株式会社NTTドコモのマーケティング分野における新規事業型子会社である株式会社DearOne。同社は個人情報の管理体制を確立するため、2021年3月にプライバシーマーク(以下、Pマーク)を取得しました。今回、そのPマーク取得の背景と社内での継続した活動を通じた成果などについて、経営戦略部 石井 成美氏にお話を伺いました。
Pマーク取得の背景をお聞かせください。
大きくは2つあります。ひとつは、当社と安心して取引していただくための旗印としてPマークが必要でした。
当社が提供しているスマホアプリ開発支援ツール「ModuleApps2.0」は、お客様が自社アプリの開発に使用するものですから、その運用にあたって当社がアプリを利用されるエンドユーザーの個人情報を扱うことはありません。しかし、当社との取引に際して個人情報の管理体制を気にされるお客様がいらっしゃいます。また、当社のデジタルマーケティング支援サービスにおける行動分析などでは、直接の個人情報ではないにしても、ユーザーIDや位置情報といった情報を取り扱うことが多々あります。
こうしたことから、お客様から個人情報の管理に関するチェックリストの提出を求められるシーンが増加していました。また社会的な傾向として、個人情報の管理に関する意識の高まりも感じていました。そこで、個人情報の管理に積極的に取り組んでいるという証、Pマークを取得しなければならないと考えるようになりました。
もうひとつは、個人情報の管理および情報セキュリティ対策への意識を社内に浸透させるためです。そこで、その枠組みとしてPマークを取得したいと考えました。
Pマーク取得するための体制を教えてください。
単にPマークを取得するだけでなく、個人情報の管理と情報セキュリティ対策の体制を整え、運用していくためのPMS活動(※)として位置付けました。トップに代表取締役社長、個人情報管理責任者にCTO(最高技術責任者)、監査責任者に取締役副社長を据え、実際の取り組みは事務局の法務ユニットが関係者と連携しながら進めていく活動としました。さらに、社員にPMS活動への参加意識を高めるため、各部門で責任を持って推進していただく部門個人情報管理者(各部門のゼネラルマネージャー)と必要に応じて同補助者を任命しました。
※PMS活動:PMS(Personal Information Protection Management Systems/個人情報保護マネジメントシステム)活動
コンサルティング会社の比較・検討はされましたか。
コンサルティング会社の導入や選定については、入社前でしたので、詳細は分かりませんが、私が把握している情報では、3社のコンサルティング会社で比較・検討したようです。オプティマ・ソリューションズの選定理由は「スピード感を持って取得のサポ―トをしてくれる」「適正なコストの提示」と聞いています。
Pマーク取得までのプロセスをお聞かせください。
2020年8月に、オプティマ・ソリューションズと一緒にPマークを取得する取り組みとPMS活動を開始しました。翌年2021年1月に審査が行われ、3月には無事Pマークを取得することができました。コロナ禍のなか、短期間でPマークを取得できたのは、オプティマ・ソリューションズの当社担当コンサルタントからの「早めに審査機関に予約を入れておきましょう」というアドバイスが大きかったですね。準備は整っていませんでしたが、審査の予約だけは早めに入れさせていただき、Pマーク取得の取り組みを滞りなく進めることができました。
Pマークを取得した後も、PMS活動を自主的かつ積極的に取り組んでおられていると伺っています。ぜひ、その取り組みをお聞かせください。
主なところとして、以下3つの取り組みを挙げさせていただきます。
・個人情報保護士(※)の資格取得
・5つの社員向け教育
・PMS活動の周知
※個人情報保護士:財団法人全日本情報学習振興協会が運用している民間資格
それぞれの取り組みにつきまして詳しくお聞かせください。まず、「個人情報保護士の資格取得」は石井様自身の取り組みということでしょうか。
おっしゃる通りです。経営戦略部から私がPマークの担当になりましたが、Pマークも個人情報保護法も、初めて触れる状況で、右も左も分かりませんでした。もちろん、担当コンサルタントにはたくさん質問させていただきました。しかし、個人情報保護法は分かりにくく、頭に入ってきません。個人情報の管理は身近な問題のはずですが、法律の言葉になってしまうと急に遠くへ行ってしまいます。
このままでは苦手意識が根付いてしまうと考え、担当コンサルタントに相談するなどしてたどり着いたのが「個人情報保護士の資格取得」でした。まずは言葉を理解し、個人情報保護法と仲良くなろうという発想で取得を目指すことにしました。書籍とE-Learningを併用しながら個人情報保護士の勉強を行い、Pマーク取得前の1月に資格を取得することができました。
個人情報保護士の資格を取得して変わったことはありますか。
