有限会社ナカノ・モード・エンタープライズ 様 – 顧客事例 –
おせち料理のインターネット販売ではパイオニア的な存在の有限会社ナカノ・モード・エンタープライズは、年々増え続ける顧客の個人情報を守る仕組みを構築するためにプライバシーマーク(以下、Pマーク)を取得しました。取得までの過程とコンサルタントを務めたLRMへの評価などを、インターネット事業部 責任者 上田真人氏に伺いました。
記事index
(株式会社ナカノ・モード・エンタープライズについて)
インターネットを通じて、おせち料理の製造・販売に特化したビジネスを展開。
2000年代前半よりぐるナビ市場、楽天市場などでおせち料理通販『板前魂』をスタート。以来、インターネットを使ったおせち料理販売市場をけん引し続けている。
ぐるナビ市場では2011年まで販売数5年連続1位、楽天市場でも2011年にはランキング1位を獲得。他にもAmazon、Yahoo!ショッピング、ビッダーズなど主たるショッピングモールで、トップクラスの売り上げを誇る。
本社:大阪市。
毎年増え続ける顧客情報を守る仕組みを構築するためにPマークを取得
— 御社がLRMに委託した業務内容を教えてください。
弊社はLRMにPマーク取得コンサルティングを委託しました。取得に向けた作業は2012年4月からスタートし、同年10月1日に審査合格の連絡が来ました。既にホームページにもマークを掲載しています(10末現在)。
弊社を担当したコンサルタントは金山さんです。
金山さんのサポートによって、本格商戦がスタートする前に取得することが出来ました。
— Pマークを取得した理由を教えてください。
弊社がPマークを取得した理由は、年を追うごとに増えるお客様の個人情報を保護する仕組みを構築するためです。
弊社には毎年、数万件単位でおせち料理の注文が入るため、シーズンごとにお客様の個人情報が数万件ずつ蓄積されます。これらの情報はコンピュータの中で保管しています。また、作業指示をするためにお客様の情報をプリントアウトすることもあります。従来は、これらの電子データや紙文書を、どのような方法で、いつまで保存しなければいけないのか、また廃棄するとしたらどのように廃棄して良いのか、といったルールが明確に定まっていませんでした。お客様の個人情報をお預かりする企業として、それらの情報を守る仕組みを構築する責任があると考えました。
その仕組みを構築するための方法として着目したのがPマークです。セミナーに参加し、第三者機関による客観的で公平な評価に基づいたルールが構築できること、それによって対外的なアピールに繋がること、以上2点から、Pマークを取得することにしました。
— 取得までのスケジュールはどのように考えていましたか。
インターネットでのおせち料理商戦が本格化する前の10月中の取得を目標に定めました。
社内でPマーク取得を決定をしたのが2012年2月です。そこから10月の取得実現するために、コンサルタント選びからスタートしました。
LRMの選定理由:IT系の知識の豊富さとコンサルタントの人柄
— コンサルタントはどのような方法で選定しましたか。
弊社が検討したコンサルタント会社は2社です。
まず、Pマークのセミナーに参加した際、一人のコンサルタントを紹介してもらいました。次に、LRMを別ルートから紹介してもらいました。この2社を比較して、LRMを選定しました。
— LRMを選定した理由を教えてください。
LRMのコンサルタントはIT系の知識を持ち、なおかつ親しみ易い人柄だったことが決定要因となりました。即決に近い形で依頼しました。
コンサルタント選定にあたって、弊社が最も重要視していたのは、IT系の知識があることです。LRMには代表者をはじめとするSE出身のコンサルタントが在籍しています。金山さんもその一人です。
弊社はネットに特化している会社です。お客様の情報の多くは電子データとして入ってきて蓄積されます。
そこで電子データの扱い方や、それらのデータが蓄積されるサーバーなどの機器類、ネットワークなどIT分野の知識がある方が望ましいと考えていました。
また、半年という長期間におよぶ取り組みになるため、話がしやすいコンサルタントが良いと考えました。
LRMは代表者も金山さんも、まだ30代で私たちと同世代で、なおかつしかも親しみ易い人柄で、堅苦しさがなかったことが選定の際の1つのポイントになりました。
