2023年6月～8月に開催した「新規申請を目指す事業者のためのプライバシーマークセミナー2023　事例紹介編」でお話いただいた内容をまとめました。

会社概要

• 株式会社Ｄａｙｓ

• 所在地：東京都中央区日本橋本町3-3-6ワカ末ビル4階
• 設立：2017年10月26日
• 従業者数：64名
• 主な事業：広告代理業の他に、マーケティング・クリエイティブ・PR/イベント・開発・メディア運営など様々な領域に事業を展開
• プライバシーマーク取得：2022年8月
  登録番号：17004411（01）
• 登壇者：コーポレートユニット　中林 優様（個人情報保護管理者 兼 申請担当者）

講演レポート

プライバシーマーク取得の目的

近年のデジタル領域での個人情報に対する意識の高まりを背景に、経営陣からプライバシーマークを取得しようという声が挙がったことがきっかけです。弊社がSNS等を活用したユーザー参加型のキャンペーンの事務局対応やWeb制作等の事業を展開するうえで、お客様に安心して取引をしていただくことを目的として取得を目指すことになりました。取得に当たっては、私を中心にまずは自社だけで取得することを目標として取り組みが始まりました。

個人情報保護体制

弊社のPMSの体制はこちらの体制図のとおりです。担当者ごとに色分けをしており、同じ色は一人が兼任していることを表しています。
緑色の個人情報保護監査責任者と特定個人情報保護管理者は取締役が兼任しています。その下に実務を行う者として事務取扱担当者も据えています。私が担当しているのが赤色の部分、個人情報保護管理者と兼務する形で教育責任者と窓口責任者を担当しております。情報システム管理者には、開発部門の管理者を担当にしています。各部署に対しては、その管理者に対して個人情報保護管理者として私が業務のヒアリングや対応事項の依頼をする形をとっています。

トップマネジメント含め全5名と比較的コンパクトな体制にしており、さらにその中でも私が三つの役割を兼任する形で広い範囲をカバーしていますが、これには知識と情報を集約するといった狙いがあります。
管理する情報が多岐にわたるため、複数人で共有すると情報が分断されてしまう恐れがありますが、それを集約することで指揮系統をはっきりさせることを意識しました。その結果、判断や意思決定は早くなりましたし、副次的な効果として社内で誰が担当しているかが明確になり、現場の声を拾いやすくもなりました。常に流動的に動いてる社内の全プロジェクトを把握するのは困難ですが、現場の方から「これは個人情報に該当しますか？」や「これはどのように対応すればよいですか？」といった質問が直接私に届くようになっています。
その反面、担当者の負荷が高くなることが課題になりますので、業務の分担や時間配分など、上長の理解や会社としてのサポートが必要になるという点は、加味していただく必要があると思います。

申請までの流れ

取り組みを開始してから申請までの流れは、実際は並行して行う部分もありますが、まとめるとこちらの①～⑥の流れになります。
①取得の意思決定から始まり、②Pマークの学習。こちらは推進者である私が4ヶ月程の期間をかけて行いました。それと並行して③書類の作成。これは規定類の作成などを約半年間かけて実施。その後④教育・社内の意識統一、⑤必要資料の作成を経て⑥申請・取得となります。
それではこの流れに沿って実際に取り組んだことをご説明します。

取得に向けた取り組み

Pマークの学習

取り組みを開始した段階では、プライバシーマークの名前は知っていたものの全く予備知識のない状況だったため、まずプライバシーマークとは何かという基本の理解からスタートしました。

具体的に行ったことは、まずは皆さまと同様JIPDEC様主催のセミナーに参加しました。私の場合は2回程参加して、まずは漠然と全体像を掴みました。
さらにJIPDEC様の取得・運用相談室も利用し、個別に相談もさせていただきました。
それと並行して「個人情報保護マネジメントシステム導入・実践ガイドブック」を読み込みました。これは正直大変ではありましたが、今振り返ってみるとここでしっかり勉強してよかったと感じています。当時は本が付箋だらけになるほど、多くの時間を割いた思い出がありますが、この時に得た知識が非常に重要でした。

