個人情報漏洩対策 Pマーク取得企業サービスを選ぶべき理由

昨今のインターネットビジネスの拡大に伴い、世間の個人情報に対する関心が高まっています。
企業間の取引においても個人情報に対する取り扱いについて意識が高まり、いやおうなくPマークを取得せざるをえないケースが増えているのではないでしょうか。

本コラムでは、Pマークの概要や必要性、そして取得するために必要なことを解説し、日常業務の中でリスクの高い個人情報の授受において意識するべきことを解説します。

Pマークとは

Pマークの取得とそのメリット

Pマークとは、「一般社団法人　日本情報経済社会推進協会」が運用する「プライバシーマーク制度」で認定された企業が使用できるロゴです。
プライバシーマーク制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価し、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。

Pマークを取得する事業者数は年々増加しています。

図1　付与事業者数の推移（1998年度～2021年度3月31日時点）


出典: JIPDEC　プライバシーマーク付与事業者情報（20210331版）

Pマークを取得するメリットは多くあります。

・社会的な信頼性の増加

個人情報を取り扱うすべての事業者は、個人情報保護法の適用対象となります。罰則などもあり、「知らなかった」では済まされません。

個人情報に関する法令義務、守るべきガイドライン、条例、基準は、以下のものがあります。

• 個人情報保護法
• 個人情報保護法に関するガイドライン
• 地方自治体による個人情報関連の条例
• 業界団体が定める個人情報関連のガイドライン等
• 日本産業企画（JIS）が定める「JIS Q 15001 個人情報マネジメントシステム-要求事項」

Pマークの審査はこれらに基づき審査されますので、Pマークを表示することで、これらの高い基準をクリアしている、法令順守に対する意識が高い、ということがアピールできます。
利用者も「この企業は個人情報の保護に取り組んでいる」と安心してサービスを利用することができます。

・個人情報漏洩リスクを低減

上記の法令・ガイドライン・要求事項には、個人情報の管理に対する義務・基準などが記載されています。これらの基準にあった対策を行うことで、社内で個人情報を安全に管理する仕組みづくりができ、社員の意識も向上するので、個人情報の漏洩リスクを低減できます。

個人情報の漏洩事故が発生した場合、損害は計り知れないものがあります。
直接的な金銭的損害のほかに、社会的な信頼を損ね、関係企業の株価にも影響を及ぼす可能性もあります。被害を被ったお客様から集団訴訟を受ける可能性もあります。

なによりも事故を起こさないこと、そのリスクをできるだけ排除することが重要で、Pマークを取得することがそれらの活動につながります。

・ビジネスチャンスの増加

個人情報保護法では、個人情報を取り扱う業務を外部の企業に委託する場合には、委託先が個人情報を適切に管理しているか監督をする義務があると定められています。発注元がPマークを取得して個人情報の保護に取り組んでいても、委託先が取り組んでいなければ、業務を任せることはできません。
官公庁をはじめ、自治体や大手事業者においても入札の条件にPマークの取得を挙げるケースが増加しています。Pマークを取得していることで受注できる業務の幅が増え、他社との差別化となり、ビジネスチャンスが増えることにつながります。

Pマーク取得に必要なこと

申請する前にまずは仕組みづくりから

Pマークを取得するには、審査員による書類審査と現地審査が行われ、その結果で認否が判定される流れになります。
審査を申請する前に、社内でするべきことが多くあります。

1. 個人情報を保護するための体制を構築する
2. 業務で利用する個人情報を洗い出し、リスクを分析する
3. 個人情報を安全に管理するルール（内部規定）を制定し、社員への教育を行う
4. 制定したルール通り実行し、記録を残す
5. ルールが守られているか定期的に点検し、必要に応じて見直しを行う

2～5は定期的に繰り返し、常に個人情報を保護する仕組みが最適な状態に維持されるような仕組みづくりが求められます。

この仕組みを「個人情報保護マネジメントシステム（PMS）」と言います。
（PMS: Personal information protection Management Systems）

