Pマーク・ISMS丸わかり!初心者ガイド

Pマーク・ISMS取得支援、こんなコンサルに騙されるな!安心できるコンサルタント会社を選ぶ10のポイント

残念ながらプライバシーマークやISMSの認証取得支援コンサルタント会社選びでは、さまざまな失敗が多く生じているのが現状です。

インターネットの検索サイトで、「プライバシーマーク、コンサルタント会社」などとキーワードを打ち込んで探すという人も多いかもしれません。

しかしそこで表示される多くのコンサルタント会社のなかから、しかも耳あたりのいい山のような宣伝文句のなかから、自社に合った会社を1社選ぶのは至難の業です。

本記事では、コンサルタント会社選びで失敗しないために押さえておくべき10のポイントを解説します。

①安いことを、最大の売りにしていないか

そもそもプライバシーマーク取得は、どんなに急いでも約半年間は密着したサポートを受けることが欠かせません。マネジメントシステムの構築、その実践とレビュー、改善、 それに基づいた申請書類の作成、従業者への周知資料の作成と社内教育の実施、実地審査のポイントのサポート、現地審査時に指摘を受けた改善報告書の作成支援などが必要であり、このためにはある程度の費用も掛かります。大量生産できる商品を売るのであればともかく、コンサルティングというサービスを提供しようとするのに極端に 「安いこと」 が最大の売りになること自体、考えにくいことです。

小規模の事業者を対象とした場合のサポート範囲別のコンサルティング料金の相場は、 概算するとおおむね次のとおりです。これを参考に、安過ぎないか、高過ぎないかを判断 してください。

 ・取得に関するアドバイスのみ:25万円~
・具体的な指導、文書の雛形作成、申請後の口頭フォローなど:50万円~
 ・文書の完全作成を含んだトータルサポート:70万円~

この水準から大きく外れている場合は、どのような業務がいくらなのか、何が別料金なのか、詳細な見積もりを求めることが必要です。

また最近では月額いくら、という料金体系のコンサルタント会社もあります。しかし、 プライバシーマークやISMSの特性上、毎月決まったサービスを提供するサブスクリプションサービスなど必要ではないので、月額いくらという体系は本来意味をなさないのです。総額を安くみせるテクニックともいえますが、どの業務がいくらなのかという価格の詳細が見えなくなっていることも問題です。

②「必ず」と「スピード」ばかりを重視していないか

なるべく早期に取得したいと考えるのは自然なことだと思います。その心理に つけ込むかのように、「必ず半年で取得できます」といったことを謳い文句にするコンサルタント会社があります。

しかし、マネジメントシステムの認証であるプライバシーマークは、個人情報保護マネジメントシステム(PMS)を構築し、それを1回以上運用してPDCAを回し、その後に申請書類の作成となります。申請書類作成まで1カ月掛かるとすれば、PMSの構築 と初回の運用とそれを踏まえたPDCAサイクルをとてつもなく早く進めることになるため、企業の状態や内容によっても「必ず半年で取得できます」とまでは言えないはずです。

それらしい申請書類はできても、実態にそぐわないPMSでは仮に認証が得られても実際には運用できず、2年後の更新ではかえって手間が掛かることになります。取得がスピーディに行われることは価値のあることですが、スピードばかりを強調するコンサルタント会社には注意が必要です。

③「何もしなくていい」「楽して取れる」を売りにしていないか

審査機関が 「丸投げはすべきでない」 「丸投げを求めるコンサルタント会社を使うべきでない」 と公式に発信していることから、自社の個人情報保護体制をつくり上げることが 「業者丸投げ」 でできることではないということは明らかです。

またこうした会社は、プライバシーマーク取得の最大の山場となる審査員による現地審査についても、自社の社員を派遣して審査員の質問などに対応させ、調査を無事に終わらせようとしたという報告もあります。もちろんこの 「立ち会い」 は審査側が最も注視している違反行為です。

「プライバシーマーク付与適格性審査に関する約款」でも「乙(プライバシーマーク申請 事業者)の従業員以外の者が審査に立ち会った場合は、甲(審査員・審査機関)は審査を 打切ることができる」と定めています。この約款をかいくぐるために、あるコンサルタント会社は、顧客会社が自社の社員と雇用契約を結ぶことを提案して、あくまでも現地調査に 立ち会わせようとした例があります。こうしたことは、決してあってはならないことです。

しかも現地審査が打ち切りになると、その後1年間は実質再申請が認められません。もし打ち切りとなった審査が新規の申請ではなく更新のためのものであれば、取得していたプライバシーマークは更新できずに失うことになります。もし、マークの保有が前提となった業務を請け負っていれば、その仕事も失ってしまうことになります。

取得業務の無駄を省いたり、単なる反復的な作業を避けるためには、アウトソーシング は当然考えるべきことです。しかしプライバシーマークの取得過程は同時に、有効な個人情報保護体制の構築や、それを機能させて個人情報保護を確実に行うことができる会社に なろうという社員のマインドをつくり上げていく過程でもあります。

