今年の4月より本格的な取り組みを初めておりました、プライバシーマークの取得に向けての現地審査が、11月7日(火)に無事終了いたしました!現在のスケジュールでは、来年の1月には認証をいただける予定です。
プライバシーマーク制度とは
弊社は、コールセンター会社として多くの通販会社さまの電話対応業務を行っており、日々の業務の中で多くの個人情報を取り扱っております。創業以来、個人情報保護に関しては全社できちんと取り組んではおりましたが、第三者機関の公的な証明などは得ていませんでした。そのため、今後の事業拡大に向けては、個人情報を適切に扱っている企業の証明として、プライバシーマークの取得は必須だと考えておりました。
今回、プライバシーマークの取得に向けての社内業務の見直しや個人情報の取り扱いについて学ぶ過程で、私自身も非常に勉強になりました。
プライバシーマーク取得過程で気づいたこと
- 個人情報保護の対策は各企業によって異なる
プライバシーマークの取得に向けての情報WEBなどを見ると、地震対策や停電対策、データ保護、入退室ログ管理など、たくさんの事柄が必須事項として挙げられすべて実施しないと認証が得られないような情報があります。私もその認識でしたし、前職でもプライバシーマークを持っていたのでいろいろすることがあって大変だなと思っていました。しかし、実際は企業によって取るべき対策が異なるため、プライバシーマークを持っている企業がすべて同じ対策をする必要はありません。
- ”リスクの把握”と”その対策”が大事
企業規模や業務内容によって個人情報の漏洩リスクは異なります。プライバシーマークの取得の過程で各社が取っている対策も、企業ごとに異なるため、ある企業では必要な対策も、別の企業では必要がなかったりします。大事なのは、「業務フロー」と「漏洩リスク」を把握し、それに対しての適切(できる限り)の対策を行い、さらに、それでも発生しうるリスク(残存リスク)を把握することです。
- 設備投資は極力抑えることが可能
設備投資に関しても各社異なります。業務フローと漏洩リスクがことなるため、必要な設備も異なるためです。情報WEBに書いてあることは、その方の企業やその方の経験をもとに書かれていることが多い為、すべての会社に当てはまるものではありません。反対に、すべての会社に当てはめるのであれば、プライバシーマークを取得している企業のあらゆる対策が必要になります。弊社の場合、入退室管理のログなどの機械は不要でした。なぜなら、ビルの監視カメラで常に入退室がチェックされていますし、時間外はALSOKの警備がかかっているため、怪しい人物の入退室への対策はすでにできていたからです。それにも関わらず、「ログ管理が必要」と言って、セキュリティカードなどを導入するのは、意味がないことまでとは言いませんが、本質を見ないで行う対策になってしまいます。地震対策や停電対策も同じです。
それでもこれだけはやっておかなければならないこと
@ 各パソコンのウイルス(マルウェア)対策
A 社外の方の入退室記録(来客の記録メモ)
B 個人情報保護方針 の掲示(社内 および 外部) ※外部はWEBサイトでも可能
C 個人情報の取り扱いについて の掲示(WEBサイト)
D 記録媒体の取り扱い(USBメモリなどのストレージ)
E 個人情報取り扱い同意書 の準備(記載内容が不足している企業が多いようです)
F 個人情報を取り扱う委託先パートナー企業の管理
プライバシーマークの取得は目的ではなく、トレンタセーイとして個人情報の適切な管理を企業として行うことです。今回、取得に向けての過程を通して、 個人情報保護マネジメントシステム(Personal information protection Management Systems ※PMS)がいかに大事なことが分かりました。
