今回ご紹介するのは、インターネットを通じて、おせち料理の製造・販売に特化したビジネスを展開していらっしゃるナカノモードエンタープライズ様の事例です。
同社からご依頼いただいた内容は、「プライバシーマークを新規取得したい」というものでした。
それだけであれば通常のご依頼と変わらないのですが、このお客様の取り組みにおける目立った特徴として、下記3点が挙げられます。
1. プライバシーマーク新規取得までの猶予はわずか6ヶ月!超短期での取り組みを実現!
2. 社内に情報セキュリティの既存ルール無し!完全にゼロからの社内体制構築!
3. 「完璧」ではなく「業務優先」!運用しやすいルールを作成するコツは!?
それでは、1つずつ見ていきましょう。
1.新規取得までの猶予はわずか6ヶ月!超短期での取り組みを実現!
ナカモードエンタープライズ様の事業が最大の盛り上がりを見せるのは、おせち商戦が本格化する「年末」です。
そこで同社は、繁忙期直前の10月を、プライバシーマーク取得の期限として設定されました。
一方、プライバシーマーク取得を社内で決定されたのが2014年2月。
そこから、コンサルティング会社選定などを経て、実際に当社との取り組みがスタートしたのは同年の4月。
取り組み開始の4月から取得期限の10月まで、実に6ヶ月の猶予しかありません。
当社は、標準的な取得期間を8ヶ月として想定しており、2ヶ月ほど、足が出ている状況でした。
そこで、実際のコンサルティングに際しては「打ち合わせでお互いの役割分担を決める」「持ち帰り事項は1両日中に作業を終わらせる」といった運用を心がけることで、約2ヶ月間の期間短縮を実現できました。
2.社内に情報セキュリティの既存ルール無し!完全にゼロからの社内体制構築!
同社には、毎年、数万件単位でおせち料理の注文が寄せられます。
つまり、毎年末、お客様の個人情報が、数万件ずつ蓄積されていくわけです。
しかし従来は、それらの情報を保存しておく期間や廃棄の方法など、取り扱いのルールが明確に定まっていませんでした。
既に社内ルールが存在するお客様の場合、それらのルールにおける修正箇所の議論等から始めることも出来るのですが、今回に関しては、その土台から作りあげる必要がありました。
そこで、プライバシーマークの取得と合わせて、当社コンサルタントがナカノモードエンタープライズ様の業務内容や業務フロー等を理解することから、コンサルティングを開始しました。
その上で、同社に存在する個人情報の洗い出し、それらの情報がさらされているリスクを明確化するという、プライバシーマークにおける王道とも言える手法に則ることで、同社の社内ルールをゼロから構築することが出来ました。
3.「完璧」ではなく「業務優先」!運用しやすいルールを作成するコツは!?
プライバシーマーク取得にあたっては、様々なリスクに対する備えを「ルール」として明確化していきます。
そして今回においては、完璧なレベルの情報セキュリティを実現するのではなく、何よりも「業務を妨げないこと」を念頭にルール化を行いました。
情報セキュリティを意識した結果、業務が滞ることになってしまっては、それこそが情報セキュリティ上のリスクになりかねません。
そのため、まずは繁忙期をしっかり乗りきれる体制を作り上げ、その後、普段の業務における情報セキュリティレベルも向上させていくというPDCAシナリオを組んだ上での取り組みを行ったため、審査員の方にもご理解を頂けました。
プライバシーマークを取得するためには、情報セキュリティのルール構築が必須であり、既存の業務においては、多かれ少なかれ、これまでに存在しなかった「制約」が発生します。
お客様の業務をなるべく妨げないようなルールを構築し、なおかつ、情報セキュリティのレベルを向上させる・・・。
その両立を実現させることは困難ですが、それこそが当社の信条であり、コンサルタントの腕の見せ所、でもあります。
プライバシーマーク取得にご興味をお持ちのお客様は、ぜひ一度ご相談くださいね。
それでは。