この個人情報保護マネジメントシステム（PMS）が社内で確立されてから、ようやく審査を申請することができます。

審査で重要視される点は個人情報マネジメントシステム（PMS）が機能しているか、維持されているかどうかです。
審査に合格すれば永遠にPマークが付与されるのではなく、審査は2年ごとに行われます。常に業務に合わせて内部規定を更新していく必要があります。

求められる情報セキュリティ

個人情報漏洩への対策

個人情報を扱う上で、最も注意したいのは「個人情報の漏洩」です。
東京商工リサーチの調査によると、情報漏洩の原因は、ウイルス感染・不正アクセス（49.5%）に次いで、誤表示・誤送信（31.0%）、紛失・誤廃棄（13.5%）と続いています。


出典: 東京商工リサーチ　「上場企業の個人情報漏えい・紛失事故」調査（2020年）

社内での対策はもちろん、社外へ持ち出す場合についても意識を払わなければいけません。
特にコミュニケーション手段として毎日使用するメールの誤送信による情報漏洩は、意識していてもなかなか無くすことが難しいです。

万が一メールに添付したファイルを誤送信しても大丈夫なように、パスワード付きzipファイルにしてメールで送り、直後に解凍用パスワードを送る、いわゆるPPAP方式は、最近では意味がないという認識が広まり、規制する企業も増えてきました。

参考コラム: パスワード付きzipファイルをメールで送るのはもうダメ！？危険性を徹底解説！

社外と安心・安全に情報をやり取りできる仕組みが必要です。

ファイル送信サービスで個人情報保護の対策を

情報の授受についての対応

ITのスキルがある企業は、独自にファイル転送の仕組みを構築するケースがありますが、脆弱性が残っていれば不正アクセスを受け、そこから情報漏洩するリスクがあります。セキュリティ対策製品は高額なものが多く、また常にアプリケーションを最新なものに保つ必要もあり、手間とコストがかかります。その代わり、大切な情報は自社の資産の中だけにとどめることができます。

一方で、クラウド上で利用できる「ファイル転送サービス」を使えば、コストを抑えて対応することができます。
ただ大切な情報を預けるため、信頼できる企業が提供するサービスを利用することが重要となります。そして信頼できる企業を、Pマークを取得しているかどうかで判断するのも一つの方法です。

個人情報の授受については、法人向けのファイル転送サービスが適している

ファイル転送サービスは、ユーザー管理、送信履歴、利用ログ、誤送信防止機能など、監査に対応した機能がそろっています。
個人向けのサービスだと、どの社員が利用したのか把握できないなど、事故発生時に追跡ができません。監査の要件を満たせない可能性があります。
最近では個人向けのファイル転送サービスは「シャドーIT」と言われ、内部犯行を防ぐ目的でアクセスを禁止する（送っても受け取ってもらえない）企業が増えています。

また、ファイル転送サービスと似たサービスに、ファイル共有サービスがあります。
インターネット上の特定の領域に対して許可したユーザー間でファイルを自由にアップロード・ダウンロード・編集ができるサービスです。ファイル共有サービスはできることが多い反面、権限の設定やユーザーの管理、変更内容の管理など管理の手間が多く、設定を間違えれば全世界に対して個人情報を公開する状態になる可能性もあります。

安心・安全に、そして手間をかけずにファイルを送受信するなら、ファイル転送サービスを利用することがおすすめです。

オフィス宅ふぁいる便は、Daigasグループのオージス総研が運営する安心安全な法人向けのファイル転送サービスです。オージス総研は、一般財団法人日本情報経済社会推進協会（JIPDEC）より、Pマークの付与認定を受けております。
ご参考: オージス総研 個人情報保護方針

利用者のアカウント管理、利用者のログの把握など、監査に役立つ機能が豊富にあり、さらには誤送信を抑止するための送信前チェック機能、送信取消機能、送信前に第三者のチェックを行うワークフロー機能があります。また、送信できる相手を制限するホワイトリスト機能など、内部規制に使える機能もあります。

オフィス宅ふぁいる便の詳細は、下記からもご確認いただけます。
オフィス宅ふぁいる便　サービス概要

2021年7月14日

※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。