この後規定類の作成などを進めていくわけですが、ここでも基礎知識が必要となりますが簡単に身につくものではないので、少しずつでもできるだけ早めに取り組まれることをお勧めします。私の経験上、理解が不十分なまま進めてしまうと最終的に資料の作り直しが必要になるケースがありますので、最低限個人情報の定義や要求事項の内容について理解した上で取り組んだ方が後々スムーズに進められると思います。

PMS文書の作成

文書類の作成においては、実際に申請に使用する新規申請書類一式をダウンロードし、申請様式とその記入例を参考にしながら必要な書類を洗い出し、一つずつ作成していく形をとりました。作成においては、先程のガイドブックで要求事項の要件を確認しながら、規定で足りないものを把握し作成していくことでさらに要点の理解は進みました。さらにWeb上で閲覧できる他社さんの事例も参考にしながら、自社に合ったものに整備していきました。
実際にやるまではどのような書類が必要か、どのような規定を策定すればよいか、具体的なイメージが掴めなかったのですが、必要書類の把握と現状の不足点の洗い出しができたのでよかったと思っています。

個人情報の特定

個人情報の特定に当たっては、まず各部署のマネージャー（管理職）との打ち合わせを1人に対して2～3回実施しました。内容としては基本的な業務内容をヒアリングしたうえでその中で具体的にイメージできない箇所や個人情報の取り扱いが発生しそうな箇所など気になった部分について、実際の作業や取り扱っている画面などを見せてもらいながら特定していく形をとりました。
例えばバックオフィス専任でずっと総務を担当されてきた方の場合、システムに関連する部分でエンジニア側が処理しているものなど他部門が行っていることが想像しにくいのではないかと思います。そのような場合は、社歴が長く全体のことを把握している方などに立ち会っていただくと良いと思います。弊社の場合は私が今バックオフィスを担当していますが、元々営業部門だったということに加えて前職ではエンジニア等のディレクション業務を担当していたため理解できたということが大きかったと思います。
この個人情報の特定が不十分だとこの後のリスク分析にも影響が出てしまうため、この担当者の立て方も難しいところですが重要だと思います。

社内の意識統一

PMSにおいては様々な記録を残す必要がありますが、弊社ではエンジニアに協力を得て作成した社内ツール活用しました。その一例としては、入退室の記録、日常点検のチェック、教育テストといったものがあります。
入退室の記録については特に使用頻度も高いので、煩わしいものではなくPCでもスマートフォンでもボタン一つでログが残る形にしました。日常点検のチェックにおいても一定期間で対象の従業員宛に自動でアナウンスされるようにするなど、極力運用する我々が面倒でない手法を取り入れました。
このように従業員を巻き込んだチェックツールをうまく使ってできるだけ普段の業務の中に少しずつ取り入れて習慣化していく方が、現場の抵抗が少ないと思います。ツールも全部一度にではなく順番に作成し告知するような形で、少しずつ社内に意識付けをしていきました。
従業員の意識を急激に変えるということは難しいです。日常点検のチェックなどはまさにそうですが、このツールを通じて私たちPマークの推進者が意識してほしいことを無理なく伝えることができるというメリットもあると思います。

社内教育

教育で意識したのはあまり堅苦しい内容に見えないように資料を作成したことです。
社内規定やルールは当然従業員に守ってもらう必要がありますが、実際に現場の従業員からすると工数が増えてどうしても負担に感じてしまう部分があります。「ルールだから守れ」というスタンスで細かいルールを延々と話していく形ではなく、守るべき点を明確にしてわかりやすい内容にしています。
このようにわかりやすいルールであると見せることで、作業や申請などが大変そうというイメージを払拭することもできます。その甲斐あってか今のところ従業員から管理が大変であるとか、何のために必要なのかといった声は出ていません。

