動物用医薬品やワクチンの研究開発など、アニマルヘルス事業を展開しているゾエティス・ジャパン株式会社。同社は全国の動物病院とペットオーナーをつなぐサービスを新たに提供するにあたり、個人情報の取り扱いに関するセキュリティ対策の向上が不可欠と考え、2022年11月にプライバシーマーク(以下、Pマーク)の認証を取得しました。
今回、そのPマーク取得にあたり、オプティマ・ソリューションズのコンサルティングを利用した背景と効果について、コマーシャルオペレーションズ&デジタル推進統括部 マネジャー 宇田川 金吾氏に詳しくお聞きしました。
――Pマークの取得に至った経緯・課題をお聞かせください。
まず、発端となった新たなサービスからお話させていただきます。当社のお客様である動物病院様では、ペットの健康を守るため、ペットオーナー様宛にはがきやメールを通じてフィラリアやワクチンの予防接種のお知らせ、ペットのお誕生日のお祝いなど、さまざまなご案内をされています。ただ、動物病院様からは「適切なタイミングで案内できていない」や「日々忙しいため、案内が限定されてしまう」などのお声を頂戴することも少なくありませんでした。こうした状況が続くとペットオーナー様とのエンゲージメントが薄れ、動物病院様としては医療を提供する機会を逸することになってしまいます。
そこで当社は、動物病院様とペットオーナー様とのエンゲージメントを高めるため、コミュニケーションを活性化させるサービスの展開を考えていました。具体的には、動物病院様の電子カルテシステムと当社のサービスを連携させ、はがきやメールでのご案内を発行する仕組みです。動物病院様の院内の事務作業を軽減し、ペットオーナー様にさまざまな情報を最適なタイミングでお知らせできれば、動物病院様の経営にも貢献できると考えています。
このサービスを展開するうえでひとつ課題がありました。間接的とはいえ、動物病院様が管理しているペットオーナー様の個人情報を扱うことがある点です。当然、動物病院様に安心してこのサービスをご利用していただくため、当社の個人情報保護が担保されることを示す必要がありました。
もちろん、当社はグローバル企業として厳格なプライバシーポリシーを策定しており、社員一人ひとりにセキュリティ対策の意識が根付いています。ただし、グローバルな視点のプライバシーポリシーですから、形としては全世界をカバーする大枠のフレームとなります。本社もそれは理解しており、ローカルルールに関しては現地の各社で対応することを求めています。つまり、日本で個人情報におけるセキュリティ対策のルールは、自ずとPマークに行き着きます。我々としては、セキュリティの担保に加え、ローカルルールに合わせた社内体制の整備も必須と考え、Pマークの取得を進めることにしました。
――コンサルティング会社の比較・検討はされましたか。
オプティマ・ソリューションズは、当社とお付き合いのある、ある企業からご紹介いただきました。そちらの企業から「オプティマ・ソリューションズは手厚いサポートがあり、Pマークを取得するのであればおすすめです」というお墨付きがあったこと、そして、Pマークの取得を早く進めたいという当社の事情から、適正な見積りをいただいた後、すぐにオプティマ・ソリューションズにコンサルティングを依頼しました。コンサルティング会社の比較・検討は行いませんでした。
――自力での取得は考慮されましたか。
当社は外部のエキスパートを積極的に利用する文化があります。最新情報を持っている方に指導していただいた方が確実であり、限定される社内のリソースを補完するという点で、アウトソーシングには抵抗がありません。ですので、Pマーク取得の取り組みも、コンサルティング会社を活用する方針で当初より開始しました。
――Pマーク取得の取り組み体制をお聞かせください。
経理・人事以外の管理業務を担う部門から、私が個人情報管理責任者として任命されました。その後、社内チームを形成してPマーク取得のプロジェクトがスタート。私以外の部門個人情報管理者のメンバーは、個人情報を扱う機会が多い部門から選出しています。
――Pマークの取り組みから取得までのプロセスをお聞かせください。
2021年8月にオプティマ・ソリューションズにコンサルティングを依頼してプロジェクトがスタート。翌年の2022年11月、無事にPマークを取得することができました。取得するまで1年以上の期間を要しましたが、その要因は3つありました。ひとつは、コロナ禍ということで、審査が実施されるまでに時間がかかりました。2022年3月に審査の申請を出したのですが、実際に審査が行われたのは同年8月でした。
もうひとつは、当社が所有している個人情報の量がかなり多かったことです。他社と比較できないので分かりませんが、経験豊富なオプティマ・ソリューションズからすると、一般的な会社の数倍とのこと。その個人情報をまとめるのに時間がかかりました。そして、もっとも苦労したのが、グローバル企業という立ち位置です。
――グローバル企業であることがPマークの取得にどう影響したのでしょうか。
以下の2つを挙げさせていただきます。
<システムの管轄権限が本社にある>
まず、ITシステム関係のほとんどが本社の管轄で、我々が管轄しているのは一部のファイルサーバーのみという状況でした。当社が個別に選定することはなく、グローバル全体で共通したシステムを利用することがほとんどです。当社で制御できないシステムを管理できているかを記載せねばならず、ドキュメント化等の方法をオプティマ・ソリューションズに相談させていただきました。
オプティマ・ソリューションズいわく、審査機関も「解釈には幅がある」とのこと。結論としては本社を“委託先”として定義し、ドキュメントにまとめていきました。もちろん、ただ委託先としただけでなく、データが保管される可能性のある国を一つひとつ記載するなど、正確な情報をまとめることに腐心しました。
