近年、新規取引先に対して、その会社がプライバシーマーク（Pマーク）を取得しているかどうかをチェックする企業が増えてきています。情報技術が飛躍的な進歩を続ける中で、世界的に情報セキュリティへの意識が高まっていることがその背景になっています。今回はこのプライバシーマークに関する基礎知識と、取得のためのポイントについて解説していきます。

この章では、そもそもプライバシーマークとは何か？プライバシーマークを取得することでどのようなメリットがあるのか？という点について解説します。

プライバシーマーク（Pマーク）とは、企業や組織の個人情報保護のための体制や運用が適切であることを認証するマークです。これは、日本工業規格（JIS）「JIS Q 15001：2017 個人情報保護マネジメントシステム-要求事項」に準拠した適切な個人情報保護のための体制や仕組みの構築がなされているかどうか、第三者機関である「一般財団法人日本情報経済社会推進協会（JIPDEC）」による審査を経て、基準をクリアした企業にのみ使用が認められるものです。プライバシーマークの使用が承認された事業者は、自社のパンフレットやホームページ、名刺、封筒などにプライバシーマークを記載することができます。

プライバシーマークは1998年に開始された制度ですが、2003年の個人情報保護法の施行、インターネットの普及と情報技術の急速な発達を背景に個人情報の取り扱いについての意識が高まり、近年ますます取得する企業が増加しています。現在、日本全国でプライバシーマークを取得している企業（＝付与事業者）の数は約17,000社を超えています。

それではプライバシーマークを取得することによってどのようなメリットがあるのでしょうか？ここでは、事業者にとってのメリット、生活者（取引先）にとってのメリットの両方の側面から見ていきたいと思います。まず事業者にとってのメリットは以下のようなことが考えられます。

①信頼性の向上

プライバシーマークを取得していることで、顧客や取引先に「個人情報を適切に管理している」という信頼を与えることができます。特にBtoBビジネス中心の企業や公共機関との取引では、プライバシーマーク取得が条件とされる場合も少なくなく、新規ビジネスチャンスの拡大につながります。

②リスク管理の強化

プライバシーマークを取得するためには、個人情報漏洩リスクを特定し、管理体制を強化する必要があります。このことによって、企業内の個人情報保護の仕組みが整備され、データ漏洩や法的トラブルのリスクを軽減することができます。また、日本の個人情報保護法やGDPR（EU一般データ保護規則）など、国内外の法規制への対応力が向上し、コンプライアンス体制の強化につながります。

③業務効率化

個人情報の取扱い基準が統一されることで、業務フローが効率化し、社内運営のスムーズ化につながります。また、全社員に個人情報保護に対する教育が行き渡ることで、従業員の個人情報の取り扱いに関するリテラシーが向上し、トラブルの早期発見や未然防止につながります。 

④ブランド価値の向上

プライバシーマークを取得している企業は、情報セキュリティや法令遵守に力を入れていると評価され、競争優位性を獲得できます。

次に生活者や取引先にとってのプライバシーマークのメリットとはどのようなことが考えられるでしょうか？

①安心してサービスを利用できる

プライバシーマークを取得している企業は、個人情報を安全に管理していることが客観的に認められているため、消費者や取引先は安心してサービスを利用できます。プライバシーマーク取得企業は、高い基準で情報を管理しているため、個人情報漏洩のリスクを心配することもありません。

②個人情報保護の透明性

生活者の自分の個人情報がどのように扱われるのかという懸念に対して、透明性のある体制が構築されています。プライバシーマークを取得している企業の多くでは、個人情報に関する問い合わせ窓口を設けており、何らかの懸念が生じた場合でも迅速な対応が期待できます。

③オンライン取引等における安心感

近年、ネットショッピングにとどまらず、オンライン決済を伴うサービスが急速に拡がっています。特にクレジットカード情報や会員登録に伴う個人情報の提供が必要となる場合、顧客データを適切に管理する規程が整備されているプライバシーマーク取得企業であれば、生活者も安心して情報を提供することができます。

