2025年5月～2025年7月に開催した「新規申請を目指す事業者のためのプライバシーマークセミナー 事例紹介編」でお話いただいた内容をまとめました。

会社概要

株式会社ソーシャルインテリア

• 所在地：東京都港区南青山2丁目5番17号ポーラ青山ビルディング9階
• 設立：平成28年11月9日
• 主な事業：オフィス構築支援業務、INTERIOR BASE事業、家具・家電のオンライン販売事業
• プライバシーマーク取得：2023年12月
  登録番号：10863048（01）
• 登壇者：コーポレート部　Pマーク取得担当者様

講演レポート

プライバシーマーク取得の目的

当社は「インテリアの世界を変える。インテリアで世界を変える。」ことをミッションに掲げ、拡大しているベンチャー企業です。個人向けのサービスとして家具・家電のセレクト型オンラインストア「subsclife（サブスクライフ）」を運営しています。法人向けにはオフィスづくり、オフィス移転に関わるプロジェクトマネジメント、オフィス家具の用意までをお手伝いするサービスや、インテリアDXプラットフォームを提供しています。
プライバシーマーク取得のきっかけは、IPO準備に向けたガバナンス強化です。IPOを目指すうえでは、社内の個人情報保護の仕組みが整っているかを確認されることが多いため、対外的にもその信頼性を明確に示す手段として有効と判断しPマークを取得する決断に至りました。

取得までのスケジュールと個人情報保護体制

取得までのスケジュールをご紹介します。
2023年5月のプロジェクト発足後にコンサルティング会社とキックオフをしました。12月末までに取得することが目標だったため、取得まで残り約6ヶ月という時間の中で、スケジュールを確認し逆算して間に合うように進めました。
次にPMS構築の推進体制についてです。私の上長であるCFOが、全社のマネジメントを担当しました。実際の個人情報保護に向けた体制構築や運用、プロジェクトの推進といった実務は私が1人で進めました。
Pマークの担当者として任命された当時、1人でプロジェクトを推進することに不安はありましたが、社歴が長く社内の事業内容について理解がありましたので、事業部の協力を得ながら取得に向けて取り組みを開始しました。

取得に向けた取り組みと運用担当者の失敗談・成功談

ここからはおおよその取り組みの流れと、その中での失敗談を含めてご紹介します。

コンサルティング会社の選定

Pマークに関する知見が無かったため、コンサルティング会社の支援を得ながら進めることになりました。コンサルティング会社の選定にあたっては、費用や実績はもちろんのこと、自社のスタンスも重要となります。取得することを目的とするのではなく、自社なりのPMSを構築し、継続して運用しなければガバナンス的に意味がありません。
当社では、取得後も継続してPMSが運用できるような支援であること、タイトなスケジュールの中でも効率的な手法を提案いただき取得できること、この２つを重視してコンサルティング会社を選定しました。
選定後はコンサルティング会社と二人三脚で進めていきました。

タスクリストの作成

PMS諸規程に沿って運用ができるよう、規程の内容から対応が必要な事項や月内の実施回数などの決まりごとを整理し、タスクリストとしてまとめました。
タスクリスト作成後に分科会を立ち上げました。タスクリストをもとに関係部署へタスクを共有し、担当者が優先度も含めて対応できる体制を構築しました。

規程の策定

当社には個人情報保護規程などの既存の社内規程がありました。既存の規程をそのまま利用したい、規程の数を増やしたくないという理由から、既存の規程にPマーク用に作成した規程を統合しました。
ところが、統合した結果、規程の文書管理が難しくなってしまいました。さらに規程の内容についても改廃のハードルが高くなってしまうことから、当社にとってこの方法は合わないことに気が付きました。
改めて、取得前の規程は別に管理することにし、Pマークに対応した規程を新たに策定することにしました。

業務フローの作成

規程にあたっての業務フローの作成に向けて各部署の個人情報の取扱いについてヒアリングを実施しました。
ヒアリングでは、個人情報の取得から廃棄の流れ、どのツールに個人情報を保存しているのか、委託先や提供先なども合わせて確認しました。一度目のヒアリングで聞き足りなかった場合は再ヒアリングも実施しました。
その後、ヒアリングの内容をもとに業務フローチャートへ落とし込み、さらに個人情報管理台帳や委託先管理台帳の作成を行いました。業務フロー作成作業は事業部との協力が必要不可欠です。不明な点は都度ヒアリングが必要になるので時間が掛かる作業になります。
この作業の中での失敗談をご紹介します。
当初、SaaSツールも委託先に含まれることを知らずにヒアリングを行ってしまったので、後日改めてヒアリングしました。SaaSツールを利用している事業者も多いと思いますので、ヒアリングの際はSaaSツールも委託先に含まれることを念頭に置いて実施して頂くと良いと思います。

