【講演レポート】三重データ通信株式会社
- トップページ
- 審査基準・指針
- 付与事業者の取組事例
- 【講演レポート】三重データ通信株式会社
2022年9月27日開催した「新規申請を目指す事業者のためのプライバシーマークセミナー2022 事例紹介編」でお話いただいた内容をまとめました。
会社概要
- 所在地:三重県津市丸之内18番1号
- 設立:1977年7月21日
- 従業者数:20名
- 主な事業:システム開発(主なパッケージ製品:児童相談記録システム「童」、女性相談システム「絆」)、業務効率化サービス提供(グループウェア開発)
-
プライバシーマーク取得:2022年2月
登録番号: 19001344(01) - 登壇者:営業グループ 町井 菜月様(PMS事務局担当者)
講演レポート
プライバシーマーク取得の目的
弊社は主に地方公共団体向けの児童相談記録システムや女性相談システム等、個人情報の中でも特に取扱いに細心の注意が必要な情報を取扱うシステムを多く開発しています。
このような事業を展開する中で、プライバシーマークの取得を目指した大きなきっかけは、入札参加時に求められるようになったためです。地方公共団体との取引においては入札が必要となりますが、その入札への参加条件の一つとしてプライバシーマークが採用されることが多くなってきました。
さらに、業務の委託元・開発元として求められるようになったこともあります。弊社のシステムは、販売窓口の事業者様や導入提案を委託している事業者様を通して、全国の都道府県、市区町村に展開しています。販売窓口の事業者様や提案事業者様がプライバシーマーク取得していることは大前提となっておりますが、それに加えて弊社のようなパッケージ開発・委託を行う事業者にも取得していることが求められるようになり、事業運営において取得すべきと判断しました。
個人情報保護体制
こちらが弊社の個人情報保護体制です。個人情報保護管理者をトップマネジメントが、また個人情報保護監査責任者をPMS事務局の局長が兼任しています。
プロジェクトの開始に当たっては、トップマネジメントである社長から、プライバシーマーク取得の意思と取り組みに当たっての一切の進め方をPMS事務局に与える旨を全従業者に示してもらいました。社長からの宣言により、全社的な取り組みであることを全従業者に認識づけることができました。PMS事務局では、社内で温度差が生まれないように取得の目的も合わせて伝えるようにしました。特に部門長にはしっかりと理解してもらうようお願いしました。
PMS運営の責任者である個人情報保護管理者をトップマネジメントが担うことで、PMSに関する情報発信において社内の意識統一を図りやすかったと思います。
また、事務局を作る上でのポイントは、各部門から1人ずつ事務局メンバーを選出したことです。従業者への情報共有において、事務局の決定事項を各部門で知らない人や理解しない人が発生しないような体制作りを意識しました。
申請までのスケジュール
プライバシーマークの取得に当たっては、コンサルティング会社に依頼せず社内で体制整備を行い、申請、取得に至りました。プロジェクト開始から申請までのスケジュールはこちらの図にあるとおりです。
事務局が発足し、プロジェクト開始後、手始めに知識不足を補うべく勉強のための書籍を購入しました。事務局メンバーでひと月かけて、購入した書籍やJIS規格の附属書の読み込み、関係法令についての調査も行いました。
続いて、当初購入した書籍に掲載されていた様式に基づいて個人情報の洗い出し、台帳整備、リスク分析を実施しました。それと並行して情報収集も継続して行っていきました。JIPDEC様の「新規申請を検討している事業者向けのセミナー」概要編、PMS導入編、PMS構築ポイント編も受講しましたが、台帳作成やリスク分析の進め方など、とても参考になりました。
その後、社内で台帳整備やリスク分析を進めていきましたが、その中で、作成してきた様式や規程では運用が難しいということに気づきました。具体的に言うと、当初購入した書籍に基づいて作成した台帳が細かすぎて、業務に大きな負担がかかるようになってしまいました。リスク分析においても同様です。台帳やリスク分析表を作成することが仕事になってしまうという状況でした。ここで当初参照した書籍の規程・様式類が弊社に合わないものだったことに気づき、改めて別の参考書籍を探していくなかで、ようやく弊社に合った様式集に出会うことができました。台帳やリスク分析表もその新たに購入した様式集を参考に改定しました。
取得に向けた取り組みの中での課題と対応方法
個人情報の特定、管理・管理外の明確化
まずは知識不足を埋めるために参考書籍・附属書・法律を読み込みましたが、当初は個人情報の特定からリスク分析表の作成までスムーズにいきませんでした。その過程において、従業者からも管理対象となる個人情報についての認識の違いだったり、運用に関しての要望など様々な意見が出ましたが、個人情報保護管理者でもある社長から、事務局のやり方に沿って運用してほしいと発信してもらうことで対処しました。
規程類の作成
規程は当初購入した書籍を参考に作成しようとしましたが、弊社の運用に合わず、内容も少し古かったこともあり作成に躓きました。そこで、インターネットで情報収集をしたり、様々な様式集や書籍を調べていくなかで、弊社に合った一連の進め方が掲載されている書籍を見つけることができました。
現状に合わせた規程の作成という点では、社内には元々個人情報関連の規程や情報セキュリティポリシーなどは存在はしていたので、プライバシーマーク申請のための個人情報取扱規程、安全管理規程を一から全て作るのではなく、従業者の負担を少なくするためにも既存の規程と融合させることを心掛けました。
また、審査の中で指摘を受けて気づいたことですが、普段何気なく実行しているセキュリティ対策を規程に盛り込めていませんでした。例えばデータの持ち出しにおける物理的対策など、従来から当たり前に実施していた対策の規程への明文化が漏れていたため、審査の中での改善対応で規程を修正しました。
運用
ルールの整備を終え運用を開始したところ、事務局のメンバーは従業者も負担なく運用できるはずと意気込んでおりましたが、実際はなかなか浸透せず、戸惑った従業者からの不安の声も多くありました。
新たに追加されたルールにおいては、周知はしたものの、適切な運用ができていないものもありました。例えば、個人情報の取り扱いを記録する様式は今までもありましたが、新たに個人情報の取得・返却・廃棄・消去管理表を設けたところ、運用当初は記載漏れなどの不備がありました。
こうした新しいルールの従業者への周知方法としては、各部門へ配置した事務局メンバーから意識付けができるまでしつこいぐらいに声掛けを行いました。
最後に
改めて弊社が外部の力を借りずにプライバシーマークを取得できたポイントをお伝えします。
まず準備段階においては情報収集の時間を十分に取るということです。JIPDEC様主催の無料セミナーにも参加しました。また実際に準備を進める中でいくつか疑問点が発生しましたが、JIPDEC様に質問をしたところとても丁寧に回答をいただき、運用に活かすことができました。
続いて構築段階では、自社の環境を把握したうえで、背伸びしない規程を設けたことが良かったと思います。
最後に運用段階です。従来の運用を変更するといっても、やはり習慣を変えることは難しいです。従業者に対しては各部門の事務局メンバーから浸透するまで積極的に声掛けをするとともに、従業者の方からも疑問に思った点があれば何でも聞いてもらうようにし、常に現場の状況を把握することを心掛けています。
以上
付与事業者の取組事例