環境機器株式会社 様 – 顧客事例 –
2012年7月、プライバシーマーク(以下、Pマーク)を取得した環境機器株式会社。2010年11月から個人情報保護管理者としてプロジェクトの推進にあたってきた経営企画室・亀本達也氏に、その経緯と、LRMのコンサルティングに対する評価を伺ってきました。
記事index
(環境機器株式会社について)
防虫・害虫駆除のコンサルティング商社。シロアリ薬剤などの殺虫剤、防虫剤、薬剤を噴霧するためのハードウェアなど、防虫・害虫駆除に関連する商品を仕入れ、販売している。全国に50社程度の同業者があるが、そのうちBtoB市場においてトップクラスのシェアを誇る。その強みは、豊富な知識に基づいたコンサルティング力。
防虫・害虫駆除に関する知識やノウハウを持ったコンサルタントが多数在籍し、顧客が抱える問題を起点に、現地調査を行い解決へ向けた最適な提案を行う。また、大小合わせて年間100回近くのセミナーを全国各地で開催し、防虫・害虫駆除関連の情報提供を行うなど、同業他社とは一線を画した活動で顧客の支持を得る。
創業:1969年 本社:大阪府高槻市 従業員数:35名(2012年8月現在)
ネット事業拡大に伴いPマーク取得が課題に
– 御社がLRMに委託した業務内容を教えてください。
Pマーク取得コンサルティングサービスです。2009年4月に契約しましたが、弊社の事情で取得まで3年かかってしまいましたが、最後まで投げ出さず業務を遂行していただき、感謝しています。
– 現在の亀本様の役割を伺ってよろしいですか。
はい。私が所属する経営企画室は、社長直轄の部門です。
社長の事業構想を形にしていくことが最大のミッションです。事業を立ち上げるために外部と交渉したり、調査したり、企画書を作ったり、さらには営業活動もします。その中で、私個人の役割として特に重要なのは、ITを有効活用した事業の推進です。業務効率を上げるためにいかにITを活用していくか、社内外に提案し、整備していきます。Pマーク取得とこれからの運用も、その周辺に位置する業務として担当しています。
– Pマーク取得が必要になった経緯を教えてください。
弊社は、2007年から主に一般生活者をターゲットとするインターネット通販事業を開始しました。
2009年頃から方向性が定まるにつれ顧客の数が増え、お預かりする個人情報が膨大な件数になってきたため、Pマーク取得が会社の取り組み課題として浮上しました。
Pマーク取得の目的
– 個人情報の取扱いに関連して、業務上の問題か何かが発生していたのですか。
いえ。当時は特に顕在化した問題があったわけではありません。
課題として浮上した背景には、次の2つの要素がありました。
(1)対外的な信用確保
弊社がネット通販事業を開始する以前から、社会的には企業における個人情報漏えいが問題となっていました。ネット通販事業が軌道に乗ってきた段階で、対外的な信用を確保するためには、Pマーク取得が必要だと判断しました。
また、最近になって、Pマークの有無が新規取引に影響を与える機会が増えました。
ネット通販事業に限らず、弊社がこれまで以上にビジネスを拡大するためには、対外的な信用をより高めることが重要となっています。
(2)社内業務のレベルアップ
Pマーク取得の副次的な効果として、社内業務のレベルアップを期待しました。社内の情報資産取り扱いルールに対する従業員の意識を高めることで業務レベルが向上し均質に保てるという期待です。
Pマークを取得する以上は、継続可能で、なおかつ外部に向けても通用するルールを適用する必要があります。社内のみで通用するルールでは、おざなりになってしまう危険があります。外部機関によるPマークを維持するためには、一定以上の厳しいルールを適用しなければいけません。最初は「面倒くさいな」と感じながらも、ルールを意識することで、業務のケアレスミス防止に繋がると期待しています。
万が一事故が起きても、過失のレベルを低く抑えられる効果も期待できます。
(1)対外的な信用確保に関しては、取得そのものが成果ですので、所得できた段階で目的を達することが出来ました。今後は弊社の事業動向に応じて、可用性をいかに維持して行くかが課題となるでしょう。
一方の(2)社内業務のレベルアップに関しては、ルールが完全に社内に浸透するまでには数年は必要だと考えています。それでも、既に成果の一端は現れています。
例えば、盆休みに入る前の大掃除では個人情報を含むドキュメントを適切な手段で廃棄します。機密文書を廃棄業者に引き取りに来てもらうのですが、それまで事務所に置いておくと邪魔になります。従来なら勝手に外に出しているところですが、今回は従業員が個人情報保護管理者である私に確認しに来ました。「もう間もなく引き取りのトラックが来るが、トイレの前に置くと邪魔だから外に出してもいいか」と。この出来事は、個人情報の取扱いに対する意識が向上した証だと考えています。もちろん、この確認に対する私の答えは「NO」でしたが、そのように聞いた従業員自身、「NO」という返事が返ってくることは予期していたようです。
このような確認行為が、意識の定着に繋がるのではないかと考えています。
LRMにコンサルティングを依頼した経緯
– Pマーク取得にあたって、コンサルタントのサポートを必要としたのは何故ですか。
