Pマーク取得の成功事例① M社 広告代理店業/プライバシーマーク取得
社内に統一的でしっかりした個人情報保護ルールを確立
M社は、広告代理店業を営む設立間もない会社です。クライアントは不動産や住宅関係の会社が多く、少しずつ事業を広げてきました。顧客管理システムの提案などのために、顧客名簿の一部を預かり、開発会社などと一緒に作業を進めることからプライバシーマークの取得を進めることにしました。
社長が決断するきっかけになった「紛失事件」
「営業担当者が終業後に居酒屋に行ってスマホを忘れてきたんです。多少酔っ払っていたし私物のスマホのほうは持っていたので、翌朝まで忘れてきたことに気づかなかったんですね。朝になってないことが分かって、その居酒屋に電話しました。運よく早出で仕込みをしていた従業者と話すことができて、座っていた場所を伝えて探してもらったら、確かに椅子の下から出てきたそうです。すぐ取りに行きますと言って、出勤前に無事手元に取り戻したのですが、問題はそこからでした。
本人は軽く考えていたのでそのまま午前中の仕事をして、やがてお昼休みになってから、『いやあ昨日酔っ払っちゃって、スマホを……』 などと軽く同僚と話していたんです。それを耳にした総務の人間が、それはまずいと言いだしました。スマホをなくしたのはEという人間なんですが『Eさん、ほんと? それま ずいよ。立派な情報漏えい事故じゃないか。社内に報告を上げて、すぐ動かなければいけ なかったことだよ』と指摘したんです。
でもEは『だけど盗まれたわけでもなく、椅子の下に落ちたままだったわけだし、すぐに回収できた。それに秘密情報みたいなものは 入っていないしね』と、やんわり反論したんです。『いやそれは甘いでしょ』と総務のメンバーは引き下がりませんでした。『自分が管理できず、誰でも触れる状態で 時間くらい放置されていたわけでしょ? そのまま同じところに落ちていたといっても、勘ぐれば 誰かが触ったあとでそこに戻したのかもしれない。機密情報はないといっても、取引先の電話番号はたくさん並んでいるはず。そもそも、機密情報があったか、なかったかを判断 するのはEさん本人じゃないよ』と。私は横で聞いていて多分、そのスマホから重大な情 報が誰かに渡ってしまった、ということはなかっただろうなとは思いましたが、情報漏えい事故だと判断すべきだという指摘もよく分かりました。
でもそこで私がいちばん思ったのはEと総務の言っていることのどちらが正しいのかではなく、こういうことで統一したルールがない、これはまずいなということだったんです。何か起こるたびにこんな議論を しているわけにはいかない。だからプライバシーマークを取ろうと思い立ちました。以前 から総務からは言われていたことでもあったんですがね」
「個人情報保護に関する共通ルールと仕組みがないことがまずい」と受け止めたことが重要
社長の言うとおり、どちらの解釈が正しいのかではなく、社内に統一したルールがあり、それが浸透していることが重要なのです。
プライバシーマークというのは個人情報保護のルールを決めて、実際に運用するために 取得するものです。保護すべき個人情報とはどの範囲のものか、その漏えいとはどういう事態なのか、それが分かったとき誰にどう報告し、どのような対処をするのか、その反省をどのように行い、いかにして新たなルールに反映するのか、この仕組みをつくっていつ でも動かせるようにするのがプライバシーマークを取得するということです。
このケースでも、従業者にスマホに入っている情報は個人情報だという共通認識があらかじめあり、それを紛失したら社内のどこに報告・相談し、どう対処するか、というルールが明確なら、Eさんはもっとしっかりとした対処ができたはずです。例えば今、スマホのデータは、遠隔で消去できます。それをすぐしなさい、こう操作すればできる、というアドバイスをその場で受けることもできたはずです。
社長が「個人情報保護に関する共通ルールと仕組みがないことがまずい」と受け止めたことが重要なのです。それがないままではまた同じ ことが起こり、起こした当人が緩めの判断をする人だったら大事件に発展してしまうかも しれません。そしてそれが個人任せであったとしても、場合によっては損害賠償責任を一 人で負うことになります。
社長はすぐに総務がすでに依頼先候補としてリストアップしていたコンサルタント会社に連絡を取り、二人三脚でプライバシーマークの取得業務に取り組みました。
「個人情報と考えるべきものの範囲が明確になり、対応する組織体制も、運用の仕組みもでき、社員向けの講習会で内容についての議論もできました。1年掛からずにプライバ シーマークが取得できましたが、対外的な信用力の向上はもちろん、社内が一つにまとまり、何があってもすぐそれに即応して動く体制ができたことがいちばんありがたいです ね。『それまずいんじゃない?』『ああ、確かに!』という会話が普通にできるようになりましたから」 プライバシーマークは、取得の過程が大切です。そのなかでいかに社員の意識を高め、一つにまとめていくかが問われます。それができたときにはじめて、プライバシーマークをもつ事業者にふさわしい存在になれるのだと思います。
関連記事
監修者紹介
仲手川 啓/Nakategawa Kei
株式会社ユーピーエフ代表取締役
Pマーク(プライバシーマーク)、ISMS(ISO27001)の新規取得や更新通過支援を累計2500社以上の支援実績を有する情報セキュリティーコンサルティング会社代表。(※2022年10月現在)
独自の最新の進行管理ツールや低価格での支援スタイルから口コミ、紹介での取引開始を中心に、IT・人材系ビジネスのスタートアップから大企業まで幅広い層からの支持を集め現在業界トップシェア。
同社は「経営者がおすすめのPマークコンサル会社部門1位」、「Pマーク取得コンサルアフターフォーロー満足度部門1位」、「医療関係者に最も選ばれるPマークコンサル会社部門1位」、「上場企業従事者に最も選ばれるPマークコンサル部門1位」を受賞している。(※調査企画:日本マーケティングリサーチ機構)