リクルートキャリアのPマーク取り消しで思うこと

2019年11月14日付でリクルートキャリアのPマーク認定が取り消されました。

https://privacymark.jp/news/system/2019/1114.html

引用元：JIPDEC

18年もの間維持してきたPマーク認定が取り消されたことは、衝撃というよりも残念という印象です。

これを機会に、取得企業での取り組み方、審査機関の審査のあり方、そして何よりPマークコンサルが変わることを期待しています。

ネット上の書き込みを見ていると、

「そもそもPマークがあるから安心と思っていない」

「うちでもPマーク持ってるけど形骸化している」

というような書き込みが目に入ってきます。

残念ながら同感です。

取引要件だからと仕方なくPマークを取得して、形骸化した状態を放置していることが多いのが実情です。

「個人情報と言っても社員の個人情報くらいしか扱わないよ」　という会社で、

Pマークの規格要求に沿った形での個人情報の取扱いを厳格に求めても、優先順位があがらないことは仕方のない事だと思います。

ただし！

本当に　社員の個人情報だけ　ならですが笑

※もちろんPマークを取得する以上やらないとダメですよ。気持ちのうえでは分からないではないってことです。

例えば、営業さんは営業先のリストを作っていませんか？

これ、営業個人が管理しているケースもありますよね。

最近では会社名・氏名・メールアドレス等をフォームに入力して、ホワイトペーパーをダウンロードさせる手法も増えました。

これらの情報はもちろん個人情報です。取得時に利用目的などを明示して同意を得る必要があります。

やれてますか？

付け加えると、セミナーや展示会でアンケートに個人情報を記入させる場合も同様です。

私が知る限り、Pマークを持っていても、これらの同意取得が　仕組み化されているケースの方が少ない　です。

全くやってない訳ではないのですが、仕組み化されていないからムラがあるという言い方が適切でしょうか。

Pマークの取得は、単に個人情報保護を押し付けるものではなく、仕事の仕組みを整えるきっかけになります。

営業個人が管理している個人情報があるなら、それを会社で管理する仕組みを整えて効率を上げるきっかけです。

これは営業だけでなく、社員の個人情報管理にも共通します。

管理部門の担当者が握っていてブラックボックス化している社員の個人情報管理を視える化することが出来ます。

それによって、業務のムリムダを発見することもあります。

また、業務が視える化されることで、担当者の離職に備えることも出来ます。

中小企業でバックオフィス人員にゆとりを持っていることはまずありませんよね。

社員の個人情報管理を社長が握っている場合も、業務を体系的に捉えることで事務員の採用に動けるかもしれません。

何も社員を採用しなくても、実務経験があって扶養範囲内で働きたい主婦を採用すれば、最小限のコストで社長の仕事を減らせます。

減った分で、集客なり新規事業なり幹部育成なり、時間を割きたいところに注力することが出来ます。

こういった提案が出来ないコンサルに任せるから、Pマーク自体がムダなものになり、形骸化していくんですね。

働き方改革にも大いに影響する話だと思いますので、やらされ感ではなく、前向きに取り組みたいものです。

個人情報保護に限らず、情報セキュリティの重要性は年々増しており、PマークやISMSの取得は右肩上がりです。

しかし、同じ認証でもかつてのISO9001とは明確な違いがあります。

それは、業務上の優先順位です。

ISO9001は品質マネジメントシステムです。

製品やサービスの品質向上については、ISOの有無に関わらず、大なり小なり取り組んでいます。つまり、社内にノウハウがある。

Pマークは個人情報保護、ISMSは情報セキュリティのマネジメントシステムです。

個人情報保護、情報セキュリティは、取り組んでいない（取り組めていない）ケースがあり得ます。つまり、社内にノウハウが無い。

この大きな前提の違いがあるにもかかわらず、かつてのISO9001のような取り組み方をしているケースが非常に多いです。

そしてそれは、私達コンサルタントの責任です。

結果としてマークはあるが中身のない状態、つまり形骸化します。

PマークやISMSのコンサルタントを選ぶ時は、価格と社内工数だけでなく、

「御社の個人情報保護、情報セキュリティのレベルを1段引き上げることが出来るか」

にも着目していただければと思います。