2024年7月～10月に開催した「新規申請を目指す事業者のためのプライバシーマークセミナー 事例紹介編」でお話いただいた内容をまとめました。

会社概要

株式会社あかつき

• 所在地：兵庫県神戸市西区伊川谷町有瀬２７番地
• 設立：1991年10月16日
• 従業者数：28名
• 主な事業：ロードサービス業、道路工事
• プライバシーマーク取得：2021年10月
  登録番号：20002686（02）
• 登壇者：取締役　手塚 丈之様（申請担当者）

講演レポート

プライバシーマーク取得の目的

弊社の主軸であるロードサービス事業は、取引先である大手保険会社や、大手自動車メーカーから毎月数千件の個人情報を受け取り、それを持って社員がロードサービス隊員として事故現場、故障現場などへ緊急出動しています。
社員が緊急性の高い現場でお客様の個人情報を管理できているか、管理する仕組みができているかという不安があり、個人情報を正しく管理するための仕組みを構築したいと考えたため、取得を目指しました。
そのほかにも、コンサルティング会社から提供された個人情報の管理方法やシステムの構築、社員教育といった資料を参考にすることで、社内の全体的な知識向上が期待できることや、個人情報がしっかり社内管理されていることで社員にも安心してもらいたいと考えたことも取得のきっかけです。

自社で扱う個人情報の量と年数を可視化

この図は社内の個人情報の量と重要性を縦軸、年数を横軸にし、どの部署がどの程度の重要性が高い個人情報を持っているか、どの程度の量を保管しているのかをグラフ化したものです。
弊社の場合、主軸となるロードサービス部の規模が一番大きく、次に社員とその家族の個人情報が大きいことが分かります。
このように自社の状況をグラフ化して可視化することは社員教育をするときの説明資料としても役立つと思います。ぜひ皆様の会社もグラフ化してみてください。

取得までのスケジュール

Pマーク制度は取得してから2年ごとに更新をする必要があることから、「継続して個人情報を取り扱うことができる仕組みを構築、運用する」ことを念頭に置いて、できるだけ業務の弊害にならないよう、かつ個人情報を守れる仕組みを構築しました。
弊社はロードサービス業や道路工事、保険業務といった様々な業務があるため、コンサルティング会社を利用しました。コンサルティング会社には業務内容を理解してもらった上で、全てお任せするのではなく、弊社社員の中から個人情報保護管理者、教育係、監査役、部署担当を選任してチーム一丸となって取り組みました。
取り組み開始から１年後の申請を目標に、２か月ごとにスケジュールを決めて、１つ１つ段階的に進めていきました。
個人情報保護規定やマニュアルの策定にあたっては、個人情報保護法の内容を理解するところから始めました。
弊社の場合、取り組みから取得までに掛かった期間は他社様と比べても長いほうではないかと思いますが、取得に掛かる期間は自社の規模によっても変わりますので、自社の規模に合わせて計画していただくのが良いかと思います。

個人情報についての理解

Pマーク取得向けて、まず自社が扱う個人情報は何か話し合うことから始めました。
弊社はロードサービス業が主軸のため、お客様の個人情報は直接入手なのか、間接入手なのか、どのような情報をどれくらい持っているか、何が個人情報に該当するのか、といったことを洗い出すことから始めました。
また、社員の個人情報は見落としがちですが、ほとんど直接入手になります。履歴書から始まり、家族の情報も非常に大切で、保管方法や入手の仕方や書面のやり取りも重要ですし、退職した方も対象になるので注意が必要です。

社員教育について

社内教育の取り組みについてです。
取り組みを始めるにあたって社員にとっては「個人情報」という言葉そのものに抵抗があり、何が個人情報にあたるのか、何をどう守り、取り扱ったらよいかを理解してもらうため、「個人情報に当たるのはどれか」という簡単な問題を出題して、まずは興味を持ってもらうことから始め、個人情報を知り、守ることの重要性を知ってもらいました。

取り組みの過程で直面した課題と対処法

個人情報の盲点の考え方

弊社の個人情報の盲点をイメージすると、このような図になります。
毎日業務として運用している業務は楕円になります。一方、適切な運用ができていない箇所は斜線部分として考えます。斜線部分は、いわゆる知識がない、正しい保管ができていない、パスワードを設定していない、というような運用が疎かになっている箇所で、これが落とし穴となって社内に残ります。
この斜線部分をどのようになくしていくか、いかに運用できている範囲を真四角にしていくかということを考えました。そのためには個人情報への正しい知識を身に着け、補っていく必要があります。