価格面においても、比較したコンサルタント会社より安価だったためLRMに決めました。
約6か月の短期間での取得が実現
— Pマーク取得までの作業はどんな風に進みましたか。
LRMが最初に示したスケジュールに沿って、短期間で取得することが出来ました。
特に重要だったのは申請までの3か月間の作業です。4月から5月の2か月間で、個人情報のリスク対応策を決め、6月末までに、文書作成から従業員教育、内部監査、マネジメントレビュー、申請まで済ませました。申請までが1つ目のマイルストーンであり、無事にクリアすることが出来てほっとしたポイントでした。
— その3か月間は、コンサルティングはどのように行われたのですか。
1回2時間の打ち合わせを軸に、合間に電話やメールで連絡を取り合いながら進みました。
最も集中して行ったのが、現状把握、個人情報の特定、リスクアセスメントを行い、個人情報を守るための対応策を決めるまでの工程です。2か月間、ほぼ週1回の頻度で一気に進めました。
現状把握というのは、弊社における業務内容、業務フロー、業務システムの状況を整理する作業です。
その上で、弊社にはどのような個人情報があるのか具体的にリストアップしました。そして、それらの情報がどのようなリスクにさらされているかを検討し、対策を決めて行きました。そこで決まったことをベースに、金山さんが内部規定などの文書作成を行いました。
— 文書が出来た時の感想はいかがでしたか。
文書類の多さにびっくりしました。単純に個人情報をリスクから守るための内部規定文書だけではなく、法令台帳や機器類の管理台帳、さらに入退室や施錠管理の記録様式などがありました。
これは自分たちだけでは取得は無理だと実感したところです。
その後、金山さんに作成していただいた教材を使って従業員教育を行い、内部監査、マネジメントレビューまで一気に終わらせることが出来て、6月末の申請に至りました。
— 審査はいかがでしたか。
スムーズに終了しました。
7月末の書類審査の際には、金山さんに文書を作成していただいたおかげで指摘事項はありませんでした。
次の8月末の現地審査は、事前に模擬審査をしてもらったので、不安を持つこともなく取り組めました。
結果としても致命的な指摘はありませんでした。
個人情報を守るための具体策
— コンサルティングの初期段階でリストアップした個人情報にはどのようなものがありましたか。
リストアップしたのは、お客様の注文に伴う個人情報と従業員の履歴書です。
お客様の情報は全てパソコン上で電子データの形で保管しています。業務フロー上、プリントアウトして残すことは基本的にはありませんが、注文内容や配達場所・日時などに変更があった場合のみ、プリントアウトして文書の形で作業現場に指示を出します。その際に出力する紙文書も個人情報として扱います。
— 個人情報を守るための対策とは具体的にはどのようなものですか。
(1)顧客情報の保管期間、廃棄方法
電子データは、社内共有サーバで事業が継続している限り保管します。
紙文書はシーズン終了後の翌年3月に、シュレッダーをかけてまとめて廃棄します。紙文書の中でも機密性の高い文書類は、信頼性の高い機密文書リサイクルサービスを利用して廃棄します。
(2)事務所内へのパーテーション設置
受注処理などを行う事務所内は入口から奥の作業場まで見通せるようになっていましたが、受注処理などを行う作業場の様子が見えないように、事務所内の要所要所をパーテーションで区切りました。
特にパソコンのディスプレイが見えないよう死角を作りました。
(3)文書類の保管方法
これまで机の上に並べていた紙の文書類をキャビネットに保管するようにしました。
(4)アルバイトの私物を作業場に持ち込ませない
事務所の入り口にアルバイト用のロッカーを設置し、入室の際には業務に関係のない私物を全部しまって施錠した上で入室するルールを設けました。
USBなどを使ってパソコンのデータを抜き出されないようにするための処置です。
(5)入退室の記録と施錠管理
弊社の関係者以外の方に対しては、受注処理を行う事務所内を分けて、ある領域以上に立ち入る場合には入退室の記録用紙に記入してもらうようにしました。また施錠記録も取るようにしました。
(6)スタッフごとにパソコン利用状況を記録
