今までいただいたご質問の中で多かった質問とその回答例です。
詳細画面から専門家に、メール相談や直接会っての面談などを申し込むことができます。
プライバシーマークの取得を検討しております。実際のところ必要となる費用はどのくらいでしょうか?
申請費用+リスク対策費用+コンサル費用が必要です。
組織規模やリスク対策の実装レベル設定、コンサルティング利用の有無によって金額は大きく変動します。
それぞれの項目を順番に見ていきましょう。
<組織規模>
組織規模によって審査機関に支払う費用が変動します。
自社が下表のどこに該当するか確認しましょう。
・事業者規模の区分について
https://privacymark.jp/p-application/cost/segment.html
(参照URL:一般財団法人日本情報経済社会推進協会)
事業者規模が判断出来たら、今度は下表の金額を参照します。
・プライバシーマークの付与に係る費用
https://privacymark.jp/p-application/cost/index.html
(参照URL:一般財団法人日本情報経済社会推進協会)
以上が、審査機関に支払う費用になります。
<リスク対策費用>
JIS Q 15001の要求事項で求められている安全管理措置として、自社がどの程度のリスク対策を実装するかによって金額が変動します。
例:受付の設置、ICカードによる入退管理の導入、情報セキュリティ機器の導入、社内パーティションの設置、保管庫の購入、WEBのSSL化・・・等々
これらはリスク分析によって、事業者自らが対策を検討し、実装する必要がありますので、自社の予算や現状を勘案して決定することになります。(ですので、上記の例を導入しない
とプライバシーマークを取得出来ないという訳では決してありません。)
<コンサル費用>
これは単純にコンサルティングを利用するかしないかだけの問題です。価格は数万円から数百万円程度まで、かなりの幅があるのが現状です。価格の差を生み出しているのはコンサルタントの作業内容や訪問回数、あとはオプション設定です。
もし、コンサルティングを利用するのであれば、下記のチェックをされることをお勧めします。
1.コンサルティング会社と自社の作業分担(内訳)
2.コンサルティング回数の制限の有無
3.標準サービス内容とオプション設定の内容
あとは<リスク対策費用>にも関係してきますが、やたらと設備投資を勧めてくるコンサルタントは要注意です。実際のところ、プライバシーマークの認定基準であるJIS Q 15001には「これを買いなさい」「これが無いと駄目」と記載されている具体的な製品はありません。いかにして低予算で高いセキュリティレベルを保つかもコンサルタントの“腕の見せどころ”と言ってもいいでしょう。
上記のことから、「申請費用+リスク対策費用+コンサル費用=プライバシーマーク取得に掛かる費用」という答えになります。自社のリスク対策の実装状況と個人情報保護管理者のスキルによってはコンサルティング会社を利用することなく、完全自社取得すれば“申請費用”だけでプライバシーマークを取得することも可能です。
注:申請費用だけといっても、担当者の人件費や策定した規程類の用紙等の雑費や消耗品費はもちろん掛かります。