ESET/マルウェア情報局
制度開始から20年、改めて考えたいプライバシーマーク取得のメリット
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「プライバシーマークは取得すべきか。その必要性とは?」を再編集したものです。
プライバシーマーク制度とは
プライバシーマーク制度とは、一般財団法人日本情報経済社会推進協会(JIPDEC)が、個人情報に対する取り組みを適切に行なっていることを認定する制度のことだ。個人情報について適切な保護措置を行なっているかどうかをJIPDECもしくは審査機関が審査し、合格した場合はプライバシーマークの使用が認められる。プライバシーマーク制度の審査基準は、JIS Q 15001「個人情報保護マネジメントシステム-要求事項」をベースにしている。JIS Q 15001とは、1999年に通商産業省により定められた日本工業規格で、事業者が業務上取り扱う個人情報を安全で適切に管理するための規格を取り決めたものだ。JIS Q 15001では、個人情報保護マネジメントシステム(PMS)を構築するとともに、その体制を定期的に見直し、改善することなどを求めている。
プライバシーマーク付与事業者数(新たに付与の資格を得た事業者から、合併、中止によりプライバシーマークの使用を中止した事業者を除いた数)は、制度を開始してから一貫して増加している。2019年3月31日現在で、その事業者数は1万6000を超えている。プライバシーマークの取得は、業種を問わずに進んでいるが、特にサービス業の占める割合が75%と多い。
個人情報保護をめぐる社会情勢
個人情報保護の議論が活発になった背景には、インターネットの普及がある。個人情報を活用することで顧客に最適な商品やサービスが提供しやすくなった反面、個人情報を企業が勝手に使うことに対して、規制をかけるべきという気運が急速に高まっていったのだ。今となっては広く認知されているが、かつてネットショップからのレコメンドメールなどに、戸惑いをおぼえたという方も少なくないのではないだろうか。
世界的な個人情報保護の動きは、1995年の「EUデータ保護指令」の発令にさかのぼる。EUデータ保護指令とは、十分なデータ保護レベルを確保していない場合、EU域内から個人情報の移動を規制するものだ。EU域内で事業展開する日本の企業は、個人情報を日本の本社で活用できなくなることが懸念された。EUデータ保護指令に対応するため、米国では2001年にSafe Harbor原則が定められ、この原則に従う企業は、個人情報に関して適切なデータ保護を行なっていると認められることとなった。
日本では1997年にEUデータ保護指令に対応するためのガイドライン、「個人情報保護に関するガイドライン」が制定される。しかし、企業や団体に対し、ガイドラインを示すだけでは、個人情報保護への十分な取り組みを促すには至らなかった。こうした背景から、ガイドラインに適合した個人情報の取り扱いができることを、第三者の視点で評価し、その証を可視化できるようにしたプライバシーマーク制度が創設されたのだ。その後、日本では2005年に個人情報保護法が施行され、法制度化も進んだ。
世界的な個人情報保護を巡る動きは、SNSの進展とともに再燃する。EUがEUデータ保護指令を強化し、「EU一般データ保護規則(GDPR)」を制定、2018年12月に施行したのだ。こうした動きは、GAFA *1を代表するプラットフォーマーが、膨大な個人情報と引き換えにサービスを提供していることと無関係ではない。個人情報保護の規制を強化することで、プラットフォーマー対策に乗り出したとみられている。
*1 グーグル社(Google)、アマゾン社(Amazon)、フェイスブック社(Facebook)、アップル社(Apple)の巨大IT企業4社の各頭文字を並べた総称のこと。デジタルテクノロジーにおける主要なサービスを手がけていることから「プラットフォーマー」と呼ばれている。
日本でも2017年に個人情報保護法が大幅に改定された。個人が識別できないように加工した情報を匿名加工情報として流通を認める一方で、5000人以下の個人情報を取り扱う事業者(小規模取扱事業者)も個人情報保護法の対象とすることになった。今後も、インターネットを巡る情勢によっては、新たな法規制や制度の変更もあり得るだろう。
検討すべき個人情報漏えいリスク
企業が事業活動を行なう上で、個人情報の収集と活用は避けては通れない。刑事罰が問われる個人情報保護法違反を避けるために、個人情報を保有しないという選択肢を模索する企業もあるかもしれない。しかし、個人情報をまったく保有しないで事業展開をすることは不可能に近い。従業員が交換する顧客の名刺や、従業員情報のすべてが個人情報であり、その時点で適切な管理が求められる。
個人情報を保有しないという前向きではない対応を検討するよりも、積極的な活用に取り組む姿勢が必要だ。個人情報の適切な活用は、ユーザーの利便性を向上させることができる。個人情報を活用することで、そのユーザーにあった商品やサービスの提供を実現し、顧客満足度の向上も期待できる。顧客ニーズに基づく商品開発も実現できるはずだ。個人情報の活用は、競争優位の確保にもつながる。プロモーション展開を含む適切なマーケティング戦略を具現化していくためには、個人情報の活用は欠かせない。
