【講演レポート】株式会社フィールドプランニング
2023年1月27日開催した「新規申請を目指す事業者のためのプライバシーマークセミナー2022 事例紹介編」でお話いただいた内容をまとめました。
会社概要
株式会社フィールドプランニング- 所在地:東京都千代田区岩本町2-16-5 森田ビル4階
- 設立:1990年6月26日
- 従業者数:32名
- 主な事業:レストラン優待サービス「招待日和」の販売・運営など
- プライバシーマーク取得:2022年8月
- 登録番号:10825088(01)
- 登壇者:代表取締役社長 蓜島 朋宏様(個人情報保護管理者 兼 申請担当者)
講演レポート
プライバシーマーク取得の目的
弊社は「招待日和」というレストラン優待サービスをドクターや金融機関の会員向けサービスとして販売、運営しています。
主な取引先である金融機関との業務提携においては、個人情報の取扱いについて様々な指摘をいただいておりました。
主な取引先である金融機関との業務提携においては、個人情報の取扱いについて様々な指摘をいただいておりました。
また、多くの会員情報を取り扱う中で万が一個人情報の取扱いにおける事故を起こしてしまった場合の影響を考えると、その影響を最小限にするための体制整備が必要であり、そのためにはプライバシーマークの取得が有効であると考え、取得を目指すことを決断しました。
申請までのスケジュール
弊社がプライバシーマークの取得を目指して取り組みを開始したのが2020年12月、ちょうど新型コロナウィルスの感染拡大が始まったタイミングです。2022年9月に取得しておりますので約2年を要して取得まで至っておりますが、全て準備にかかったというわけではありません。2021年10月の申請から現地審査まで約半年間ありますが、これは新型コロナウィルス感染拡大の影響で通常よりも審査に時間がかかってしまったためです。
それでは、弊社が申請までの準備期間で行った取り組みを説明いたします。
取得に向けた取り組みの中での課題と対応方法
情報収集・内部規程の策定
最初の情報収集として行ったことは4点あります。
- コンサルタント会社に話だけ聞いてみる、
- JIS規格(個人情報保護マネジメントシステムー要求事項)の解説を読む、
- 個人情報保護マネジメントシステム導入・実践ガイドブックを読む、
- 他社がどのような内部規程を作成しているのかネットで閲覧する、
この4点です。その中でまず最初に直面した課題は「一体何を用意すれば良いのか、どのように準備すれば良いのかわからない」というものです。これを理解するためには特に3と4が有効だと感じました。
まず、他社がどのようなものを作成しているのかを知るのが重要であると考え、Web上で公開されている規程類を探してみました。2022年4月から適用されている構築・運用指針に対応しているものを参照するために、構築・運用指針と同じJの項番からスタートしているものや、対応していることを宣言しているものを探すようにしました。
続いて、個人情報保護マネジメントシステム導入・実践ガイドブックの見方を理解すること。これはJIPDECが発行しているガイドブックの第2版です。この書籍には、構築・運用指針に基づいて最低限規定しなければならないことがわかるように書かれています。具体的には、構築・運用指針の各要求事項の項目とその解説、さらに審査で確認するエビデンス例などです。その中に「規定」と記載されていれば、内部規程に定める必要がありますし、「記録」という記載があれば内部規程に記録を残すことを定め、実際に記録を保存していくことが必要になります。
まずはWeb上に公開されている規程類がどのように書かれているかを参考にし、イメージを掴みます。続いてその内容とガイドブックを照らし合わせて、要求事項にどのように適合しているかを確認していきます。そして、自社の業務に合わせて手直しする形で内部規程にしていくのが一番近道ではないかと思います。何もないところから作っていくというのは、おそらくコンサルタントのように教えてくださる方がいない中では非常に難しいと感じました。
個人情報の特定
内部規程の他に必要な資料を整備していく中での課題は「リスク分析表をどのように作成すれば良いか」といったものです。ここで弊社がどのように個人情報の特定とリスク分析を行ったかを説明します。
まずは個人情報の特定です。弊社の個人情報管理台帳には次の項目を記載しています。
①扱う個人情報、➁個人情報の項目、③グループ、④利用目的、⑤保管場所、⑥保管方法、⑦アクセス権を有する者、⑧利用期限、⑨保管期限、⑩入手経路、⑪社内での取扱い経路(取扱い部署)、⑫保管形態(電子または紙)、⑬廃棄方法、⑭例外ルール、⑮グルーピング
弊社の個人情報特定とリスク管理におけるポイントは「グルーピング」になります。まず個人情報を、
- 事業運営上使用する個人情報、
- マイナンバーに関わらない個人情報、
- マイナンバーに関わる個人情報
の3つにカテゴライズします。例えば名刺は1、履歴書は2、労働保険加入届は3になります。そのカテゴライズを記入するのが台帳の③グループの項目です。
さらに、保管形態・保管場所・保管方法に関して
- 紙媒体は施錠できるラックで保管、
- 可搬可能なメディア(DVDやメモリ)は施錠できるラック保管、
- 非可搬メディアの社内サーバーはID Passによるアクセス制限、社外サーバーは固定IPとID/PASSパスによるアクセス制限
の3つに分けて、先程の3種類の個人情報のカテゴライズと組み合わせた9種類のグループに分けていきます。例えば名刺であれば、1.事業運営上使用する個人情報であり、A.紙媒体で施錠できるラック保管であるから「1-A」というグループになります。その他の個人情報も2-B、3-Cといったような形で、それぞれ特性に合わせた9種類のグループに分けて管理しています。
