対象:ISO・規格認証
回答数: 1件
回答数: 5件
回答数: 1件
道廣 和男
ISOコンサルタント
-
プライバシーマークに絞った目的は有りますか?
こんにちは!
今回のご質問ですが、コンサルティング業界の裏話も含めてお話したいと思います。
まずは、『外部からの信頼を得るため』と書かれていますが、プライバシーマークを何のために取得しますか?
業界が全く判りませんので、適当なことはかけませんが、個人情報のみを取り扱っている組織で有ればプライバシーマークでも取得メリットはあるかも知れません。
但し、個人情報保護法を順守することは法令ですので、順守しているのは当たりまえです。そのため、認証取得しても、普通にやっていることをJIPDECが、『一日の審査で、適合している』と判断するのみです。これを組織がどのように考えるかは自由です。しかし、社内にリスクが存在しており、外的圧力を使って改善するので有れば効果が有るかもしれません。ほとんどの方は、面倒くさいと言われています。
個人情報のみを取り扱っている組織で、リスクアセスメントをして、情報資に対する理論武装をしながら、セキュリティに関わるマネジメントシステムを導入するのであれば、情報セキュリティマネジメントシステム(ISO27001)を推奨致します。この規格は、組織の情報資産を洗い出し、それに対して資産価値を決めて、リスク水準に合わせて対策を図れるので、実利が大きいと思います。
また、会社全体に傘をかけて改善することが出来る万能に近い規格です。
やはり、会社の業務内容に合わせて導入する規格を決める方が良いと言われています。
補足
一部修正ですが、本文中段あたりの『個人情報のみを取り扱っている組織』 → 『個人情報以外にも多くの情報を取り扱っている組織』に読み替えてください。 内容の不整合が有りました。
以下は続きです。
コンサルタント各社は、受注を優先するため、何とか商談することを優先します。そのため、明確な戦略が無く、このようなプライバシーマークの取得をしてしまうと『大企業のような緻密なルール』になり、『組織の規模にマッチングしたルール』にならず、本業に影響が出て返上している例を多く見受けられます。
この部分をよく考えて取得判断いただきたいと考えます。
それから、コンサルタントを活用する例があります。コンサルタントの影響で重装備な仕組みを作ってしまう可能性があります。コンサルティング費用なんか、皆さんの給与に比べたら安いものです。重武装の仕組みを作ってしますとコンサルティング費用も無駄になりますし、本業を圧迫する事例も良くあります。そうなるとプライバシーマークで仕事が増えます。
プライバシーマークに対する費用とその効果を計算したうえで、導入検討することをお勧めします。
可能なら、法令順守は適切に対応をして、認証取得は客先要求が有った時点で行っても良いかも知れません。一般的には面倒くさくなるケースがほとんどです。
ご参考になれば幸いです。
(現在のポイント:2pt)
この回答の相談
外部からの信頼を得るために、プライバシーマークの取得を上層部に提案しています。
しかし、取得にコストがかかることから、不要であるという意見もあります。
プライバシーマーク… [続きを読む]
All About ProFileさん
このQ&Aの回答
このQ&Aに類似したQ&A