【講演レポート】Attack株式会社
- トップページ
- 審査基準・指針
- 付与事業者の取組事例
- 【講演レポート】Attack株式会社
2024年2月~4月に開催した「新規申請を目指す事業者のためのプライバシーマークセミナー 事例紹介編」でお話いただいた内容をまとめました。
会社概要
Attack株式会社
- 所在地:東京都品川区北品川5-5-15大崎ブライトコア4階【SHIP】
- 創業:2016年4月5日
- 従業者数:31名
- 主な事業:採用コンサルティング事業(採用支援サービス)、ダイレクトリクルーティングメディア事業、採用促進システム事業
- プライバシーマーク取得:2023年11月
登録番号:10863036(01) - 登壇者:代表取締役 村上 篤志様(個人情報保護管理者 兼 申請担当者)
講演レポート
プライバシーマーク取得の目的
弊社は顧客企業に変わって採用業務を遂行していく採用支援(RPO)サービスを展開しています。具体的には、顧客企業に代わって人材紹介会社や求人メディアに求人を展開したり、候補者との日程調整や各種連絡、あとは履歴書や職務経歴書を採用管理システムに登録するといったように、採用業務に関連した個人情報を日々取り扱っています。
そのような事業であるため、元々Pマーク取得の必要性は感じていたものの、時間もコストもかかることから取得をしないまま事業開始から4年、5年が経過していきました。その中で、大手企業様とのお取引が増えていくと、個人情報の取扱い状況について、事前にチェックシートで確認されるケースも増えてきました。そのようなチェックシートではまずPマークの取得状況を確認されることが多くあります。弊社としては、Pマークの取得はしていないものの、個人情報の取扱い状況を説明することで対応していたのですが、とある大手電機メーカー様の子会社様での新規案件で、取引寸前まで至ったものの最終的にPマークを取得していないことを理由に取引に至らなかったということがありました。
企業として個人情報を取り扱うとことの責任もさることながら、やはり新規案件の失注に繋がってしまうといった実益にも影響が出てしまったことをきっかけに、本腰を入れてPマーク取得に向けて取り組むことにしました。
取得までのスケジュール
こちらが弊社のPマーク取得までのスケジュールになります。
2023年の1月頃から検討を開始し、2月から本格的に取り組みがスタート。その後無事11月に取得と、比較的短い期間で取得することができました。
これには様々な要因があると思いますが、その一つにコンサルティング会社を利用したこともあります。弊社の場合、会社の規模も小さく、Pマーク取得に向けて担当社員を配置することが難しかったのと、初めての取り組みで不安も大きかったことから、コンサルティング会社を利用することにしました。
コンサルティング会社の選定に当たっては、5、6社ほどにヒアリングしましたが、弊社の顧問社労士の先生から紹介いただいたコンサルティング会社を選定しました。弊社はフルリモートということもあり、就業スタイルがフルリモートの企業におけるPマーク取得支援実績があったことも決め手の一つになりました。
それでは、このスケジュールに沿って取得までの取り組みについて簡単にご説明します。
Pマーク取得に向けた取り組み
個人情報保護体制の整備
最初に着手したのが体制の検討です。
こちらが弊社の個人情報保護体制図になります。ご覧いただいたとおり、基本的には代表者の私と取締役の2名が中心となってPMSを運用していく体制になっていますが、これもスピーディーに進められた大きな要因の一つであると考えています。当然会社の規模にもよって変わってはきますが、弊社の場合はこのような形で責任・権限を持つものが少人数で実行推進していったことがスムーズな運用に繋がりました。そして社員に対しても、代表者自らが先頭に立って責任を持って推進していくというメッセージにもなりましたので、この点も良かったと感じています。
また、こちらの体制図で部門管理者が空欄になっていますが、これは弊社が小規模で現時点では部門も分かれていないためで、今後部門が分かれるようになれば、新たに部門ごとの管理者を配置する必要があると考えています。
個人情報の洗い出し
弊社で取り扱う個人情報の洗い出し、今思い返すとこれが最初で最大の山場だったという印象です。洗い出した個人情報に対しては、それをどのようなルールで取り扱うべきかというナレッジはコンサル会社様にもありますが、自社でどのような個人情報をどのように取り扱っているかというのは、当然自分たちで洗い出す必要があります。
最終的に個人情報管理台帳に個人情報の内容、利用目的、件数、媒体管理方法などの取扱い状況をまとめていきますが、これもほぼ私と取締役の2名で対応したこともあり、一番時間が掛かり、かつ大変な工程でした。
リスク対策の検討
