インターネットが普及して、デジタルを使って便利さを手に入れた一方で、個人情報をめぐって、企業が甚大な被害にあう事件が増えています。ハッカーによって大手企業が標的にされ事業が停止するなど、近年よく報道されるようになりました。いまや、個人情報保護の有効な対応が、優先度の高い経営課題となりました。
そこで今回は、プライバシーマーク(Pマーク)についてお話しします。プライバシーマークとは、個人情報の保護に関わる第三者認定制度です。
ダンクソフトは、このPマークの認証をいち早く取得しています。今回のコラムは、ダンクソフトの経験を通じて、Pマークの重要性や2年ごとに実施される更新審査などをご紹介します。さらに個人情報を安全に管理するばかりでなく、そのプロセスから生まれてくる5重の複合効果についても、お話しします。
┃新基準で加わった「トレーサビリティの確保」とは
ダンクソフトでは、2006年にプライバシーマーク(Pマーク)を取得しています。お客様のプロジェクトを行うために取得が必須だということがありますが、ダンクソフトのような20数名規模の会社でPマークを取得しているケースは多くはないと思います。
実際、Pマークの取得率は、上場企業でも2割ほどといわれています。そんな状況もあって、「ウチの会社は関係ない……」と思っている経営者の方も多いのではないでしょうか。
しかし、個人情報は企業が扱う情報の中でも、もっとも基本的なものです。その保護への関心は年々高まっています。
2022年には個人情報保護法が改正され、それにともなってPマークの基準も変更されました。個人情報における「トレーサビリティの確保」が義務づけられたこともそのひとつです。
この「トレーサビリティの確保」とは、個人情報のやり取りを、追跡可能な状態にすることを言います。ですので、個人情報を提供する側と、受け取る側の双方が、個人情報取り扱いの記録を残すことが求められます。
ダンクソフトだけが実施してもだめで、取引先にもそれが求められるということです。この変更に対応して、ダンクソフトでは名刺の発注を、それまで長く付き合ってきた会社からPマークを取得した企業へと、やむなく変えざるを得ませんでした。
このように、個人情報のマネジメントが、名刺1枚にも関わってくるわけです。ある程度の規模がある会社はもちろんのこと、規模にかかわらず、これから積極的にビジネスを広げていこうとする会社であれば、業種にかかわらずPマークの取得をぜひ検討してみることをお勧めします。
┃「ペーパーレス化」は、プライバシーマーク取得とともに推進
Pマークを取得する理由は、主に、企業としての信頼性を高めることがあげられます。皆さんも、個人情報がきちんと管理できる会社にプロジェクトを依頼したほうが、安心しませんか。また、採用活動などでもよいPRになることが期待されます。
ただ、実際に取得してみた経験では、Pマーク導入には、それ以外にもさまざまなメリットがあることに気づきました。
まず第1に、「ペーパーレス化」による業務改善や働き方改革がすすみ、とても役立ちました。
個人情報は、顧客リストや管理台帳ばかりでなく、注文書や請求書まで業務に関わるさまざまな情報に関連しています。Pマークを取得するためには、これら情報を、安全に効率的に管理することが不可欠です。そのためには、紙ベースではなく、データベースによる運用に切り替えるなど、必然的にペーパーレスを促進することになるわけです。
2006年当初は、まだ当社でも、社内のシステムを作っていなかったので、全部、紙で対応していました。ExcelやWordで書いたものを、出力してファイリングし、保管していたんです。それを、最初はマイクロソフトのシェアポイントに入れるようにつくったのが2008年です。そのタイミングで、経費の仕組みをつくって、ダンクソフト内のペーパーレス、サインレス、キャッシュレスができていきました。
紙で管理していたころは、たしか、毎月400枚ぐらいの紙が出てくることになってしまいました。個人情報に関わる書類の中でも、とても煩わしくずっと悩ましいものがありました。それは、社員の勤怠管理に関わるものでした。顧客ばかりでなく社員に関する情報も、企業が保護しなければならない重要な個人情報なのですね。
Pマークの規定に合わせて制度をつくって運用すると、それまで割と適当にしていたものがしっかりした管理になりました。その結果、たとえば遅刻届けや早退届けなどの、社員たちから届けられる勤怠に関わる書類だけでも、毎月そうとうの量の紙になりました。
そこから誰がいつ休むのか、休みなのか遅刻なのかなどをタイムリーに調べるのは、たいへん面倒な作業でした。
そこで、Pマーク導入後に、いろいろと現実的なオペレーションを目指すなかで、クラウドサービスを活用して書類のデジタル化、データベース化を進めました。その結果、だれがいつ休暇を取るのかなどの情報にすぐアクセスできるようになるなど、業務を、画期的に効率化することができました。
┃Pマーク対応をプロジェクト化、「人材育成」の機会に
第2のメリットとして、Pマーク業務を「人材育成」の機会として活かせたことです。
Pマークは有効期限が設定されていて、2年ごとに更新の審査を受けます。そのためには、審査書類の作成などいろいろ準備をしなければなりません。また、機関の審査員が来社して現地審査も行われます。
一見面倒に感じるのですが、ダンクソフトでは、こうした更新審査の準備などPマーク業務を、入社したての社員や入社歴が浅いスタッフが担当する仕組みをつくりました。
更新書類を準備するためには、Pマークについて精通することになります。それだけでなく、社内のさまざまな情報、仕組みにアプローチして、深く理解することになります。準備のプロセスを通じて業務への知識が深まり、ITのリテラシーも高まります。