「丸投げOK」 というコンサルタント会社は、そういうことはしなくていいと公言しているに等しく、そうした会社への依頼は、決して価値のあるものになりません。仮に1回は マークの取得ができても、それを継続していくのは難しいのです。

④コンサルタント会社自身がプライバシーマークをもっているか

プライバシーマークの取得コンサルティングを業務としているのに、もっていない会社があるのかと思うかもしれません。

しかし実態は、あるどころではなく全体の6~7割がもっていないという現状です。

いうまでもなくプライバシーマークの取得支援を依頼する場合、自社の事業内容や業務 形態、個人情報の取り扱い方法など、多くの社外秘の情報をコンサルタント会社と共有することになります。従業者の個人情報も多くを預けることになります。

ところがプライバシーマーク取得を支援するコンサルタント会社は、それを管理する法律はもとより、業界団体や自主規制のためのガイドラインはありません。その意味では、 プライバシーマークを自主的に取得し、顧客の個人情報を守る体制を取ることが必要です。しかし、大半の会社ができていません。

そもそも自らが取得のコンサルティングを行う以上、誰に言われなくても経験として取 得しようと思うのが普通です。ノウハウの蓄積という意味だけでなく、事業に立ち向かう姿勢として当然のことだと思います。プライバシーマークを取得済みのコンサルタント会 社であることは、選択の必須条件と考えるべきものです。

⑤プライバシーマークの取得支援実績を公開しているか

コンサルタント会社が今までプライバシーマークの取得支援に成功した実績の数字がどのくらいあるか、それを自社のホームページなどで公開しているかは選択の大切なポイント の一つです。取得実績は、コンサルタント会社の実力を推し量る重要なデータだからです。

ただし数字が公開されていても気をつけなければいけないことがあります。 「3000件超の導入実績」「1カ月で 社を超える企業を支援」といった数字が誇らしげに並んでいることがあるのですが、その数字の多くがプライバシーマーク以外のほかの JISやISO関連のコンサルティングサービスなどを加えている場合が多いのです。プ ライバシーマークに限った数字をきちんとチェックしてください。

そのうえで確かに取得実績が多く、また申請数に対する取得成功率が高ければ高いほど 多くのケースに携わっているので安心と考えることができます。

⑥サポート範囲を示しているか

コンサルタント会社によって、請け負う業務の範囲は大きく異なります。同じ会社で、 いくつかのコースを提供している場合もあります。

どこまでのサポートを受けるのが適切か、予算やプライバシーマーク取得に割くことのできるリソース、希望する取得時期までの時間的な猶予などを総合的に考えて、コンサル タント会社が提供してくれるサービスのメニューを見ながら決めることが必要です。

適切な個人情報保護マネジメントシステムの構築や運用、レビューの仕方についても指導してくれるのか、さらには取得後の更新についても支援してくれるのかといったことも検討事項です。

コンサルタント会社のなかには地域に利用可能な補助金制度があるかどうかを探し、申請手続きまでサポートしてくれるところもあります。

もちろん何から何までコンサルタント会社任せにしてしまえば、費用はどんどん積み上がってしまいます。提供されるサービス内容と自社が求めるサービスを突き合わせ、総費用との関係でメニューを組み立てていくことが必要です。

⑦自社で運用できるPMSを構築してくれるか

プライバシーマークの取得は、その取得の過程を含めて、自社に最適なPMSを構築し、継続して運用していけることが目的です。そのため、自社単独でPMSを運用できる体制を構築することが必要です。

ところがコンサルタント会社のなかには、意図して膨大な業務量の過剰なPMSを構築しようとするところがあります。

PMSの項目が多くなると、自社の本来の業務と並行して自社単独でPMSを回すことが難しくなるため、当初の構築だけでなく運用も含めてコンサルタント会社に依頼しようかと思ってしまいます。当然、費用も継続的に掛かってしまいます。

残念ながらそれを狙いにしたコンサルタント会社が多いのは事実です。プライバシー マーク取得のあとも継続して支援業務が発生すると、売上になるからです。もちろん依頼した側にすれば、業務コストが増え、収益に影響します。

そもそも自社単独で担えないほどのPMSが本当に必要なのか、常に外部の助けを得なければ回らないPMSは、プライバシーマークの本来の目的に沿っているとはいえません。 自社で担えないようなPMSを必要だと主張するコンサルタント会社は、顧客の利益より自社の利益を優先しているといえるかもしれません。

⑧必要以上の設備投資の誘導がないか

コンサルティングのなかでセキュリティ関連ソフトや情報漏えい防止機能の付いたOA 機器など、高額な設備の導入が提案される場合があります。

PMSの確立と並行して、社内の情報セキュリティ体制の改善につながる設備を導入することは否定されることではありません。しかし、それがプライバシーマーク取得のため に必須の設備であるとは限りません。PMSは、そのようなハードウエアに依存してつくるものではないからです。