スピードを重視するためです。当初は、自力で取得することも検討し、本を読んで勉強しましたが、その中で自力取得は困難であると判断しました。その一方で、コンサルタントの存在を知り、サポートを受けることにしました。
弊社は事業として防虫・害虫駆除のコンサルティングを行っていますが、様々な業種・職種の方々とビジネスに取り組んでいることもあり、コンサルティングの定義やメリットを把握しています。だからこそ、コンサルタントのサポートを受ける事に抵抗はありませんでした。
取得が終わって改めて思いますが、コンサルタントなしで取得するのは大変です。自力で取る企業もあるようですが、そこで構築される個人情報マネジメントシステムが企業の実態に合わず可用性の低いものになってしまう例が非常に多いようです。ちゃんとしたコンサルタントのサポートがあれば、そのような失敗は回避出来ます。企業にとってちょうど良いルールを策定していただけるのが、コンサルティングの利点であると考えています。
コンサルタント会社の選定にあたっては、弊社のビジネスパートナーにLRMを紹介してもらい、面談をして、LRMの実積と、LRMのコンサルタントである幸松さんの人柄を判断して契約しました。
Pマーク取得プロジェクト停止から再始動までの経緯
– 差支えなければ、Pマーク取得プロジェクトが一旦停止してしまった理由を教えていただけますか。
個人情報保護管理者が専任者ではないため、兼務する仕事が立て込んでくると、Pマーク取得の優先順位が下がってしまうからです。
私は二代目の個人情報保護管理者です。2010年10月に入社して個人情報保護管理者を任ぜられました。
当時、既にプロジェクトはスタートしていましたが、個人情報マネジメントシステムがある程度出来て、従業員教育も一旦終り、内部監査を行う手前ぐらいの段階でプロジェクトが停止していました。
そのような状況で、私に与えられた多くのミッションの中で、Pマーク取得の優先順位は上から2番目ぐらいでした。しかし、2か月後にはその優先順位が6番目ぐらいまでに下がっていました。特にお客様に関わる仕事があるとどうしてもPマーク取得関連は後回しになってしまいます。
私が引き継ぐ以前も、同じような状況だったようです。
– 前任者からの引き継ぎはどのように行われましたか。
まず、11月に社内で私が後任としての初めての引き継ぎの会議をした際、LRMのコンサルタントである幸松さんに参加していただきました。その段階で必要なドキュメント類は8割方出来ていて、プラスして何をしていかなければいけないかというアドバイスを頂きました。それによって頭の中では取得へ向けて、何をしなければいけないかストーリーが大体描けました。だから翌2011年3月までには取得出来るだろうと考えました。
しかし、それが実際にはその通りにはならず、それからさらに1年以上、停止したまま経過してしまいました。自分が1人で行う作業に関しては隙間を見つけて進められるのですが、従業員教育や内部監査など、従業員全体で一斉に行うような取り組みのところで、なかなか日程が取れず、前に進みませんでした。
– そのような状況が動き出したのは、どのようなきっかけだったのでしょうか。
2012年2月、社長からの通達がきっかけです。要するに「優先順位を上げてでも夏までに取得せよ」、という趣旨で、私への口頭での指令とともに、社内日報システムの中での同様の発信がありました。その通達が個人情報保護管理者の私だけではなく、全従業員にとっての最優先事項として意識を一致させるきっかけになりました。私自身も、「本気でやります」「絶対夏までやります」と社内に宣言し、その旨を幸松さんに伝え、再始動しました。
再始動後は、LRMのサポートを受け、取得までスムーズに進行
– 再始動後はどのように進みましたか。
最後まで幸松さんの細かいサポートを受けながら前に進んでいきました。
まず幸松さんに再び弊社にご来社いただき、夏までの取得を目標として、スケジュールを決めました。
最初に行ったことが従業員教育です。教育は一度終わっていましたが、私が引き継いだ時点で大分時間が空いていたので、幸松さんから再度行うようにとご進言いただいていました。そこでまず2月に従業員教育を行いました。
その上で今度は私がLRMのオフィスを訪ね、幸松さんと会いました。そこで幸松さんのスケジュールを押さえて、4月の第一週に来てもらうことにして、その週までに内部監査を終わらせようと決めました。
それによって何が何でも前に進まなければいけない状況を作り込むことで、以降は遅延なくスケジュール通りに進行するようになりました。
3月中に内部監査を行い、4月1週目に内部監査の結果をまとめたドキュメントを幸松さんに見てもらい、さらに何度かメールで幸松さんとやりとりして申請書類の書き方などのアドバイスをいただいて、4月中に申請書類を送付しました。そして、6月1日の審査機関の外部審査を迎えました。
審査機関は、LRMからご紹介いただいた何社かを比較して選びました。
それぞれのメリット、デメリットを教えていただいて、それを参考にしました。
– 外部審査はスムーズに行きましたか。
