。
丸投げ型のコンサルタント会社は、「現地審査にもコンサルタントが同席」などと謳っていますが、そもそも、プライバシーマークの審査では、現地審査にコンサルタントが同席することは、違反行為です。

なぜ違反行為なのかというと、プライバシーマーク制度では、PMS運用を事業者自らが責任を持って行うことを求めているのに、コンサルタント会社がすべて代行してしまうと、会社の体制が整わない、実が伴わないためです。
審査も年々厳しくなっているので、プライバシーマークを取得できたとしても、2年毎の更新審査が突破できません。

仲手川
更新審査を通過してプライバシーマークを維持するためにも、面倒なことはやってくれるけど、しっかりと体制を整えながら企業の担当者が理解できるように導いてくれる、そんなコンサルタント会社を選ぶべきなのです。

体制を整えてくれるコンサルを選べば、自社のみで更新審査対応可

仲手川
UPFの場合、プライバシーマークを取得支援した企業の5割から6割が、更新審査の対応を内製化。更新審査はコンサルタントを入れずに突破しているんですよ。

金銭的に余裕があるなどの理由で、3割から4割のお客様は、更新のたびに引き続きコンサル契約をしてくださいますが、本来、2年毎にコンサルを頼む必要はないのです。

更新審査は内製化して、法改正や担当者の変更など大きな変化があったタイミングで、馴染みのコンサルタント会社と契約し、次の更新に備えるというのが、賢いコンサル会社の使い方ですね。

Pマークを取ってからがスタートライン

仲手川
プライバシーマークは、「取ってからがスタートライン」です。
これはUPFの強みのひとつなのですが、プライバシーマーク取得を支援した企業からの相談やサポートは、随時無料で受け付けています。

顧客企業の情報や納品物は、UPFでも管理していますので、運用途中で分からなくなってしまった点は、担当コンサルタントに電話やメールで気軽に問い合わせいただいて結構です。

仲手川
そうですか？ PMSの構築ルールを納品したのはUPFじゃないですか。顧客企業様のためにUPFが構築したものです。

自分たちが作ったものに対するサポートに関して、労力がかかるイメージはありませんね。
コンサルタント会社で作ったものなのに、プライバシーマークの取得が終わったら、その納品物についての質問が有料なのはおかしいと思いますよ。

仲手川氏は書籍も出版している専門家です

仲手川
PMSの内容についてよく説明しなかったり、あえて複雑なルールを作ったりして、新たに契約しないと運用ができないようにしてしまうコンサルタント会社があります。
プライバシーマークコンサル業界の悪しき常套手段みたいなものですね。

一方、UPFはPMSをシンプルに作っています。
例えば、プライバシーマーク取得後に、「社員が名刺をなくした」とか、「マルウェアEMOTETに感染した」など、新たな事象が発生して、それぞれどう対応すべきかと問い合わせを受けることがあります。

UPFでは、シンプルにルールを作っているので、ルールを作った後に発生した事象であっても、ルールに照らし合わせて対応を案内すれば良いので、難しいことではないんですよ。
だから、サポートに関して労力がかかるっていうイメージはありませんね。

仲手川
UPFでは、プライバシーマークの取得後に受講できる、プライバシーマーク運用者向けの運用セミナーを開催しています。
PMSを運用する上での悩みにフォーカスした研修で、月1回程の頻度で開催しています。
UPFでプライバシーマークを取得した企業であれば、参加無料です。

この研修に参加していただいたり、随時分からないことを聞いていただければ、自社だけでPMSを運用できますよ。
運用者向けセミナーは、現役のプライバシーマーク審査員を含むコンサルタントが講師を担当していますので、最新情報が入手できます。

仲手川
実際、コンサル契約はせずに、何年も運用者向け無料セミナーだけを聞いて更新を続けている顧客企業もありますね。
このセミナーを新人教育カリキュラムの一つとして利用して、新入社員を受講させている企業もあります。