また個人情報を漏れなく特定するといった点においては、弊社の場合、当初従業員の個人情報が特定対象から漏れてしまっていましたので注意が必要です。
リスク分析
リスク分析は、先程グルーピングした1-Aから3-Cの9つのグループごとに行います。
まずはリスクの特定。例えば、1-Aのグループすなわち「事業運営上使用する個人情報+紙媒体は施錠できるラックで保管」に該当するものの取扱いにおいてはどのようなリスクがあるのか、取得・入力、送信・移送、利用・加工、保管・バックアップ、委託・提供、消去・廃棄、それぞれの取扱いの局面ごとにリスクを特定します。
続いてリスク分析。分析方法には様々な手法がありますが、ガイドブックに記載されていたやり方を採用しました。まず特定したリスクに対して①発生可能性と②起こり得る影響をそれぞれ1~5点で採点し、①と➁を合算したものをリスクレベルとして点数化するといった手法です。そしてその点数に応じて、6~10点のリスクに対しては対策を施すため、PMS運用マニュアルまたは個別の規定を作成する。5点以下のリスクについては対策を行うが、PMS運用マニュアルまたは個別規定を作成するかは案件ごとに検討を行うという形で対応を定めています。
そして、リスク分析を踏まえて具体的な対策を検討し設定します。対策が定められている関連規程や、対策を講じてもなお残されたリスク(残存リスク)も合わせてリスク分析表に記載し管理します。
体制づくり
内部規程に基づいて整備した弊社の運用体制についてご説明します。
個人情報取扱の最終責任者である個人情報保護責任者、そしてチェック機能の最終責任者である個人情報保護監査責任者。この2名の他に弊社は独自に改善委員会を設立し運用しています。この改善委員会は、内部規程や運用方法の改定を認める認定組織になります。改善委員会を設立するメリットが2点あります。まず会議で話し合うことで、変更事項の議事録(記録)を残せること。そして委員会出席者を部門長とすることで決定事項がスムーズに組織に浸透すること。この2点が明確に良かった点です。
個人情報取扱の最終責任者である個人情報保護責任者、そしてチェック機能の最終責任者である個人情報保護監査責任者。この2名の他に弊社は独自に改善委員会を設立し運用しています。この改善委員会は、内部規程や運用方法の改定を認める認定組織になります。改善委員会を設立するメリットが2点あります。まず会議で話し合うことで、変更事項の議事録(記録)を残せること。そして委員会出席者を部門長とすることで決定事項がスムーズに組織に浸透すること。この2点が明確に良かった点です。
また、私が実際にPMSを構築してみて感じたのは、担当者の負担は決して軽いものではないということです。私がPMSを構築するまでの期間は、土日祝日を使って勉強していましたので、普段の日常業務を行いながら1人でやるというのは大きな負荷がかかります。担当者の負荷を理解した上で、人的支援やスケジュールを考慮することが必要です。また担当を任された方は、担当者が実施すべきこと等を上長に情報共有し担当者の負荷について理解してもらったり、必要に応じて支援を求めることをおすすめします。
PMSの社内への浸透
プライバシーマーク取得前においても個人情報の取扱いは重要だという認識はありましたが、漏洩しないための意識は社内で均一ではありませんでした。一番の問題は、何が個人情報に該当するのかの認識が薄かったことです。
その対策として行ったのが、個人情報管理台帳を作成する際、全従業員に対して自身が業務上取り扱うもので、人の名前などの個人情報が記載された資料を全てエクセルにまとめて提出してもらいました。そうすることで自分で取り扱っているものの何が個人情報なのかを理解してもらうことに役立ちました。
また、社内教育においては、パートさんやアルバイトさんも含め、全従業員を対象に実施する必要がありますので、遠隔地に勤務する人への教育に苦慮しました。特に社内教育の理解度チェックのために実施するテストの返送が期日通りに来ないというもの。最初は紙で実施していましたが、全て回収するのが難しいという状況だったことから、実施方法を見直しました。地方のパートさんやアルバイトさんには教材を送付し、勉強後のテストをGoogleフォームでWeb回収という形に変更したことで、全てをスムーズに回収することができるようになりました。
プライバシーマーク取得のメリット
最後にプライバシーマークを取得して良かったと感じる点についてご説明します。
まずは円滑な事業取引が可能になるという点。取引を行う上で、個人情報の取扱いに関する確認は年々厳しくなっており、取引先様の個人情報を取り扱う場合は事前に取扱い状況に関するチェックを受けるようになりました。
プライバシーマークを取得していることで取引先からの監査が簡略化されたり、視察の回数が減るなど、取引先においても業務軽減が図られ、業者選定の1つの要素になっています。プライバシーマークを取得していないと、そもそも選定対象に入れてもらえないこともありますので、取得した方がより円滑に事業を進めることができると感じています。
そして、従業員の意識の統一。社内ルールを設けることにより、個人情報取扱いの均一化が図れました。全社員が同じ個人情報の定義を持つことできたことが大きいと思います。先程ご説明したとおり、定義をしっかり認識していないとそれぞれの価値判断で個人ごとに違った認識を持ってしまうこともありますので、統一されたルールに基づいて運用することの重要性を改めて感じました。
以上、弊社の取得までの取り組みをご説明させていただきました。