次に事業者がプライバシーマークを取得するための手順について解説します。

まず、一般財団法人日本情報経済社会推進協会（JIPDEC）公式サイト(こちら)で、プライバシーマーク制度の概要や取得条件、申請要件について確認します。あわせて、日本産業規格（JIS）の「JIS Q 15001個人情報保護マネジメントシステム－要求事項」などプライバシーマークに関連する規格についても情報収集を行ないます。

「JIS Q 15001個人情報保護マネジメントシステム―要求事項」とは、組織が個人情報を適切に管理するためのマネジメントシステムの要件を定めた規格です。組織が個人情報の取り扱いルールを確立し、関係者に周知徹底することで、個人情報の適正な管理を実現する枠組みを示しています。その中で、企業に対してはPMSを構築し、PDCAサイクルを継続的に回すことで、個人情報保護レベルの向上を図ることが求められています。
一方、自社が何を目的としてプライバシーマークを取得するのかという点を明確化し、社内の意識を共有します。その上で、社内でプライバシーマーク取得の推進体制を構築し、プロジェクトチームを編成します。その過程で経営層を含めた社内全体の理解とサポートを得ることも重要です。

プライバシーマークのPMSとは、個人情報保護マネジメントシステム（Personal Information Protection Management Systems）のことをいいます。企業が個人情報を適切に扱うための情報保護管理の仕組みで、前述したJIS Q 15001の中で構築と運用の方法が定められています。このPMSを構築して運用していることが、プライバシーマークを取得するための条件となっています。

PMSの構築にあたっては、業務で取り扱う個人情報を洗い出し、どのようなリスクがあるかの分析（リスクマネジメント）を行ないます。その分析結果をもとに、個人情報を適切に管理するためのルールを策定し、実際にリスクが発生した場合の対策を決定しておくことが必要です次に、ここで得られた個人情報の管理ルールやリスク対策を文書化（PMS文書）します。PMS文書には下記のようなものが含まれます。

プライバシーマークの申請にあたっては、こうして構築した自社のPMSをPDCAサイクルに載せて少なくとも1回以上回し、課題を発見、改善する（運用する）というプロセスを経ることが要求されます。また、この過程を記録した書類の提出も求められます。

社内における個人情報保護のためのPMSの構築と運用が確認できたら、プライバシーマーク申請の手順に移ります。申請に必要な書類はJIPDECの公式サイト内（こちら）からダウンロードすることができます。必要書類には下記のようなものが含まれます。

注意すべき点として、プライバシーマーク（Pマーク）の申請や審査はJIPDECが運営していますが、実際の審査業務は、JIPDECが認定した指定審査機関が行っています。そのため、申請する場合は、自社の所在地や業種に応じて適切な指定審査機関を選び、申請を行うことになります。

申請者はJIPDECの公式ウェブサイトで、全国の指定審査機関一覧を確認します。審査機関は企業の所在地や業種に応じて分かれていますので、適切な指定審査機関に申請します。指定審査機関は提出書類の内容や運用状況を確認し、審査を行います。審査が完了し、基準を満たしていると判断されると、JIPDECが正式にプライバシーマークを付与します。

なお、プライバシーマークの申請にあたっては、申請料、審査料、付与登録料といった費用がかかります。費用は申請者の事業規模によって異なりますが、JIPDECが公開している資料では、およそ30万円から130万円程度となっています。ただし、申請にあたって外部のコンサルティング会社のサポートを得る場合は、コンサルティング費用が別途必要となります。

審査に合格すると、文書にてプライバシーマークの認定通知が届きます。指定機関と「プライバシーマーク付与契約」を締結することで、プライバシーマークを取得できます。その後は「プライバシーマーク使用規約」に基づき、店頭、宣伝用の広告資料、名刺、Webサイト等にプライバシーマークを掲載することが可能となります。

プライバシーマークの有効期間は2年間です。2年ごとに更新審査を受ける必要がありますので、PMSの適正な運用を継続しながら、定期的な内部監査や教育を実施し、更新審査に備えることが重要です。

プライバシーマーク取得にあたって、スマートロックは、物理的なセキュリティを強化するツールとして個人情報保護マネジメントシステム（PMS）の構築と運用に役立ちます。この章では。プライバシーマーク取得におけるスマートロックの活用について解説します。

