2023年9月～11月に開催した「新規申請を目指す事業者のためのプライバシーマークセミナー2023　事例紹介編」でお話いただいた内容をまとめました。

会社概要

株式会社トドケール

• 所在地：東京都千代田区平河町1-3-12 第二秩父屋ビル1階
• 設立：2018年7月24日
• 従業者数：18名
• 主な事業：総務向け郵便物・配達物管理アプリケーションおよびBPOサービスのご提供
  プライバシーマーク取得：2022年2月
• 登録番号：25000160（01）
• 登壇者：代表取締役CEO　野島 剛様（申請担当者）

講演レポート

プライバシーマーク取得の目的

弊社は、企業に届く郵便物や配達物を写真とともに一元管理するクラウドアプリケーションと、そのアプリケーションを利用した郵便物・配達物管理のBPOサービスの二つのサービスを提供しておりますが、大企業との取引において認証の取得を求められるようになったことがきっかけです。
特に直接的なきっかけになったのが、社員1万人を超える企業様のメール室でご利用いただくことになった際に、一度導入はいただけたものの、その後契約継続の条件として、プライバシーマークまたはISMSの取得を要求されたことです。
郵便物や配達物には個人情報も含むお客様の重要な情報資産が含まれますので、様々なお客様からセキュリティに関する質問を受ける機会があり、以前から情報管理体制に関する認証を取得し外部に対して示すことの必要性は感じていたことも、その背景にはあります。

取り組みの特徴

弊社の取り組みの特徴は、以下の5点になります。

• 取り組み開始から取得まで約11ヵ月
• コンサルタントを利用せず、自社ですべてのプロセスに対応
• フルタイムの従業員4名でのPMS構築
• PMSを前提とした規定などは存在しないゼロからの構築
• プライバシーマークとISMSの同時進行

こちらにあるように、弊社はプライバシーマークとISMS、この二つの認証を同時に取得することにいたしました。
プライバシーマークについては、国内の企業様であれば誰でも知っているという印象です。国内規格に基づいた、個人情報の取り扱いに特化しているものでありますので、国内法令に準拠した取り扱いプロセスを構築することが可能です。個人情報保護法などの国内の法令遵守には非常に高い効果を発揮すると認識しています。
一方ISMSについては、国際規格に基づいた、情報資産全般に対するセキュリティ対応の統制にフォーカスしたものです。情報セキュリティの標準化に効果があり、国際標準への準拠を重視するようなグローバル企業を相手にする場合には有効だと感じています。
弊社は、提供しているサービスにおいて個人情報の取り扱いが発生しますので、その対応について気にされるお客様が多くいらっしゃいます。特に法務部門の方とお話する場合にはプライバシーマークがあると有利だと感じておりました。一方のISMSについては、どちらかというと情報システム部門の方が気にされるものであり、幅広いお客様に対応するためには両方取得するべきだという判断に至りました。

取得までのスケジュール

弊社が取り組みを開始してから取得するまでのスケジュールです。 申請までの準備期間で約6ヵ月、申請から取得までが約5か月、計11ヵ月で取得に至りました。1年半から長い場合は2年程かかる場合もあると聞いていましたので、比較的短い期間で取得することができました。

個人情報保護体制

取得時は、フルタイムの社員が4名のみという状況でした。
プライバシーマークを取得する際には、トップマネジメントと個人情報保護管理者、個人情報保護監査責任者というこの三つのポジションが求められますが、この4名のうちの3名がいずれかのポジションについて、対応する形となりました。
規定上はトップマネジメントと個人情報保護管理者を兼任することも可能ということでしたが、仕事が増えていくと対応できなくなりますので、3人で分担しました。

現在はフルタイム7名、パートタイム7名、合計14名の組織となりました。基本的にトップマネジメントと個人情報保護管理者、監査責任者のポジションは変わっておりませんが、ビジネスチームとプロダクトチームという二つの部署ができています。個人情報保護管理者の下に、担当者を1名ずつそれぞれの部署から配置しまして、現在5名体制でPMSを運用しています。今後さらに部門が増えていけば、PMSに携わる人員もまた増えていくと思っています。

取り組みの過程で直面した課題と対処法

ここからは取得に向けて取り組みを進める上で、多くの方が同様に直面すると思われる課題と、それに対して我々がどのように対処したのか、ご説明いたします。

スケジュール調整

年内の取得を目指していた中で、申請に向けて審査機関に相談したのが8月下旬頃で、少し遅くなってしまいました。さらに、この時期はコロナ禍で審査機関が審査の受け入れを制限していたという事情もあり、年内に取得できるように審査スケジュールを組むことが難しい状況でした。
そこで、いくつかの審査機関にスケジュールが空いていないかと相談する中で、一つの審査機関で年内に現地審査が実施可能というスケジュールをご提案いただき、審査に動き出すことができました。
このように様々な事情で予定していたスケジュール通りに進まないという状況はあると思います。当然早めに動き出した方が自分たちの都合に合わせたスケジュール調整がしやすいです。可能であれば、早すぎると思わずに半年以上前ぐらいには、審査機関に問い合わせてスケジューリングについて確認していただくのが良いのかなと思います。