対外的にはあまり変わっていませんが、私自身の理解度が深まりました。これにより、例えば社員から問い合わせがあった際、個人情報保護法の言葉のまま伝えるのではなく、自分の頭のなかで別の言葉に変換して理解できるように伝えるという意識になりました。個人情報保護士の資格は社内に公表していないものの、少しは頼られる存在になったのではないかと自負しています。
教育の取り組みにおける「5つの社員向け教育」をお聞かせください。
社員によって個人情報の管理における理解度や考え方に違いがあっては、Pマークの枠組みは遵守できません。しかも、当社は毎年社員が増え続けており、来年からは新卒者も入社予定ですので、社員のベクトルを統一するためにも社員教育は重要と考えていました。そこで現在は、以下5つの社員教育を行っています。
①E-Learning
オプティマ・ソリューションズから提供していただいているE-Learningを年1回実施しています。
②四半期点検
かならず守らなければならないルールを10項目厳選し、〇×チェックができるクラウドツールを活用して部門と個人に分けた四半期点検を実施しています。全項目に解説を付けてE-Learning的な要素を加えるなど、理解度を向上させる工夫をしています。また、理解度が低いと感じた場合、リスクを感じた場合などは、随時、点検項目内容の見直しを行っています。
③業務における関連法令を解説する「法務通信」
毎月1回発行する「法務通信」(社内広報)において、当社の業務に関係のある法令等に含めて個人情報保護法やPマークのルールをテーマとして扱っています。また、全社員参加の「朝会」でも、その内容を説明するようにしています。
④「法務通信」の内容を知識として定着させるための法務通信理解度チェック
「法務通信」で説明した内容を復習して理解の定着を図るために、クラウドツール活用した択一・〇×形式混合の確認テストを詳細な解説付きで四半期ごとに実施しています。
⑤運用見直し時の研修
法改正などにより、Pマークのルールや運用の見直しがあった場合は、当社オリジナルの資料を作成し、全社員向けに事務局で研修を実施しています。
「PMS活動の周知」についてもお聞かせください。
もともと法務から各種の情報を発信するポータルサイトがあるのですが、Pマーク取得以降はそのポータルサイトにPMS活動を補助するための各種マニュアルを掲載するようにしました。事故発生時の対応、Pマークに関連する書類作成、委託先評価などの各種マニュアルほか、四半期点検のQ&A、Pマークの登録ナンバーも参照することが可能です。文字ばかりでは読み落とす可能性があるため、アクションフローなどの図表を多用してポイントを分かりやすく説明するなど、誰もが直感的に理解できる工夫もしています。
こうしたPMS活動を通じ、個人情報の管理に関する社員の意識向上は感じますか。
最近は「すみません、これ台帳に漏れていました」「これは個人情報上、問題はありますか」「Pマークの運用上、何かしなければいけませんか」という個人情報に関する申請や質問が増加しており、明らかに社員の意識は向上していると感じます。実際、四半期点検の部門点検においてほぼ100%の適正率、個人点検においても適性率は90%以上と、定量的な数字としても表れています。また、初年度の内部監査では9件ほどの指摘事項がありましたが、2022年の更新審査前の内部監査における指摘事項は2件のみ。このように、会社全体でPMS活動の効果を感じることができます。
オプティマ・ソリューションズへの評価をお願いします。
担当コンサルタントの神野さんからは、Pマーク取得時には「個人情報の洗い出しはじっくり時間かけて行ってください」という言葉をもらい、焦らず安心して取り組むことができました。また、ドキュメント作成用のテンプレートも洗練されていて助かりました。
また、何よりも個人情報保護法改定の際、情報共有はもちろん、ドキュメントへの落とし込み方をしっかり解説いただいたこと、経営層への説明に役立つ関連資料を作成していただいたことは、本当に有り難いと思いました。
細かいところのアドバイスだけでなく、個人的にはメンタルを支えていただいていると感じています。オプティマ・ソリューションズのコンサルティングがなければ、途中で断念していたかもしれません。私にとっても、PMS活動の推進にも、担当コンサルタントの神野さんは必要不可欠な存在です。
最後、今後の展開をお聞かせください。
Pマークの指針は法改正の度に厳しくなっていくと思いますので、当社としては引き続き教育を徹底していきたいと考えています。そういう意味では、社員を巻き込む輪を広げながら全社員までPMS活動を浸透させていくのが当面の目標となります。「自律的にPマークを運用する」PMS活動を目指し、最終的には事務局の仕事がなくなるぐらいにしたいですね。もちろん、そのためにはオプティマ・ソリューションズのコンサルティングが欠かせません。今後とも引き続きよろしくお願いいたします。