社内教育研修

教育手法は成功談としてご紹介します。
当社では年に1回のeラーニング研修と、全社研修を行っています。　
全社研修の初回は外部講師に登壇いただき、個人情報保護の基礎を学びました。翌年は個人情報の基礎は押さえつつ、情報セキュリティの部分に特化した内容や、トレンドになっているテーマを設けて実施しました。
入社時研修も随時実施しており、早いうちに個人情報に関する知識を学ぶことで社内全体のリテラシーが高い状態になっています。
社内教育は派遣アルバイトも対象です。入社初日の事務手続きのときに併せて個人情報保護に関する研修を実施しています。

同意文の作成・反映

個人情報を取得する場合、個人情報の取扱いに関する事項を明示し、本人から同意を得るための同意文の作成が必要になります。利用目的や委託先、提供先がある場合はその有無と個人情報の提供方法などを記載していきます。当社は複数のランディングページや各種イベント、問い合わせフォームなどで個人情報を取得していましたので、これらを全てピックアップして、そのフォームに合った同意文を作成する作業が発生しました。
Webフォームの中には他社のシステムと複雑に連携しているものがありました。すぐ改修することが難しく、システム部門との連携が多く発生しました。
Webフォームの改修は時間が掛かる場合があるので、複数の個人情報を取得するWebフォームを設置している事業者は早めに確認することがおすすめです。

個人情報に関する覚書の締結

取引先の契約書の雛形から個人情報に関する記載があるかを全件確認しました。膨大な量の書類を確認するのは苦労しました。さらに、個人情報に関する記載が無い取引先とは覚書の締結をしなければならず、複数の取引先のやり取りが発生しました。取引先によってはすぐに契約締結ができない場合もあったので、その時間をしっかり確保し、計画的に進める必要があったと思います。
委託先のうち、SaaSツールに関しても覚書の締結が必要です。中には問い合わせフォームを探す作業から行うこともあるため、時間が掛かりました。

文書審査から現地審査の対応と審査の印象

当社はJIPDECで審査を受けました。全体的な審査の印象についてご紹介します。
文書審査の結果は、是正箇所や提出書類の内容への質問が全て紙で送られてきます。そのため、付箋を貼りながら対応しました。
現地審査では審査員から代表者に対してインタビューを実施します。経営者として個人情報保護への理解とその重要性を理解して推進しているか、その姿勢などをインタビューされるので、日程調整も含め念入りに準備しました。
現地審査当日の印象ですが、面接のような進め方になるのかと思っていたため緊張して臨みましたが全く怖くありませんでした。審査も本質的な理解ができているか確認しつつ、是正方法も具体的に指示を頂くような内容でした。
希望のスケジュールがかなりタイトだったこともあり、間に合うか不安でしたが目標の期日までに取得することができました。

Pマーク取得後の効果

• 従業員のリテラシー向上
  今回のPマーク取得と教育の過程で従業員のリテラシーが大きく向上しました。全社員が業務多忙な中でもインシデントを起こさないという意識付けができていると感じます。上長も「ベンチャー企業こそPマークを取った方が良い」と申しておりました。
• クライアントからの信頼獲得
  当社の事業内容上、クライアントのオフィス移転情報を多く扱います。移転情報には機密情報も多く含まれるため、多くのお客様が情報の取り扱いを気にされています。
  Pマークを取得していることで信頼していただけますし、説明コストを下げることができ、効果を実感しています。
• 総務としての経験値・キャリアUP
  総務・法務全般に関しての経験値が一気に上がりました。上長からの評価も高く、今後のキャリアアップにも繋がっていくと思いますし、社員からの信頼も得られていると感じます。
  もし、Pマーク取得を検討中の方で、会社経営に関わることに興味がある方はぜひチャレンジしてみると良いと思います。

Pマーク取得後の継続運用のポイント

最後にPマーク取得後の運用について簡単にお話しします。
Pマークを取得後もPMSの運用を継続していくことが重要です。継続運用のポイントは各担当者が自主的にPMSを運用できるように仕組化することです。
当社は部署単位で年間計画日程表を作成して共有しています。計画表には担当者名を記載しており、各部署の対応担当者は計画表に沿って対応するので、やるべきことの意識付けにも繋がります。私は計画通りに進んでいるかの作業状況の確認と毎月の定期的なリマインドを実施しています。
PMSを運用するうえで都度対応しなければならない事項もありますが、日々のルールの中に組み込んで自動化しているものも多くあります。ぜひ運用の参考になれば幸いです。

以上が当社、株式会社ソーシャルインテリアのPマーク取得事例になります。ご清聴ありがとうございました。