システム開発会社とは?
システム開発会社は、自社のオフィス内で顧客企業から受託されたシステム開発を行う会社と、エンジニアやプログラマが顧客先のオフィスに常駐してシステム開発を行う会社、大きく分けてその2種類に大別されます。
客先常駐を行うシステム開発会社は後者に当たります。
客先常駐を行う場合、基本的に顧客先の情報を持ち出すことは無いため、情報漏えい等のリスクを抑えることができます。
客先常駐を行うシステム開発会社が保有する個人情報
一般に「個人情報」とは、「個人を識別できる情報」と法律などで定義されています。
客先常駐を行うシステム開発会社が保有する個人情報は、その会社が取り扱う「個人を識別できる情報」すべてが該当します。
その中で、主に取り扱うことになるのは、自社従業員の個人情報です。
氏名、住所、年齢、生年月日、性別、電話番号、顔写真、社員番号、所属部署、役職、雇用形態、社員用メールアドレスなど…
上記の他にも、面接時に取り扱った履歴書や、常駐している会社との取引情報などに名前や連絡先が含まれている場合、それらも個人情報になります。
ただ、前項で述べた通り、客先常駐の場合、顧客先の機密情報を基本的に持ち帰らないため、そもそも漏えいし得る情報が少ない、というのが大きな特徴であると言えます。
特に気をつけるべき個人情報漏えい・流出リスク
客先常駐を行うシステム開発会社において、特に気をつけるべき個人情報漏えい・流出リスクは次の2つです。
1つ目は、常駐先となる会社において、従業員が面接・面談をする場合のリスクです。
履歴書などを顧客先企業に持参して面談を受ける場合などは、従業員の個人情報を自社内から外へ持ち出すことになり、漏えい等のリスクが高くなります。
2つ目は、従業員が常駐している顧客先の個人情報を知り得た場合のリスクです。
自社の有する個人情報には当たりませんが、常駐している顧客先の機密情報を第三者に話したり、情報の不適切な取扱により、常駐している顧客先の個人情報漏えい・流出に繋がってしまったりする場合があります。
上記2つのリスクはもちろんですが、その他、自社内で起こりうる漏えい等のリスクは具体的に以下のような例が挙げられます。
- プロジェクトファイルや重要データに対するアクセス制御が実施されてない
- デスク上に個人情報や機密情報が記載された書類等が散乱している
- 各従業員が使用するPCにおけるローカルファイルが整理されていない
- 顧客先の情報を意図せず持ち帰ってしまう
これらのリスクを社内で発生させないために、必要な対策を実施することが重要です。
PMS構築や審査においてチェックしたいポイント
客先常駐を行うシステム開発会社でPマークを取得・運用する際は、客先常駐という特殊な業務形態を考慮して、次のような点に気をつける必要があります。
- 従業員に対し、顧客先における情報管理のルール遵守を徹底するよう言い含める
- Pマーク取得・運用時には全従業員に個人情報保護の社内研修を実施する必要があるため、どのような形態で実施するか検討する
定期的に、全社員で集まる機会がある場合は、その場で集合研修を実施することも考えられます。
あまり社員が揃う機会が無い場合は、eラーニングなども有効です。その場合、そもそも顧客先にはPCやスマートフォンを持ち込めない場合があるので、どのタイミングで受講するか、指定する必要があるでしょう。
システム開発を行う企業が、顧客先からPマークなどの第三者認証取得を求められることは、もはや当たり前になりつつあります。
しかし、Pマーク取得によって、日常業務に不合理な制約が生じては本末転倒です。そのため自社の状況に合ったPマーク運用体制を構築することが重要です。