知識がない

知識がないという問題。正直ここが一番大変なポイントだと思います。
プライバシーマークについて名前は知っていても、取得するために何が必要なのかを事細かに知っている人はなかなかいないと思います。弊社も同じく知識ある人が社内に1人もいませんでした。当時4名しかいない中で担当者を決めようにも私以外の3人には全員断られるといった状況で、結局私が担当者となり進めていくことになりました。
担当者になった以上は責任を持って情報を集めて勉強し、プロジェクトの推進を担っていかなければなりません。ただ、勉強するにしてもどのように情報収集したら良いかわからない方も多いと思いますので、実際ここから私が対応した事例をご紹介します。

（１）書籍

「個人情報保護マネジメントシステム導入実践ガイドブック」という書籍、基本的にはこの1冊のみで対応いたしました。書店やECサイトで色々調べた結果これが一番良いと思って購入した書籍で、網羅的に書かれており、一からPMSの構築・運用に必要な知識を得るには適した内容だと感じました。おそらくプライバシーマークを取得している企業様であれば会社の中に1冊あるような本ではないかと思います。

（２）無料セミナー

「プライバシーマーク ＋ セミナー」のようなキーワードで検索していただくと、様々なセミナーの情報が出てきます。大半はコンサルティング会社様がマーケティング目的で実施しているものではありますが、内容自体は、勉強になるものも多く、私も三つほど参加しました。
参加した後はコンサルタントの方から営業を受けることになりますが、セミナーで参考になる情報を提供いただいているので、コンサルタントの検討も含めて、一旦無料セミナー参加してみるも良いのではないでしょうか。とにかく行動をして、色々な人に会ったり、情報を集めるという作業をまずは実践していただくことが必要だと感じました。

（３）他社の事例

プライバシーマーク制度のホームページからアクセスできる「付与事業者検索サイト」からプライバシーマークを取得している事業者を検索できます。検索条件が指定できるので、例えば自社と近い所在地や業種などで検索して、その企業様のWebサイトを見て参考にするといったものです。公開されているプライバシーポリシーやお問合せのページなどを見て、個人情報の取り扱いに関する記載事項などを参考にすることができます。
WebサイトはIT企業様でない限りは、自分たちでメンテナンスすることはなかなか難しいと思います。Webサイトをプライバシーマークに対応する形で構築するためには、このように他社のサイトなどを事前に調べた上で、外部の業者に発注すると良いと思います。

（４）プライバシーマーク制度Webサイト

プライバシーマーク制度のホームページで申請手続きのページを見ていただくと、申請資格や申請書類の提出先など申請のために必要な情報が記載されています。いつどのような書類を出す必要があるのかを確認できるのと、様式をダウンロードすることもできます。事前にこちらを見ていただいて実際何が必要なのかを把握した上で、次のステップに進んでいただくのが良いと思います。

（５）個人情報保護委員会のWebサイト

個人情報保護委員会のWebサイト、こちらも実際にPMSを構築する際には活用させていただきました。プライバシーマーク取得に当たっては個人情報の取り扱いに関する社内教育を実施する必要がありますが、その研修資料の参考になるような資料もあります。例えば広報資料のページで公開されている個人情報保護のパンフレットは、初心者にも非常にわかりやすい内容です。ポイントを抑えた資料が多く公開されており、我々の研修資料はこちらからダウンロードしたものに、自社の情報、例えばインシデント発生時の連絡先は誰かなどを加えながら作成しています。弊社ではこのようなコンテンツを活用し研修を受けていただいた上で、理解度を確認するテストを実施しています。
PMSを構築し運用していく場合には、こうした学習コンテンツを用意し継続的な社員教育を実施する必要があります。コンサルタントの方に頼めば様々な資料を提供していただくことができますが、自社で対応する場合はこのような資料をベースにすれば、それでも十分勉強になるような内容にできると思っています。

実際の文書類や教育コンテンツの作成などを、全て一から作り上げるのは簡単な作業ではありません。先ほどご説明した他社の事例や個人情報保護委員会のウェブサイトなどで情報を収集し、自社にマッチするか判断していただいた上で、コピーで対応できる部分は取り入れていくと効率的ではないかと思います。単純にコピーすれば良いということではありませんが、趣旨を理解した上で皆さまの実態に合わせてうまく活用することで、自分たちの時間を節約することができます。