だからこそ改めて確認したいのが、個人情報の漏えいリスクだ。個人情報に関する漏えいリスクを再認識し、その上で適切な対応をとり、個人情報を活用していくことが企業には求められている。では、個人情報が漏えいした場合のリスクにはどんなものがあるのか。
- 調査コスト
インシデント発生後、企業は速やかにその影響範囲と原因の追及をすることが求められる。このような場合、自社のみで調査を行なうことで隠ぺいを疑われることもあるため、信頼のおける第三者機関へ調査を依頼することも多い。そうなると当然ながら外注費用が生じる。また、たとえ第三者機関に依頼したとしても、インシデントの規模によっては専任の担当者を複数名配置し、各種対応を行なうことも必要になってくる。
- 損害賠償
個人情報を漏えいさせてしまった場合、その個人に対し慰謝料を支払うことが一般的になっている。一件あたり、500円から1万円程度の損害賠償を支払うことが一般化しているようだ。裁判になった場合は、損害賠償額が引き上げられる可能性も高まる。流出させた個人情報の量にもよるが一件のインシデント発生だけで、相応の費用負担が発生すると考えておいた方がよさそうだ。
- 機会損失
ショッピングサイトで個人情報漏えい問題が起こった場合、そのサイトは原因究明ができるまで閉鎖することになる。そうなると、その閉鎖期間内に本来得られたはずの売上がなくなるなど、その機会損失は小さくない。ショッピングサイトと関係なくとも、原因究明・再発防止策の作成などの社内調査のために、人的リソースが必要になり、本来やるべき仕事ができなくなる懸念もある。場合によっては、社外の専門機関等への調査費用が必要になることもあり、調査が長引けば機会損失がさらに大きくなり、業績への影響も懸念される。
- 信用の失墜
個人情報を漏えいさせた場合の損失リスクで、最も大きいのが信用の失墜である。短期的には、顧客離れが起こることが想定される。取引先からは、取引停止や条件変更を求められる可能性もあり得る。これまでの事例をみても、消費者離れは避けることができないだろう。長期的には、今まで築き上げたブランドの毀損により、業績の悪化要因になり、株主や従業員など、ステークホルダーにも多大な損害を与え得ることになる。
プライバシーマーク取得のメリット
個人情報を保有することで抱えることになるリスクは、決して小さくはない。個人情報の漏えいは、会社の存続をも左右するインパクトを企業に与える可能性がある。したがって、そういったリスクを排除するための方法のひとつとして、プライバシーマークの取得は有効だ。プライバシーマークを取得することは、企業にどんなメリットをもたらすのだろうか。
- 個人情報を有効に活用するための体制の整備
プライバシーマークを取得するためには、組織的な個人情報保護マネジメントシステム(PMS)を構築しなければならない。個人情報マネジメントシステムとは、文字通り個人情報を保護し、有効に活用するための体制を整備することにほかならない。JIS Q 15001が定める個人情報マネジメントシステムを社内に構築することで、厳格な管理のもと個人情報を活用することができるようになり、従業員のセキュリティ意識の向上にもつながり、個人情報漏えいリスクを最小化できるとみてよいだろう。
- 信頼度の向上
プライバシーマークの普及が進み、社会全体での認知度も上がっている。名刺やホームページを通じて、対外的にプライバシーマーク取得をアピールすることで、企業の信頼度は向上し、取引先との関係性強化につながる。消費者からは信頼性の向上を通じて、固定客化も期待できる。
- ビジネスチャンスの増加
取引先との取引条件や、官公庁の入札条件の中には、プライバシーマークの取得が条件になっている場合も少なくない。プライバシーマークを取得しているという事実だけで競争優位につながることもあり、受注可能性が高まることにも寄与する。
- セキュリティインシデントの予防
個人情報の漏えいは、企業の存続をも左右する損害を企業にもたらすことになる。プライバシーマークは、その取得プロセスにおいて企業内でさまざまな対策を講じることが求められる。そして、研修などを通じた学習により、情報保護に対する意識も高まっていくことになる。それら対策を行なうプロセスを経た結果、インシデント発生が抑制されるようになるという流れだ。インシデント発生を予防することで、事業運営の安定感は増すことになるだろう。
まとめ
情報化時代において、データは「新しい石油」と形容されることがある。データを活用することで、顧客に対して利便性の高い商品やサービスを提供できる可能性が高まる。顧客ニーズに則した商品やサービスの提供にもつながるだろう。いまや、データの活用度合いが企業の業績をも左右する重要なポイントになりつつある。データは活用してこそ意味があり、プライバシーマークの取得はそのためのプラットフォーム整備のきっかけとなる。
個人情報漏えいのリスクを恐れ、データ活用に二の足を踏んでいるようでは、デジタル化が進む社会で優位性を確立することは難しい。個人情報の漏えいリスクを排除し、個人情報を活用していくための体制構築は容易ではないが、プライバシーマークの取得がそれらの取り組みを後押しすることは間違いないのではないだろうか。