2025年10月6日掲載

全従業員参加型によるPマーク取得。取組みの中で事務ミスの低減も実現

会社概要

ときわ総合サービス株式会社

本社の所在地：東京都中央区日本橋室町四丁目１番５号
1950（昭和25年）年設立／従業員数32名（2025年9月時点）
金融界や財界の支援を得て、手形振出し企業の信用度を中立・公正な立場から調査判定する企業（※当時は、日本信用調査株式会社）として設立。現在は、家計簿や各種書籍の出版、保険代理業務、お金に関するアイデア商品の販売、業務受託（アウトソーシング）事務等、多様な業務を展開している。

取り扱う個人情報

• 保険契約者の情報
• 物品・書籍購入者の情報
• 店頭会員、ECサイト会員の情報
• 業務受託先の顧客情報
• 自社従業員の情報など

• Pマーク付与…2025年3月26日、登録番号…10191109 (01)

インタビュー

コロナ禍を経て変化した環境と、Pマーク取得の必然性

2025年3月にPマークを取得されましたが、取得に至った経緯や背景について伺えますか？

近年になって、個人情報を取り扱う量や環境が変化したのでしょうか。

はい、具体的な環境の変化について申し上げると、まずは2020年前後のコロナ禍ですね。外出が憚られる状況でしたので、物販のために運営している直営店やその他の店舗へのお客様の来店が大きく減りました。そこで、Webでの販売強化や会員制度の拡大を図り、ダイレクトメールでの販売に注力しました。あわせてテレワークも浸透したため、周年行事や記念行事の記念品等も会社への一括納品ではなく、従業員の自宅宛てに配送を希望される依頼が増えました。
業務の拡大においては、新規業務にて個人情報の取扱いを受託する機会が増加していました。これらの理由により、個人情報の取扱いに、さらなる厳格化が求められていたのです。

また、コロナ禍後になりますが、保険業界において個人情報漏えいについての報道がしばしば見られるようになりました。お客様にも個人情報の取扱いに関する認識が高まっており、当社としてもお客様に安心してご利用いただきたい、信頼を獲得したいという思いがありました。

Pマークの取得を判断される際に、課題に感じられていたことはありましたか。

当社は中小企業のため、従業員は多くないのですが、業務内容とその窓口が広く、業務フローも多岐にわたります。そのために各業務において、台帳、業務フロー図、リスク分析や対策表の作成が必要となり、相当の時間がかかることが想定されました。個人情報の管理に関しては、ほとんどの従業員が何らかの役割を担うことになるので、当事者意識を持ちやすいというメリットはありましたが、各人が通常業務に付加してこれらに対応する時間を十分に捻出できるかという懸念もありました。

また、個人情報の管理体制構築についても、当社では紙ベースとデジタルベースの情報管理が併存しているため、相応の手数がかかります。このように、費用以外の労力的なコストもかかるので、Pマークの取得に関しては社内で何度も議論を重ねました。
しかし、近年では官公庁等の入札要件にPマークの取得が示されていることが多く、将来的に入札に参加する可能性も考えると、Pマークを取得していないとその土俵にも上がれません。業務を拡大する際には、実際にお客様からPマークの取得について尋ねられることもありました。そういったことを踏まえまして、最終的にはPマークの取得が必要であるとの結論に至りました。

当事者意識を持ち、自力での取得を目指す

Pマーク取得の取組みを進められる中で、ご苦労された点があればお聞かせください。

当社では人数の関係上、兼務者が多くならざるを得なかったので、そういった面では負担が増えて大変だったと思います。しかしながら、自分たちで取り組むことで、取得している情報や保管している情報、業務フローについて改めて確認することができ、業務に横ぐしをさせたという点では良い機会になったと思います。時にはみんなで議論も行い、業務の見直しに繋がることもありました。

PMSの構築を行う中で、注力された取組みや工夫された点はありますか。

Pマーク制度サイトで公開されている資料によると、個人情報の取扱いにおける事故は、システムへの攻撃を原因とした高度なものよりも、初歩的なヒューマンエラーが多いとのことでした。そのため、まずはその点を押さえないとリスク管理の実効性は上がらないと考えました。この点では、従業員の少ない中小企業ならではの特性を活かし、社内教育は基本的に対面、少人数で実施しています。研修内容も従業員それぞれの業務に即し、丁寧に行うことを心掛けています。

社内教育以外の点では、サイバー攻撃や標的型メールに対応するため、Pマークの取得前からネットワーク用ファイアウォールや、Webアプリケーションを保護するWAF（Web Application Firewall）を導入していました。これらに加えて、ランサムウエア対策のためのデータ保存の運用やメールに特化したセキュリティシステム等を導入し、強化を図っています。

また、当社は保険代理店を経営しているので、万が一に備え、従前よりサイバーセキュリティの被害を包括的に補償するサイバー保険にも加入しており、予算に制約のある中小企業としては、できる限りの対応や対策を実施していると考えています。

Pマークの取得により、一般的な事務ミスの低減にも成功

Pマークを取得されてまだ間もない時期ではありますが、社内外で何か変化はありましたか。

少人数の会社のため、Pマーク取得への取組みに関しては全従業員参加型となりました。それぞれが何らかの役割を担う形となり、自分の仕事として取り組むことになったので、これを契機として全社的に個人情報保護の意識が確実に高まりました。また、Pマーク取得後には名刺や封筒にPマークを掲載し、Pマークの登録証も玄関に掲げましたので、そういった点でも従業員の自覚が高まり、あわせてお客様の信頼も厚くなったと感じています。

その他副次的な効果ではありますが、事務ミスの低減も実感しました。個人情報の漏えいを起こさないための対策というのは、実は一般的な事務ミスを防ぐ対応と多くの共通点がみられます。例えば、ルール通りの事務処理を行うこと、日頃より整理整頓を心がけること、事務繁忙時には特に注意して業務にあたること、情報は確実に受渡しすること等、挙げてみるとほぼ同じと言えるのではないでしょうか。個人情報の管理を強化することで、事務ミスの対策としても有効に機能していると評価できます。

また、取得に向けて取組みを進めていく中で、個人情報の取扱い状況を見える化することもできました。台帳への落とし込みや、業務フロー表、リスク分析表の作成により、細かい業務まで改めて再認識することができます。管理者としての個人情報の取扱いのみならず、業務の全過程をチェックする目も確実に向上しました。

情報をキャッチアップし、セキュリティのさらなる高度化を図る

今後の課題やPMSを継続運用していく上で注力していきたい点などがあれば、教えてください。

当社は従業員の入れ替わりが少ないですし、社内のそれぞれの業務に専門家を抱えられるわけでもありません。一方で、情報の取得や保存する媒体が、紙ベースのアナログからデジタルへ変わっていくことは確実に実感しています。今後、デジタルで個人情報を取得、管理するウエイトがさらに高まっていく中で、どのようにセキュリティを強化していくかは大きな課題です。ただ、それらを全て社内で対処するのは難しいと考えていますので、デジタル分野に強い親密な委託先を大切にして、緊密に情報交換を行いながら、セキュリティの高度化を図っていくことが一番重要だと思っています。

最後にプライバシーマーク制度に対するご要望を伺えますか。

Pマークは名刺交換の際によく見かけますし、かなりの人が知っているマークではないかと思います。今後もPマークに関する広報には一層力を入れて進めていただきたいです。