定期的にテストも実施しています。研修資料の中から問題を作成し回答してもらう形ですが、重要な部分に関しては意識付けを狙って毎回繰り返し設問を設けるようにしています。テストで規定の点数に達しない場合は補習を受けていただくというように多少プレッシャーもかけていますが、そのおかげか従業員の皆さんも熱心に取り組んでくれているのがその点数を見てもわかります。
特に新しく入社した従業員には対面で研修を実施していますが、最初にそのようなアナウンスをすると集中して研修も聞いてくれます。弊社では年間10数人新たに入社してきますが、弊社の従業員のスタンダードとして個人情報の取り扱いルールを守っていただくためにも、このような教育は重要であると感じています。

苦労した点

うまくいった点ばかりではなく苦労した点もあります。必要な文書が多くあるため、文書作成が追い付かないということ。これは大きな課題でした。正確に数えたわけではありませんが、社内で保管している文書はおそらく500～1,000ページ程度あるかと思われます。単純な作成文書のボリュームはもちろん、その整合性の調整も大変な作業でした。ある規定で1つ修正が発生したら、関連する別の規定の修正も必要になるというケースが多く発生します。自分で作成したものとは言え、全てを1人で対応するのは困難であることに気づき、経営陣に相談して最終的に外部のコンサルティング企業にサポートをお願いすることにしました。もし全て自社内で取得を目指す場合は、この辺りの負荷が発生することを覚悟したうえで取り組まれるのがよいと思います。

申請・審査・取得

コンサルティング企業のサポートもいただきながら、台帳やリスク分析を見直すなど必要書類の整備を進めていき、申請となりました。申請した時期がコロナ禍と重なったため、申請後5、6ヶ月で現地審査となりました。
現地審査では、我々も緊張しておりピリピリした雰囲気になるのではないかと心配していましたが、実際は全くそのようなことはなく非常にわかりやすく説明していただけました。審査員の方に執務室や実際保管している場所などもご覧いただき、最終的によく管理されてらっしゃいますねとお褒めの言葉をいただきました。さらにこの審査を通して、将来取り扱う可能性がある個人情報についての考え方など多くの気付きをいただくこともできました。
そして、1年9ヶ月ほどかけた取り組みの結果、プライバシーマークを取得することができました。

プライバシーマーク取得のメリット

まだ短い期間ではありますが、プライバシーマークを取得してみて、売上アップに繋がったとまではいかないものの、お取引先からの信頼は得られていると感じています。
お取引先によっては、取引を行うに当たって個人情報の取り扱いに関する審査が発生するケースがありますが、そのレスポンスが格段に早くなりました。加えて、私たち自身の自社の規定が不十分ではないかといった不安も払拭されます。この辺りは体感的に取得前と大きく変わりました。

そして、いざ自分たちが取得してみると、プライバシーポリシーを掲げていない企業や、Pマークを取得していない企業との取引は少し心配になります。つまり、今まで取得してない時期に自分たちがどのように見られていたのかということを実感するわけです。このようにお取引先の不安を解消するといった点では取得した意味は大きかったと感じています。

まとめ

最後に本日ご説明した弊社の取り組みのポイント4点を改めてお伝えします。
一つ目は、基礎知識は非常に重要となるため、少しずつ学習を進めていったという点。これはやって良かったと実感しています。
二つ目はPMSの体制について。業種によっては担当者がバックオフィスの方だけだと個人情報特定に漏れが発生する可能性があるため、体制づくりの際に考慮が必要であるという点。
三つ目は従業員の意識統一。一気に行うのは難しいので、社内教育、テストやツールなどを使い少しずつ理解を広げていきました。
最後の四つ目。資料作成はボリュームがあるので一人や少人数でやる場合は覚悟が必要であるということ。

以上が弊社の取り組みの振り返りでした。少しでも参考になれば幸いです。

• 付与事業者の取組事例