仲手川
セミナーだけの参加企業も足したら、さらに数字が上がりますね。
UPFの新規契約企業の87.4%が、既存のお客様からのご紹介です。

プライバシーマーク運用者向けセミナー開催の他、プライバシーマーク取得後も、「取引先にこういうことを聞かれたが何と答えるべきか」とか、「取引先への回答文書の書き方が分からない」など、個別の問い合わせにも随時無料で回答しています。

顧客企業とはプライバシーマーク取得後も密に関わっているからこそ、新しいお客様を紹介していただけるのだと思います。

プライバシーマーク審査員の裏事情

仲手川
プライバシーマーク認定機関にて現役で審査員を務めている者が、コンサルタントにいます。
UPFでは、認定機関による現地審査の前にリハーサルを実施していますが、審査員の目線でアドバイスするからこそ、本番の審査でミスを防げるのです。

仲手川
実は、プライバシーマークのコンサルタントもしている現役の審査員は、少なくありません。
審査員だけでは食べていけないのですよ。副業として個人でコンサルをする審査員も多いです。
要注意なのが、審査員をしていることと、ケースについての知識があることとは全く別物という点です。

仲手川
審査員がコンサルタントをしていたとしても、個人のコンサルタントだと顧客企業と一緒に、うんうんと唸りながら一から答えを導き出さないといけないところがある。また、それが最適解とも限りません。

審査員がコンサルタントをしていることよりも、最新の審査の傾向や数多くのトラブル事例を理解していることのほうが重要。ケーススタディがあることのほうが大切なのです。

仲手川
UPFの場合、コンサルタントに現役の審査員が名を連ねているだけではなく、コンサルタントたちがプロジェクトチームを組んでいます。
支援先企業が審査で指摘を受けた場合、一人のコンサルが属人的に解決するのではなく、チームでの最適解を支援先にフィードバックしています。
審査員もしているコンサルタントをメンバーに含む、チーム全体で導き出した最善の解をフィードバックしています。
チームで問題を解決する体制を取っているのは、UPFだけだと思いますよ。

仲手川
UPFには、業種業態ごとにプライバシーマーク取得事例が蓄積しており、指摘事項情報共有システムを通じて、コンサルタントチーム全員に情報が共有されています。

また、書式作りのカリキュラムも実施しています。
だからこそ、いつでも最適解を提供することができるし、新しい業態や新しい問題にも対処できるのです。

分かりやすい！良いコンサルタントはここで見分ける

仲手川
分かりやすいポイントとしては、「コンサルタント会社自身がプライバシーマークを持っているか」というのがあります。

株式会社UPF

プライバシーマークの取得支援を業務としているのに、プライバシーマーク未取得の会社があるのかと思うかもしれません。

実態は、あるどころではなく6～7割のコンサルタント会社が取得していないのが現実です。
プライバシーマーク取得支援をするコンサルタント会社にはそれを管理する法律も、業界団体も存在しません。

だからこそ、プライバシーマークの取得支援をする会社であれば、経験値として自らも取得しておこうと考えるのが普通ですよね。

仲手川
プライバシーマークコンサルは国家資格ではないので、名刺一枚あればコンサルタントと名乗れます。
このため、規定やフォーマットだけ手に入れて、内容はテンプレートからコピーして終わりとか、もっとひどくなると、「内容はお客さんが自分で考えろ」みたいなコンサル会社が多い。
この現実には、本当に危機を感じています。

仲手川
「想像していたよりもUPFがやってくれた、動いてくれた」というコメントは、多くいただきますね。
プライバシーマーク取得の相談で最初に来社されるときは、神妙な顔をしているんですよ。
それが、プライバシーマークの取得が完了する頃には、笑顔になっていく。
不安から安心に繋がる過程を見るのは、やっぱり嬉しいですね。

取材を終えて

株式会社UPFで話を聞いて、プライバシーマーク取得の取り組みは、「誰と組むか」が重要だと分かったサイよ。

実は、コンサルタント会社の選び方のポイントについては、さらに詳しくお話を伺っているサイ。
詳しくは、「＜プライバシーマークコンサルタント会社の選び方のポイント＞」にまとめているので、是非ご覧くだサイ。
プライバシーマーク取得の取り組みを経て、すべての企業の個人情報管理体制が整備されていくことを願っているサイよ。