受注処理に使うパソコンは複数台あります。
社員、アルバイト関わらず、IDとパスワードを発行し、誰がどのパソコンを使ったのか記録を取るようにしました。
(7)注文管理システムの権限設定
受注管理システムの、アルバイトのアクセス範囲を制限しました。データの抜出が出来る機能へはアクセス出来ないようにしました。
(8)パソコンのディスプレイのスクリーンセーバーとパスワードロック設定
パソコンを使った業務中、離席時など操作を行わず放置した場合に、5分以内にスクリーンセーバーと、IDパスワードロックがかかるよう各パソコンに設定しました。
— これらの対策はどのような方針で立てたのでしょうか。
以上の対策は、個人情報の漏えいなどに繋がるリスクを排除する視点で策定しました。
Pマークの規格であるJIS Q 15001:2006の要求に適合しつつ、金山さんと相談しながら、業務を妨げないよう配慮して決めました。
例えば、文書類を保管するキャビネットは、本来は外部から見えない場所に設置するのが望ましいのですが、そうすると業務が煩雑になる可能性がありました。紙にプリントアウトした文書というのは、注文情報に変更があった場合の指示なので、誤送などの事故が発生すると、それこそが個人情報の漏えいとなります。
そのため金山さんからは、業務を優先しようというアドバイスを頂きました。審査員も同じ判断で、Pマークの規定に振り回されて業務が煩雑になるよりは、出来る範囲でルール化した方が、結果としてリスク回避に繋がるという理由で許容されました。
この他にも、採用の際に預かる従業員たちの履歴書の保管方法なども定めています。
作業は大変でしたが、Pマーク取得の目的通り、個人情報を守る仕組みを構築することが出来ました。
繁忙期を想定した対策のため、本格的な運用はこれからです。この繁忙期を乗り切って、PDCAを回してより良いマネジメントシステムにしていきたいと考えています。
LRMに対する評価
— LRMへのご評価をお願いします。
弊社はLRMに対して、とてもやりやすいコンサルタント会社であると高く評価しています。
選定理由の1つであったIT分野の知識については、金山さんがシステムエンジニア出身のため申し分ありませんでした。例えば現状把握のところでサーバーの状態など口頭で簡単に説明するだけで、すぐに理解してもらえたため話が早かったです。
また、レスポンスの早かったことや、対応の柔軟さも高く評価できる要素です。
打ち合わせでお互いの役割分担を決め、文書の修正など作業を持ち帰った際にも、一両日中には作業を完了して送付して来ました。さらに、リスク対策の検討を行った時期が4月から5月で、11月から12月の繁忙期の状況を思い出しながらの作業となり、現状把握からリスクアセスメントまでの過程が思うように進みませんでしたが、しっかり対応していただけて、遅延なく完了することが出来ました。
スケジュールはかなりタイトで、審査に必要な文書類の多さには困惑しましたが、現状把握から審査まで、金山さんの適切なリードによって安心して作業を進めることが出来ました。
サポートをLRMに依頼して良かったと考えています。
今後のビジョンとLRMへの期待
— 今後のPマーク運用上のビジョンを話しください。
これからの運用が重要だと考えています。今回構築したマネジメントシステムで、繁忙期にどれだけ管理できるかが課題です。今回、一旦マネジメントシステムを構築して目的は達成しましたが、電子データが抱えるリスクはゼロにはならないでしょう。今後の運用を通して、改めてリスクの洗い出しと分析を繰り返して、しっかり対応していきたいと考えています。
— LRMに期待することがございましたら、お話しいただけますでしょうか。
LRMとの今回の契約は取得までですが、個人的には、今後の運用においてもお力を借りる必要は出てくるのではないかと考えています。特に、弊社の事業は短期決戦型です。Pマークの更新も、限られた期間で的確に行う必要があります。社内の稟議は通さなければいけませんが、今後、何等かの課題が出てきた時には、また相談させていただきたいと考えています。
ナカノ・モード・エンタープライズ様、お忙しい中、有り難うございました。
※左端は弊社金山
有限会社ナカノ・モード・エンタープライズの「板前魂」店舗サイト
※ 取材日時 2012年10月