元々個人情報を取り扱うことの責任は認識していたため、個人情報漏えい等のリスクに対しても対応しておりました。フルリモートでのオンラインでの業務であるが故に情報セキュリティの設定についても徹底していたため、セキュリティ面における大幅なルール変更や、新たなシステムの導入といった事態はほぼ発生しませんでした。もし未対応であれば、ここで新たなリスク対策の設定が大きく発生する形になったかと思いますが、あらかじめ対応できていたことでスムーズに進めることができました。
ただし、ホームページについては、ある程度改修が必要となりました。個人情報の取扱いについての表示や、プライバシーポリシーなどの内容を修正したわけですが、弊社の場合、採用支援サービス、転職メディア、採用管理システムのそれぞれにサービスサイトがあり、さらに弊社のコーポレートサイトも含め、合計4、5個WEBサイトを運営していることもあり、それをすべて改修するとなると、修正点のチェック、洗い出しから、制作会社も巻き込んでの修正対応に至るまで、実際はかなり手間が発生しました。WEBサイト上で個人情報を取得するものも多かったため、その分修正箇所も多くなったということもあります。
その他の対応
PMSに関連する各種文書、様式の整備に関しては、弊社の場合管理部門や総務部門があるわけではないため、私がやらざるを得ないという状況ではありますが、正直そこまでは時間を取れなかったため、コンサルティング会社のサポートをいただきながら整備していきました。 PMS教育に当たっては、ベースとなるコンテンツを提供いただいて、それを弊社の事業やフルリモートの業務形態に合わせてカスタマイズし、オンラインで研修を実施しました。その後の理解度確認チェックテストも含め、この辺りの教育コンテンツの整備についてもサポートをいただいて非常に助かったところでした。
その後、運用、内部監査、マネジメントレビューなどの実施を経て、申請、審査となりました。審査においても、先程のWEBサイトの改修などいくつか指摘事項が発生したものの、改善対応も行い、取得に至りました。
取り組みの過程で直面した課題と対処法
ここからは取り組みを進めていった中で、直面した課題とそれをどのようにクリアしていったのか、といった点についてご説明します。
個人情報管理台帳の整備
個人情報管理台帳はPMSの根幹とも言えるものになりますので、先程お伝えしたとおり多くの時間を費やしました。日数換算したら丸々1週間程度はここだけで掛かっていると思います。
特に弊社は自社で転職メディアを持っていて直接個人情報を取得していたり、採用管理システムで取引先企業様の採用候補者の履歴書や職務経歴書を取り扱っていたりと、様々な形態での個人情報の取扱いが発生していましたので、最初の洗い出しからそれを整理して管理台帳に取りまとめるまでの作業は非常に大変でした。
あとは概念的な理解が不足していたこともあり、最初は個人情報と認識していなかったものも個人情報に該当するといったような気付きも多くありました。
こちらの対処としては時間を使って対応するということ。一つ一つコンサルティング会社に丁寧に確認を取りながら対応していきました。
デジタル化に伴う運用方法の変更
フルリモートということもあり、取り扱う個人情報についてはデータでの取扱いが大半ではありましたが、健康診断の結果や、従業員の雇用契約書など一部紙での取扱いも残っていました。
こちらについても電子契約を導入するなど、デジタルへの切り替えを進めました。運用ルールを変えることの苦労はありましたが、アナログなものをデジタルに変えていくと基本的に楽にはなるので、現場の慣れなど最初の波を乗り越えたあとはスムーズな運用ができています。
個人情報の責任範囲の認識
採用支援(RPO)サービスで取り扱う個人情報は、あくまでも取引先企業様の採用候補者の情報になります。その取扱いにおいて、弊社の管理責任と捉えるかといった点について、当初は認識の相違がありました。
弊社としては、あくまでも取引先企業の個人情報という位置付けであり、弊社において管理する必要はないという認識でした。ただ、弊社の採用支援サービスという事業において取り扱う個人情報であることは間違いなく、万が一お預かりしてる個人情報の漏えい等の事故を起こしてしまった場合には、当然弊社にその責任が及ぶこともあり得ます。このような個人情報についても、弊社の事業において取り扱う個人情報として管理する必要があるわけで、そこで一気に管理台帳への登録や運用ルールも増えて最初は大変な部分もありましたが、その認識が確認できた後にはやるべきことも明確になりました。
以上、このようにいくつかの課題に直面はしたものの一つ一つ対応していくことで、PMSを構築しPマークを取得することができました。
Pマークを取得したことで、信頼の獲得に繋がっているという実感はあります。直近でスタートした上場企業との新規取引においても、Pマークを取得したことで個人情報の取扱いに関する事前確認も非常にスピーディーに進みました。
今後も維持、更新していくことで、お客様の大切な個人情報を取り扱う企業としての責任を持って事業を推進していきたいと考えています。
付与事業者の取組事例