もちろん、その結果、個人情報ばかりでなく、会社のさまざまな情報を、安全に効率よくマネージすることへの意識が高まるわけです。さらに、Pマーク関連情報を入社歴のまもないスタッフから発信することによって、長年在籍しているスタッフも含めて、ダンクソフト全体での意識も高まっていく効果があります。ダンクソフトが重視する「Co-learning(共同学習)」の機会として、活かされています。
┃経営者の姿勢が問われる現地審査、その実態
Pマークの審査では、書類提出の後、審査員2名が来社して、審査を行います。10時から17時までなので、結構、長時間かけて審査しますよね。
1日の最初は、経営者のヒアリングから行われます。初めて取得した時には20-30分程度のヒアリングでしたが、今では15分ほどになっています。プライバシーマークを、経営者自身がどう考えていて、どう体制が成り立っているかをきかれます。ここで経営者が何を語るかで、その会社の方針が分かるため、ヒアリングを重視しているようですね。
今回は、経営者の意識が高いと評価されました。セキュリティに関して、独立行政法人情報処理推進機構(IPA)から取材をうけた記事を、審査員の方が読み込んできたようでした。
2006年を振り返ると、最初の審査のとき、この経営者ヒアリング時に、組織の中でも理解が低い人が、その組織の姿勢を表しますよ、と言われました。そのレベルを上げていくことが、組織の力になります、と。
その通りですよね。そこでダンクソフトでは、新しい人が入社すると、必ず社内レクチャーを行っています。また全社員が半年に1度、Pマーク担当者がつくったテストを受けることになっていて、定期的に理解度を確認しています。
先日は、担当のひとりである竹内が用意したテストでした。阿南工業高等専門学校で授業をうけもっているだけあって、ひっかけ問題が含まれているんです。これがひっかかってしまうんですよね、点数に満たないと追試なので、私自身も心してテストに参加しています。
ダンクソフトがPマークを取得してから20年近くが過ぎました。いま改めてチームを見れば、情報管理に関わる会社全体の力が格段に高まったように感じています。
多くの企業では、総務部などで一括して業務を行い、義務的に遂行するケースが多いようです。ダンクソフトのように、全社プロジェクトとして推進する仕組みと体制をつくっていることは、審査員から評価されたポイントのひとつです。
┃審査員たちが感嘆したダンクソフトの“スマートオフィス”
2年ごとに実施されるPマークの更新審査は、ペーパーレスをはじめ、仕事の効率化がどれだけ進んだかを再確認する、とてもよい機会になっています。2006年、最初の取得審査の時には、紙の書類を膨大に用意しなければならず、テーブルに乗り切らないほどの量でした。それが更新審査の度に少なくなり、当初は丸1日かかっていた現地審査の時間も短く済むようになってきました。
今年はちょうどその更新年で、ダンクソフトが新オフィスに移転したばかりの7月に、審査員が来社して現地調査が行われました。
ダンクソフトでは、個人情報に関わるものをはじめ、社内で扱う書類のすべてをデータベースに保管し、クラウドサービスの「kintone(キントーン)」を利用して独自の仕組みで管理しています。その結果、書類も年々減少しています。
新オフィスには、メインのオフィス・スペース1ヵ所と、書類を補完するだけの別部屋、これら2つのスペースがあります。メイン・オフィスには、今では、紙の書類を入れておく棚はありません。書類はといえば、小さな別部屋のなかに、書棚2段ほどしかありません。ちなみにPマークを取得した10数年前は大きな書棚が10以上もありました。
現地調査に来た審査員は、その整然とした仕組みに驚き、感嘆した様子でした。審査後の雑談で聞いたのですが、未だにほとんどの会社が膨大な書類によって管理を行っており、審査もたいへんだそうです。Excelで作られたファイルがバラバラに存在して探すのが大変だということ。
ダンクソフトの場合は、データベースで簡潔に整理されて、すべての情報が連携しているシステムなので、Excelは使わずに、データはデータベース上にあります。検索、抽出も容易です。日々進化している理由は、情報システム構築レベルの高さにもあると思います。
ですので、ダンクソフトのような会社は希少だという話でした。多くの企業がダンクソフトのような個人情報管理の方法になればいいですね、と、コメントをいただきました。
┃レベルアップをめざすなら、外部の基準や視点を取り入れること
この話を聞いて、改めて、ダンクソフトが提唱し、実践してきた「スマートオフィス」の効果を再認識しました。そして、もっとさまざまな企業・団体にも、チャレンジをしていただきたいと思います。
ビジネスの基盤を強化し、企業としての信頼を高めるPマークの取得、そしてそのPマークを機会にペーパーレス・キャッシュレス・サインレス化を進めていきたいと考えるなら、ぜひダンクソフトにご相談ください。
ある程度の規模、たとえば、10人以上の企業・団体なら、取得を検討してみるとよいのではないでしょうか。ただ、会社の規模は本来的には関係がないと思います。むしろ、規模を問わず、成長しやすい方向に組織を変えていこうとするならば、外部からの確認が入ることが、ガバナンスやBCPの観点からは重要です。
組織は、何も手をかけずに放っておくと、どんどんレベルが下がっていきます。自社の質について、レベルを維持し、さらに上げていくためには、外部の基準を取り入れると近道だと考えています。ぜひご一緒に、実践していきましょう。
