コンピュータソフト開発会社におけるJAPHICマーク取得の意義
(JAPHIC認証事業者:有限会社NCS 代表取締役 長尾 様)
中小のコンピュータソフト開発会社では、大企業からの直接受注が難しく、どうしても大手ソフトウエア開発会社からの2次受け、3次受けの仕事が多くなります。2次受け3次受けでは、上位のソフトウエア開発会社から第3者認証等の信頼性の証明を求められる場合も増えています。
そこでJAPHICマーク取得の意義が出てくるのですが、その点について弊社の体験を踏まえて意義を述べます。
一般的に、個人情報保護の認証制度としては「プライバシーマーク(Pマーク)」が有名ですが、近年、ソフトウェア開発業界、特に中小企業において、JAPHICマークを選択するケースが増えています。
信頼性の証明(対外的な信用力向上)
ソフトウェア開発では、システムテストやデータ移行、保守運用などでクライアントの顧客データ(個人情報)に触れる機会が多々あります。
・受託開発の必須条件: 大手企業や官公庁からの案件を受注する際、「第三者認証の取得」が入札や取引開始の条件(または加点要素)となることが一般的です。弊社でも上位のソフトウエア開発会社から個人情報保護の認証取得有無の問い合わせを受けたことがあります。
・Pマークと同等の効力: JAPHICマークは、Pマークと同じく個人情報保護法に準拠した第三者認証制度です。多くの入札要件において「Pマーク、ISMS、またはそれに準ずる認証」と記載されており、JAPHICマークで要件を満たせることがほとんどです。
コストとリソースの最適化(中小企業への適合性)
ソフトウェア開発業界は数人〜数十人規模の技術者が在籍する開発会社が非常に多い業界です。さらにSES等による外部委託技術者も多い業界です。そのことを勘案すると、中小のソフトウエア開発会社にとって、Pマークは取得・維持のハードルが高いですが、JAPHICマークは取得・維持がより現実的です。
・費用対効果: 取得・更新にかかる審査費用がPマークに比べて安価です。
・業務負荷の軽減: Pマークは「JIS Q 15001」という非常に厳格な規格への適合を求められ、膨大な文書作成や厳密なルール運用が必要です。一方、JAPHICマークは「個人情報保護法」そのものを基準としており、現場の業務実態に合わせた柔軟なルール作りが許容されやすい特徴があります。
セキュリティ意識の底上げと体制構築
開発エンジニアは技術的なセキュリティには詳しいものの、「個人情報の取り扱いルール(法的・管理的側面)」には無頓着な場合があります。
・社内教育の機会: 認証取得プロセスを通じて、エンジニアやスタッフに「個人情報保護法」の基礎知識や、なぜログ管理が必要なのかといった意識を浸透させることができます。
・事故防止: 「テストデータに本番の個人情報をそのまま使ってしまう」「USBメモリでデータを持ち出す」といった、開発現場でありがちなヒューマンエラーを防ぐためのルール(運用体制)を構築できます。
お客様先で個人所有のUSBを落とす、携帯電話をPCに繋げ充電する等の問題が実際に起きています。これらは個人情報が漏えいした事案ではありませんが、多くの会社ではUSB及び携帯電話のPCへの接続などを禁止しています。これらの事案が発生した場合には信用問題になります。エンジニアの方に個人情報の管理の意識を持っていただくことでこれらの問題は回避できます。
マイナンバー制度への対応証明
JAPHICマークは、マイナンバー法(番号法)への対応も審査基準に含まれています。
給与計算システムや人事管理システムなどを開発・運用する場合、または自社従業員のマイナンバー管理において、適切な安全管理措置が講じられていることを客観的に証明できます。
差別化要因としての活用
数あるシステム開発会社の中で、特に小規模な会社の場合、「技術力はあるがセキュリティが不安」と見られがちです。
JAPHICマークを掲示することで、「小規模ながらも、個人情報保護に対して第三者の監査を受け、適切な管理体制を敷いている企業である」というアピールができ、競合他社との差別化につながります。
以上、コンピュータソフト開発会社におけるJAPHICマーク取得の意義について述べました。
コンピュータ開発業界ではSESによる開発も増えてきているため、最後にその注意点を列挙します。
JAPHICマークでは以下のような外部委託(SES等)の管理強化も求められています。
・個人情報を取扱う可能性のある外注先との委託契約
・情報漏えい対策の確認
・アクセス権限の最小化
・リスク評価や定期チェック
以上
有限会社NCS
代表取締役 長尾健一