個人情報について正しい知識を身に着ける

個人情報について正しい知識を身に着けるためのポイントをお伝えします。
１つめのポイントは、個人情報保護マネジメントシステム（PMS）を構築して仕事の流れを整理します。先ほどのイメージ図で示しました斜線部分を無くし、真四角にしていく仕組みが個人情報保護マネジメントシステムです。
２つめに、このシステムを構築した上で仕事の大きな流れは変えず、運用する中での弱点を見つけ修正していきます。
ただ単に、何も考えずに言われた業務を行うだけでなく、社員自身が常に疑問を持ち、ここはこうしたらもっと良くなる、ここを改善したらもっとシンプルになるんじゃないか、といった問題点を洗い出していき、記録に留め文書に起こします。
そして、実際に運用してみて、業務がおかしくなったり、弊害がないかといった問題を見つけ出すこと、これが３つめのポイントです。
そして４つめ。正しい知識を身につける中で、社員全員に個人情報の重要さ、大切さを理解してもらい意識を変えることも大切です。
様々な現場に出る社員が、個人情報は大切なものだという意識を持ってもらわないと、いくらシステムを構築しても守ってもらえないので、自身の個人情報を他の人に知られたら嫌でしょ。お客さんも同じですよ、ということから話します。
弊社の場合、漏えいの事故のほとんどが、現場に近い社員もしくは事務を行う社員のヒューマンエラーが原因であることがほとんどです。FAX誤送信やメール誤送信等の個人情報漏えい事故を起こさないように社員の意識を変えると同時に、例えばFAX送信時は2人で確認する、メールは暗号化する、といったようなやり方を勉強すること。これも重要なポイントだと思います。
最後に５つめのポイントとして、何よりも業務に支障がないように、仕組みを作り、続けられる運用を作ること。これが個人情報保護マネジメントシステムを構築する上で一番重要視したことです。

ちょっとでも、あなたにできること

規則を理解し、遵守することで、個人情報保護法に従った行動が行えます。いくつか例を挙げてみます。

• パスワードをメモした紙をパソコンに貼らない
• パスワードを他人に教えない
• 個人情報が記載された紙は必ずシュレッダーで廃棄する
• 個人情報の問い合わせは、絶対に本人・依頼元の許可なく伝えない
• 個人情報は必要最小限で取扱い、コピーしない
• 伝票類はカバー付きバインダーでふせる、鍵付きケースに入れる、置きっぱなしにしない
• 業務に関することは絶対にSNSに載せない、家族、友人にも話さない
  特にSNSに載せた情報は独り歩きしてしまうので、そこに万が一個人情報が載っていた場合は取り返しのつかないことになります。SNSの運用に関しては社員一人一人が十分理解してもらうことが重要です。

整理・整頓、不要なものは処分する

誰でもすぐにできることとして、まずは身の回りデスク等の整理・整頓をすることが大切です。
これは実際の社員デスクの写真です。この写真から見ても分かるように個人情報がどれか、どこにあるかが分からず、パソコンのディスプレイに付箋が貼られ、机の引き出しに鍵がつけっぱなしになっています。このようなことから個人情報の漏えいや紛失の事故は発生しますし、仕事の効率の面からみても非効率です。
現在はクリアデスクになっていますが、整理・整頓を行うことも業務改善に役立つと思いますので、皆様も実行してみると良いと思います。

プライバシーマーク取得のメリット

最後にPマークを取得してよかったことをお話しします。

• お客様が安心して個人情報や情報資産を預けていただけます
• 大手取引会社から委託、提供先企業として選定基準をクリアできます
  Pマークを持っていることは、社会的信用につながります。弊社の場合、取引先の大手保険会社などと個人情報の委託、提供を行っていますが、その選定基準にクリアできますし、保険会社からの年に一度の監査では、Pマークを所持している業者であればクリアできるため信頼していただける、これが大きなメリットです。
• 入札や見積もりでも排除されにくくなります
• コンプライアンス厳守、経営企業としてイメージアップに繋がります
• 社員の個人情報等に対する意識が高まります
• 社員教育によってリスクマネジメントが強化され、情報漏えいなどのリスクが低減します
  Pマークを取得するということは、社員全員に個人情報に関する教育ができますし、その仕組みも整います。社員教育をすることで個人情報を大切に取り扱うという意識付けができるようになると同時に、個人情報漏えいがあると会社に大きなダメージ、信用を失うということも意識してもらうことができます。

このPマーク取得を通して対外的な信用、特にロードサービス事業においては保険会社からの信用・評価が高くなったと感じます。
最後にPマーク取得を検討される事業者の皆様に向けて、一つ一つの目標を確実に進めることができれば取得は難しくないと思いますので、ぜひ頑張ってください。

• 付与事業者の取組事例