DL資料請求

企業が“個人情報保護”を強く意識しはじめた転換点──それはマイナンバー制度だった

お知らせ 頼れるパートナー紹介

株式会社ティアーズコンピュータ 代表取締役 寺内様

 

「マイナンバーを漏洩すると懲罰があるらしい」と知ったのは、マイナンバーが始まる直前。「そんな厄介なナンバー、扱いたくない」というのが本音でしたが、社会保険や納税などでマイナンバーを使わなければならず、しぶしぶ従業員に提出してもらいました。そして、漏洩して問題にならぬよう、金庫の一番奥深くへしまいました。個人情報を意識したのは、マイナンバーからでした。

開発のプロでも個人情報保護のプロとは限らないソフトウェア開発と“法令遵守力”のギャップ

 

ソフトウェア開発を事業としている当社では、情報の取り扱いはプロであると思い込んでいました。

しかし冷静に適切な管理を行っているかと言えば心許ない状況です。もちろん顧客から預かった情報は厳重に管理していましたが根拠がなく、社員に対しても情報管理はしっかりするように声がけ程度しかできていませんでした。

 

そんなときに意識し始めた個人情報です。何らかの規約を作り、全社的な管理が必要ではないかと気づき専門家に相談しました。そしてお勧めしていただいたのがJAPHIC(ジャフィック)マークです。(ティアーズコンピュータ様が取得されたのは2018年、既に7回目の更新審査を受けてこられています!by事務局)

「問題が起きてもないことにお金をかけたくない」という本音

 

問題が起きてもないことにお金をかけたくないというのが本音です。できればリーズナブルに取得したいという想いが強く、専門家もJAPHICマークを提案してくださいました。感覚だけの情報管理しかしてこなかった当社にとって、まずは認証を受けられるレベルになるために、JAPHICマーク取得までの支援を専門家に依頼しました。

 

当社は情報を扱うソフトウェア会社で、情報の取り扱いは慣れているし、余裕で認証を受けられると思っていました。それは妄想であり、専門家の支援が始まると当社のあまりにもひどい情報管理が浮き彫りになりました。このような状態では簡単に事故が起きると分かると、冷や汗が噴き出ます。情報産業に籍を置く当社としては、情報事故を起こすことは命取り。情報の取り扱いにずさんな会社に(ずさんと思っていなかった)、仕事を依頼するような顧客はおりません。事故が起きる前にJAPHICマークを取得し、情報管理を学べたことが幸いでした。

  JAPHICマークの取得は簡単で、Pマークの取得は難しい??

 

JAPHICマークの取得は簡単で、Pマークの取得は難しいと聞きます。どのような認証であっても、コンサルタントに任せれば簡単に認証を受けることができるはずです。簡単にするのか難しくするのかは運営する企業次第だと感じます。JAPHICマークやPマークは魔除けではなく、取得後からが重要な本番となります。そう考えると決してJAPHICが劣るというわけではありません。コスト面だけに着目すれば、無理をせずに取得できるJAPHICマークを選ぶといいでしょう。

 

認証を受けてから運用を開始すると、ボロがたくさん出てきます。自社のスタイルに合わせた規約や運用を行わないと、運用しにくい点や無駄な点に気付きます。当社では、運用開始当初は毎月個人情報管理会議という議論の場を設け、不具合の洗い出しや不具合の改善策、改善期限などを話し合いました。社員たちも巻き込んで、情報を守る当社の姿勢が徐々に浸透しました。そして毎年のJAPHICマークの審査では審査員に相談し、自社に合った個人情報の保護システムを構築することができました。

  従業員を疑う体制ではなく、同じ方向を向くための体制

 

個人情報も企業情報も漏洩してはならないという点では一緒です。経営者だけががんばるのではなく、預かった情報は絶対に漏らさない文化を作り、社員が意識する必要があると思います。就業規則にも情報漏洩の罰則を明記し、社員には守秘義務を求める契約を行いました。身内である社員に対してやり過ぎではないかと思われますが、全社をあげて守るべき課題を確認するきっかけになりますので、決して社員を疑うようなことではありません。

 

普段から情報の保全について、経営側、管理者から社員、部下に対して語る必要があると思います。常に意識することが情報を守ることにつながります。

 

昔、上司から電車の中や飲食店で、取引先の名前を言ってはいけないと指導されました。確かに第三者に会話を聞かれるため、情報の漏洩となります。しかし近年は電車や空港、カフェなどでパソコンに集中するビジネスマン、ビジネスウーマンを見かけます。移動時間の有効活用は素晴らしいことですが、第三者に情報が見られる可能性があるということを理解しなければいけません。漏洩の可能性があることは行わないという考えで、当社では社外への情報持ち出しは基本的に禁止しています。 

次のステップとしてのISO27001

 

JAPHICマーク、Pマークは個人情報保護マネジメントシステムの認証ですが、ISO27001は全ての情報を適切に扱うことを求められるものです。当社では次のステップとして、ISO27001の取得を視野に入れています。認証をただの勲章にすることなく、適切に管理している証として、顧客に安心していただく証としたいと思っています。(TBCSグループはISO、Pマーク取得支援をしております。ステップアップサポートもムダなく体制のレベルアップを図れます!by事務局)

 

JAPHICマークを取得し、運用を続けていて感じたことは、情報管理には終わりがないということです。日々の改善があり、さらに審査員による指摘を改善することで、自社の実情に合った情報管理が実現できるのではないだろうかと考えます。まだ情報の保護に対して対応できていない会社は、ぜひJAPHICマークから取り組むのはいかがでしょうか。認証の所得と運用の経験者として、得られたことの多さから、皆さんにお勧めしたい認証です。

 

ティアーズコンピュータ

代表取締役 寺内 靖 

03-3294-5415 [営業時間]10:00〜18:00 土日祝休み
お問い合せ