比較的スムーズに済んだと思います。外部審査だけは、コンサルタントの力を頼れませんので、事前準備はしっかり整えました。文書類は何度も目を通して頭に入れ、問われたら該当する書類を即座に出せるようファイリングもやりなおして、スムーズに進行できるようしっかり準備して当日に臨みました。
その結果、致命的となるような不適合はありませんでした。
勿論、審査結果では軽微な指摘は受けましたが、その結果を幸松さんに報告して、アドバイスされた対処方法に基づいて指摘事項を手直しし、速やかに審査機関に返送しました。
そして7月2日、審査機関から電話で取得が完了した旨通知をいただきました。
LRMのコンサルティングに対する評価
– LRMのコンサルティングをどのように評価しますか。
弊社はLRMのコンサルティングを、主に次の2つの点で、大変高く評価しています。
(1)プロジェクトが停滞しても責任を持って最後まで業務を遂行してくれた
通常半年から1年ぐらいで終わるであろうPマーク取得プロジェクトが、足掛け3年もかかってしまいました。その原因は弊社側にあるにも関わらず、LRMは追加料金を一切とらず、最後まで業務を遂行してくれました。2012年2月の再始動の際、私が引き継いでからすでに1年以上たっていましたので「この契約って、大丈夫なのですか」と聞いたら、幸松さんは「継続の場合は、取得し切るまでやります」と明言されました。
また、それまでも停滞している間も放りっぱなしではなく、定期的に連絡をくれて進捗状況を確認してくれました。そのように時々いただくご連絡に背中を押され、多少でも作業を前に進められるきっかけになりました。
そういった対応は、一般的な経営コンサルタントなどビジネス系のコンサルタントとは、良い意味で異質な印象を受けます。定められた範囲での働きはするけれども、やるべきことをやったら最終的な成果が得られるかどうかはクライアントの取り組み次第であると、結果や成果に対して責任を取らない、というスタンスが、一般的なコンサルタントには多いように感じます。
(2)環境機器の実態に応じた個人情報マネジメントシステムを作成してくれた
同じ情報を扱っていても、組織の規模や形態、性格などによって、出来ることが変わります。
LRMが作成したマネジメントシステムは、Pマークの規格に適合しながらも弊社にとって無理なく運用できるものになりました。
私が個人情報保護管理者を引き継いだ際、LRMの作業によってほぼ出来上がっていたマネジメントシステムの内容を、自分なりに勉強しながら精査しましたが、弊社で運用できない無理なルールは外してある一方、最低限押さえなければいけない要素はしっかりと盛り込まれていました。
「弊社用にテーラリングされたシステム」になっているなと感じました。
Pマークに限らず、コンサルタントにはアタリとハズレがあります。特に上の(2)に関連するハズレの例で良くあるのが、ひな形をそのまま使って社名を変えただけ、というパターンです。テーラリングされていないので、そこで構築したシステムはすぐに形骸化して、後々苦労することになりますが、その時点で文句を言っても、契約は終わっておりなすすべもない、というパターンに陥ります。Pマークに関してもそのような事例は多いと聞きます。LRMとの契約は、そういう意味でも“アタリ”でした。
– コンサルタントのサポートを受けるメリットを実感することはありましたか。
先ほど申し上げた、「テーラリングされたマネジメントシステム」が出来たことがその一例です。
また、プロジェクトが本格的に再始動した2012年2月以降、滞ることなく進行したのは、専門知識に基づくアドバイスがあったからこそだと感じています。
それらに加えて、プロジェクトを推進する上での外圧効果というものも感じました。例えば、あるルールに対して、社内からもう少し緩和出来ないかと言われた場合に、社内の人間関係だと「ダメ」と即答するのが難しいことがあります。しかし、それを一旦コンサルタントに聞いて、その結果「やっぱりダメだった」と回答することで、波風立てずにそのルールを通すことが出来ます。社内だけでやっているとここで止まってしまいますが、「やっぱり幸松さんが言うのだから、これはやらなければ仕方がないな」と、やらなければならない理由づけが出来ます。
このことだけでも、コンサルタントに関わっていただくメリットは大きいと思いました。
今後のビジョン
– Pマークの運用について、今後はどのようなビジョンをお持ちですか。
Pマークの取得からまだ1ケ月弱の現段階なので、これからいかにPDCAを回して行くか、ということぐらいしか言えませんが、運用する中で、徐々に具体的な課題が見えてくるでしょう。目の前のことで言えることは、さっき申し上げたゴミ出しの際の確認など、きっちりやらなければいけないという意識が芽生えたところなので、この状態を継続していければと考えています。
また、事業戦略の側面から申し上げると、弊社は今後、ネットを活用した事業を拡大させる計画なので、それと並行して個人情報保護の取組はますます重要性を帯びてくるでしょう。
その前提に立って、保護対象となる個人情報が少ない今のうちに、個人情報マネジメントシステムの基盤作りと従業員のリテラシー確立に努めたいと考えています。
環境機器株式会社 様、お忙しい中有り難うございました。
環境機器株式会社 様のWebサイト
※ 取材日時 2012年8月