取り組みが進まない

このプライバシーマーク取得に向けた取り組みはどうしても付随業務となります。こうしたガバナンスの専門部署を配置するのは中小規模の企業ではなかなか難しいことで、本来の業務を抱えながらプロジェクトの担当者を兼任するケースが多いのではないでしょうか。そうすると責任も何となく自分にあるのかよくわからないし、十分な知識があるわけでもないので進まないという話になってしまいます。こうした場合はやはりプロジェクトマネジメントとして責任者を明確に任命する必要があります。もし小規模の企業様においてどうしても取得したいのであれば、代表の方が自ら指揮を執る形が良いのではないかと思います。実際に私はそうしました。
その上で、先ほどご説明したような情報収集や勉強をしていただき、作業を細分化して担当者に作業を振っていきます。それから例えば週1回など定期的に進捗確認をしていくというのが、地道ではありますが重要です。

最初から完璧にPMSを構築することは難しいので、まずはとにかく本や他社事例を参考に作ってみるところからスタートしてみるのが良いと思います。その上で1回PMSのサイクルを回していただくと、不足している点や改善ポイントがどんどんわかってくるので、とにかく形にしてそれを実行してみる、これを繰り返していくことが、PMS構築の近道だと感じています。

プライバシーマーク取得のメリット

その後実際に取得させていただきましたが、現時点で感じているメリットについて、３つに分けてご説明します。

（１）営業面のメリット

自らPMSを構築することで自然と国内法令に詳しくなります。私のメインの仕事は営業になりますが、例えば取引先の法務担当による利用規約や契約内容のレビューにおいて様々なご質問をいただくことがありますが、その時に自分自身で作成していたり、法令を理解していることで、迅速に回答することができます。そうしたスピード感ある会話が先方の法務担当者と直接できると営業としての信頼あるいは会社としての信頼が高まります。
また、システム導入の際に、IT企業特有かもしれませんがセキュリティチェックという工程があります。その中で例えばこの個人情報に関してはどう管理してますかという質問がたくさんあります。このような場面でも迅速に回答できて対応の工数が減るということも重要なポイントです。
こうした小さな積み重ねがお客さんからの信頼の向上に繋がり、他社との差別化の大きな要因になると私は感じています。

（２）人事面のメリット

社内の個人情報保護研修において理解度テストを実施することで、社員の理解度が把握できます。ひいてはガバナンスに対する社員の意識度が何となくわかります。そうすると、例えばガバナンスに厳しい業種のお客様であればこの社員を配置しようなど、適切な配置やアサインメントに役立つという点も人事面のメリットとして挙げられると思います。

（３）リスクマネジメントのメリット

プライバシーマークを取得することで、情報の取り扱いに関する社員の意識が向上します。正直最初は形だけなのかなと思っていた側面もありました。しかし、研修で学んだ内容を踏まえ、「それは個人情報だから勝手に持ち出さないでください」「個人情報だからこう処理をするべきだと思います」というような会話を社員同士でしている場面を何回か見かけました。構築したPMSに従って運用していると必然的に社員の意識が向上して、会社のガバナンス体制が強くなると感じました。
BCP、事業継続計画についても、先程の営業面のメリットでのご説明と同様に、お客様からBCPはどうなっていますか、と聞かれることがあります。その時に素早く回答できる体制ができるというのも大きなメリットになります。
何より昨今の情勢を踏まえると、情報漏えいなどのコンプライアンス、ガバナンス関連のインシデントが及ぼす影響は大きいので、このような体制を会社の中に持っているというのは非常に心強いと感じております。

最後に、よく聞かれる質問について回答いたします。
「プライバシーマークはコンサルタントなしでも取得できますか、大変ではないですか」とよく聞かれました。結論としては、我々がやった通りコンサルタントを利用しなくても取得することができます。ただやってみるとそれなりに大変です。
コンサルタントにお願いすると、スケジューリングのところからプロジェクトマネージメントテンプレートの提供などのサポートをいただけますので、こちらの工数、労働時間を削減することができます。当然費用も発生しますのでバランスは見る必要があるかと思います。
自分たちで取得すると確かに大変ではありますが、その分PMSに対する理解というのは深まります。取得後の運用においても、理解を深めた上での運用となりますので、改善対応など非常にスムーズに運用できます。
弊社はISMSに関してはコンサルタントを利用しましたが、自分たちの作業工数は大きく削減することができます。一方で、なかなか自分たちが理解しきれていないために、運用に関してもコンサルタントに頼ってしまう部分もあり、これは一長一短だと思っています。

以上が弊社の取り組みの紹介となります。

• 付与事業者の取組事例