関連する設備として考えられるのは入退室管理関連のものや鍵付きロッカー、あるいは 社内教育用の動画といった程度で、新たに規模の大きなハードウエアやソフトウエアが必要になることはありません。 それにもかかわらず、安易に高額な設備の導入を提案するコンサルタント会社には要注意です。お金をかけずにルールで解決する手段はいくらでもあるのです。 コンサルティングのなかで新規の設備導入の提案が行われた場合は、プライバシーマー ク取得のために、どのような意味や効果があるのか、なくてはならないものなのか、しっかりと確認することが必要です。

⑨自社の業界知識をもっているコンサルタントか

プライバシーマーク取得支援の実績が豊富で規模の大きなコンサルタント会社でも、各業界・業種について、それぞれの事情に明るい専門性の高いコンサルタントが所属しているかどうかはまた別です。

しかし業界・業種に精通していることは、有効なPMSをつくり上げるために欠かせません。なぜなら業界・業種ごとに業務の形態や細かいルールがあり、それによって個人情報を取り扱う業務の性質なども異なってくるためです。

業界特有の商慣行やビジネスモデルなどを知らないコンサルタントにPMSの構築を任せっきりにしてしまえば、自社の事業に即したものにならず、運用しにくく、また運用中にトラブルが頻発する可能性もあります。もちろんコンサルタントが、担当を契機に、業界知識やその会社のビジネスモデルを新たに学びながら、それを業務に活かすことも考えられますが、時間と手間が掛かり、依頼元の会社はストレスを抱えることになります。コンサルタント会社との正式契約前に、自社の業務をよく知っているコンサルタントに担当してもらえるのかどうかあらかじめ確認することが重要です。

経験が豊富で幅広い業界知識を有しているという点では、現役の審査員や審査員経験者をコンサルタントとして数多く擁している会社は、依頼先としても有望です。現場審査を通してさまざまな業界を経験しているだけでなく、社内での審査員同士の交流もあるため現場審査での指摘事項やそれに対する対処策など、最新の情報やノウハウをもっています。

それがコンサルティングにも活かされてくるため、PMSの構築にも最新の知見を適用することができ、修正の指摘を受けることが少なく完成度の高いマネジメントシステム づくりが可能になります。

⑩導入すべきセキュリティ商材やサービスを中立な立場で紹介してくれるか

8の内容と矛盾するように感じるかもしれませんが、プライバシーマークやISMSの取得業務を進めていくうえで、プロの立場から必要に応じてさまざまなセキュリティ商材やサービスの導入を案内してくれることも、コンサルティングを受けるうえでのメリットです。その会社に本当に必要なサービスであれば、そのタイミングで導入するのもよいか と思います。

ただし、販売代理店となっている特定の企業や独自開発のセキュリティ商材を勧めてくるコンサルタント会社には注意が必要です。良いコンサルタントであれば、その会社に過不足ない最適なサービスをピックアップして推奨してくれるはずです。そのコンサルタント会社自身や子会社、グループ会社などが提案した設備を扱っており、新規導入の契約を結ぶとコンサルタント会社にマージンが払われるという仕組みになっているという場合があるのです。

10のポイントに沿って3社程度から見積もりを取ろう

以上、10のチェックポイントに沿ってコンサルタント会社の選定、または更新時での見直しを進め、依頼先候補をある程度絞り込んで、最終の1社を選ぶときには3社程度から相見積もりを取るのがベストです。

相手のコンサルタント会社にも、他社にも見積りを依頼している旨は伝えてください。それが相見積もりを取る際のエチケットであり、またそれによって相手に競争意識が生まれ、選定後もしっかりとプロジェクトを進めてくれるはずです。

関連記事

関連する記事は見つかりませんでした

監修者紹介

仲手川 啓

仲手川 啓Nakategawa Kei

株式会社ユーピーエフ代表取締役

Pマーク(プライバシーマーク)、ISMS(ISO27001)の新規取得や更新通過支援を累計2500社以上の支援実績を有する情報セキュリティーコンサルティング会社代表。(※2022年10月現在)
独自の最新の進行管理ツールや低価格での支援スタイルから口コミ、紹介での取引開始を中心に、IT・人材系ビジネスのスタートアップから大企業まで幅広い層からの支持を集め現在業界トップシェア。
同社は「経営者がおすすめのPマークコンサル会社部門1位」、「Pマーク取得コンサルアフターフォーロー満足度部門1位」、「医療関係者に最も選ばれるPマークコンサル会社部門1位」、「上場企業従事者に最も選ばれるPマークコンサル部門1位」を受賞している。(※調査企画:日本マーケティングリサーチ機構)

ご不明な点がありましたら、
お気兼ねなくお問合せください。