当然、審査時は本社を委託先にした件が審査員の目に止まり、数々の質問を受けました。例えば、「国内では何を管理しているのですか?」という質問に「ファイルサーバーだけです」と答えると、「ではファイルサーバーのバックアップ体制を教えてください」といった具合です。審査員の方も委託先なのか第三者提供になるのか、かなり悩まれていたようですが、何とか理解を得ることができました。
<本社との調整に苦心>
“パソコン内のデータを出力できる権限を持つ社員”の件を例にお話します。まず、当社はパソコンにはロックがかかっており、通常はUSBメモリーといった外部記憶媒体にデータ出力はできません。営業社員が外出先で印刷出力が必要な場合などは、一旦パソコンからデータを出力しないといけないので、この際も、本社システム部門からの承認が必要になります。
Pマークでは、パソコンからデータを出力できる社員を把握しドキュメントにまとめなければなりませんから、本社の管轄部門に問い合わせをするのですが、第一声は「どうしてそれが必要なのですか?」という返答。我々は「個人情報の取り扱いに関する公的な認証のPマークを取得するため、パソコンから情報を出力できる人を特定しておかなければなりません」と回答し、その返答が「開示の承認をもらってください」という具合です。結局、誰から承認をもらえばいいか分からず途方に暮れてしまいます。この件は、特定するのは2~3カ月の時間を要しました。ひとつの問い合わせに何度もミーティングを重ねることが多く、日本固有のPマーク制度の理解、必要データを得るのに苦心しました。
ちなみに、Pマークの取得にともない、USBメモリーの管理方法は変更しました。Pマーク取得後からはセキュリティパスワード付きのUSBメモリーに切り替え、シリアル番号で管理するとともに、利用する際は申請を出してもらって履歴を残すようにしました。
――個人情報の範囲で驚いたことはありますか。
医薬関係の会社ということもあって、当社は学会とも強い関係性があります。その学会から定期的に会員誌が送られてくるのですが、獣医師や薬剤師の名前が比較的多く掲載されているため、個人情報台帳に掲載することにしました。また、開発した薬剤は農林水産省や厚生労働省から許認可を得なければ販売できませんが、許認可証に掲載されている大臣の名前も個人情報にあたるとオプティマ・ソリューションズに指摘されました。これには開発部門の社員たちも驚いていましたね。
我々が過敏になっていると感じることもありました。例えば、法人名は個人情報には該当しませんが、取り組んでいる最中は「会社名が出ているから隠した方がいいでは?」「会社の住所は大丈夫?」など、過剰に保護に向かっていた時期もありました。厳しくするのはいいのですが、やり過ぎるとオペレーションが非効率的になってしまうため、我々自身が正しい情報に基づいて行動する必要があると感じました。
――社員教育はどのように実施されていますか。
最初、オプティマ・ソリューションズに提供していただいたeラーニングの教材で全社員に研修を行いました。その後、中途採用の社員や派遣・業務委託の方々にもeラーニングを実施。さらに、新卒のオリエンテーションの1セッションでも個人情報教育を入れました。
今後もPマークに付随する個人情報関係の研修は、毎年かならず1回は行っていきます。これに加え、本社から義務付けされている情報セキュリティの研修が年2回以上あります。つまり、当社に在籍している限り、個人情報および情報セキュリティ関係の研修は年に複数回受けることになります。他社との比較はできませんが、我々としては充実した教育環境だと自負しています。
――Pマークの取得や社員教育を通じ、社内への浸透度はいかがですか。
社内への浸透度は高いと実感しています。例えば、学会への参加、アンケートの実施、セミナーでの商品出品など、さまざまな場面でこれは個人情報に該当するかどうかを思案するようになりました。それは、我々のところに確認してくる回数が増えたことで分かります。社員の方々に個人情報の啓発ができたという点だけでも、Pマーク取得の意義は十分に感じています。
――最後にオプティマ・ソリューションズへの評価と期待をお聞かせください。
ご時世柄、コンサルティングは基本的にはオンラインが主体、審査前には一度来社いただいて最終確認をしていただきました。そういったなかで、オプティマ・ソリューションズには本当に細かいところまで面倒を見ていただきました。メインの業務が忙しく、打ち合わせまでに資料の準備できないときでも、急かすことなく、状況に応じて的確なご指示をいただけたことに大変感謝しています。
Pマークの取得は目的ではありますが、終わりのゴールとは思っていません。それは我々だけでなく、社員全員が持っています。「ここからがスタート、運用してこそ」という感覚です。そして、今後の運用や更新に関しては、社内チームだけでは不十分な点もあるため、引き続きオプティマ・ソリューションズのサポートに期待しています。今後ともよろしくお願いいたします。
――担当コンサルタントより
<Pマークコンサルタント 漆原 史子(うるしはら ふみこ)>
Pマーク認証取得、おめでとうございます!規模の大きな会社様で、新審査基準が施行される直前の過渡期という事で、準備が大変だった部分もあるかと思うのですが、社員の皆様が非常に協力的で、全社的に真摯に取り組んでいただき、初期段階から精度の高い記録を作成していただいたことが印象的でした。
今後もPマークを有効な営業ツールとしていただき、貴社の医薬品で、少しでも多くの動物の病気が治るといいなと思います。