まず、スマートロックをオフィスの特定の部屋やエリアに導入することで、誰が、いつ、どこに入退室したかを正確に記録できます。同時に、特定の時間帯や特定のユーザーだけが入退室できる設定を行うことも可能ですから、不必要なアクセスを防止し、セキュリティを強化することができます。

クラウド型のスマートロックであれば、各部屋やエリアへの入退室の記録がデータとして残りますので、プライバシーマークの審査の対象となる記録として提出することができます。

特に、個人情報が保管されているサーバールームや書類保管庫などの入口にスマートロックを設置することで、高度なセキュリティレベルを確保することができ、審査にあたって適切な施錠管理が行われていることを示す根拠にもなります。

従来の物理鍵によって、オフィスセキュリティを確保するため各エリアへの厳格な入退室管理を行なおうとすれば、鍵の受け渡し、正確な入退室記録の作成、人的なミスのリスクなど、業務上の負担は非常に大きなものになってしまいます。

この点、スマートロックであれば、初期の設定等の業務を除いて、ほとんどすべての業務を自動化することができ、その結果、業務の省人化・効率化をはかることができる上に、ミスが発生するリスクも大幅に軽減することができます。スマートロック導入によって省人化が進めば、その分マンパワー上の余裕が生まれます。この余力をプライバシーマーク取得のための直接的な業務に充て、プライバシーマーク取得への動きを加速することも可能です。

スマートロックを導入しようとする場合、スマートロック本体のリスクにも配慮しておく必要があります。例えば、停電や通信障害などによって解錠できなくなった、本体の不具合により動作しなくなった、などの事例も少なくありません。

また、多くのスマートロックはWi-FiやBluetoothを用いた通信を行なっているため、外部からのハッキング等のリスクが全くないとは言えません。このため、各メーカーでは通信データの暗号化などの対策を行なっていますが、暗号化のレベルは製品によって異なります。スマートロックを選択する場合には、本体がどんな場合でも極力安定的に動作すること、高いレベルの暗号化によってデータが保護されていること、などをポイントに製品選びを行なうことが望ましいでしょう。

RemoteLOCKは、弊社株式会社構造計画研究所が日本国内で提供するWi-Fi接続型・クラウド管理機能を備えたスマートロックシステムです。コワーキングスペース、貸し会議室、貸しスタジオ、ジムなどの時間貸しスペース、ホテル、旅館、民泊などの宿泊施設、オフィスや公共施設など、さまざまな施設の入り口やドアに広く利用されており、実際に世界で1日10万組以上の入室をクラウドで管理しています。

RemoteLOCKは暗証番号のほか、FeliCa、QRコードによる入室が可能で、シンプルで直感的な操作によって、年齢を問わず誰にでも使いやすい点が特長となっています。本体は電池駆動式のため、停電時でも施錠・解錠ができなくなるということがなく、安心して利用できます。また、通信障害が発生しても、すでに登録された暗証番号などのデータは本体に保存されていますので、一度登録されたデータであれば、問題なくスマートロックの機能を果たすことができます。

また、利用にあたって発生するクライアント（お客様が使用するWeb画面）とウェブサーバ間のネットワーク通信は、SSL/TLSと呼ばれる暗号化技術を用いてデータを送信しており、高度なデータの暗号化によって、お客様のクレジットカード番号や個人情報の盗難を防ぎます。銀行等でも使われている高いレベルのセキュリティ対策により、スマートロックの利便性と安全性の両立を実現しています。

このように、RemoteLOCKは、プライバシーマーク取得を目指す事業者に、安定性の面でも、セキュリティ対策の面でも、安心して選択していただけるスマートロックシステムとなっております。

今回はプライバシーマークの概要と取得のためのプロセスについて解説するとともに、プライバシーマークの取得にあたってスマートロックが果たしうる役割について論じてまいりました。オフィスやオフィス内の特定のエリアへの入退室管理は、プライバシーマークの資格審査における重要なポイントとなります。これからプライバシーマークの取得を目指す事業者の皆さまには、災害やトラブルに強く、かつセキュリティ対策の万全なスマートロックシステム、RemoteLOCKの導入をご検討いただければ幸いです。