新日本テクトス株式会社様 – 顧客事例 –
新体制への移行を機に長年の課題であったプライバシーマーク(以下、Pマーク)取得に取り組んだ新日本テクトス株式会社。LRMとの最初の打ち合わせで取り組みに対するハードルが下がったと話します。Pマークに対して持っていたイメージや取り組みの経緯、またLRMにコンサルティングを依頼した理由と成果などについて、営業部 部長・鈴木俊哉氏、監理部 課長・加藤紀行氏にお話を伺いました。
記事index
プラント、デジタル情報機器、ネットワーク・サーバーシステム、光回線やモバイル基地局建設など技術系の人材派遣事業を行っている。もともとは発電所や水処理場などプラントの設計・施工の受託事業からスタートした会社である。そこで培った技術力と業界とのネットワークが強みである。社名は「テクニックをトスする」に由来する造語で、その意味の通り技術力をベースに人と人とのつながりを大事にし、持続的な成長を遂げてきた会社である。
設立;1985年10月。本社;東京都千代田区。従業員数;約260名(2018年3月現在)。
LRMにPマーク新規取得コンサルティングを依頼
— LRMにご依頼された業務内容をお話し下さい。
弊社は、LRMにPマークの新規取得コンサルティングを依頼しました。
担当者は吉村さんで、2017年2月にコンサルティングがスタートし、2018年2月にPマークを取得しました。
「Pマーク取得はハードルが高い」と思い込んでいましたが、吉村さんにその思い込みを取り除いていただいたおかげで自信が持てるようになりました。
コンプライアンス対策の一環でPマークを取得
「最初の打ち合わせの時に
Pマーク取得に対する
ハードルが下がりました」
(監理部 課長・加藤紀行氏)
— 御社がPマークを取得した理由を教えて下さい。
弊社がPマークを取得したのは、コンプライアンス対策の一環です。
現在はコンプライアンスが重視され、PマークやISMS/ISO27001(以下、ISMS)認証を取得していて当たり前という時代です。弊社においても、新規取り引きが始まる際の信用調査では必ずISMS認証やPマークの取得状況を問われるため、ISMS認証またはPマークの取得は以前から議論に上がっていました。ただ社内ルールの整備が出来ていなかったため、その状態で取得するのは難しいという思い込みがありました。そのような背景のもとなかなか具体的な動きを取れずにいましたが、2016年に社長が代わって新体制に移行したことがきっかけとなり、Pマーク取得に取り組むこととなりました。
— ISMS認証も視野には入れていたのですか。
はい。ただISMS認証取得はハードルが高すぎると思っていました。
Pマークは保護の対象が個人情報に限定されている分、ISMS認証よりは取りやすいだろうという考えがありました。
— Pマーク取得を決定された時期はいつですか。
2017年1月にPマークを取得することを決定し、営業部と監理部から2名ずつ個人情報保護管理者を選抜して準備をスタートしました。
求めたのは客先目線に立ち親身に向き合ってくれるコンサルティング会社
— Pマーク取得に向けてまず取り組んだことは何ですか。
まず着手したのがコンサルティング会社の選定です。インターネット検索でPマークのコンサルティングサービスを行っている会社を3社ピックアップし、各社の営業担当者とお会いしました。
— コンサルティング会社を選定する上で重視した点をお話し下さい。
我々が求めていたのは客先目線に立てるコンサルティング会社です。営業担当者と話をする中で、顧客のニーズを理解して、それに基づいて対応していただけるかどうかというポイントで評価し、結果的にLRMに依頼しました。
— 正式にご契約される前にコンサルタントとはお会いになりましたか。
いいえ。吉村さんと最初にお会いしたのは契約後、初回の打ち合わせです。
— 契約前に担当者と会わずに決めることにご不安はありませんでしたか。
経験上、営業担当者の話と実際のサービスには多少のギャップがあることは覚悟していました。ただ、営業担当の藤居さんから、コンサルティング方針や過去の事例などを伺う中で、親身に向き合っていただけそうな期待を持つことは出来ました。他の会社からは説得力のある話を聞くことが出来ませんでした。
自社の業務をベースにしたルール構築
「LRMは客先目線に立って
親身に向き合っていただけ
そうな期待が持てました」
(営業部 部長・鈴木俊哉氏)
— LRMのコンサルタントと最初にお会いした時の印象はいかがでしたか。
最初に吉村さんとお会いした時の印象は良かったです。Pマーク取得に対する精神的なハードルを下げていただきました。
当初我々はPマークに対して、ISMSほどではなくてもかなり難しいというイメージを持っていました。何もないところからPマークの規格に基づいたルールを構築して社内に浸透させるという作業は大変そうだし、個人情報の管理方法や業務の手順を細かく決められ、「あれは駄目、これは駄目」と厳しく制限されるのだろうという覚悟はしていました。
しかし最初の打ち合わせで吉村さんがおっしゃったことは、「そんなに難しくはない」「どんな会社でも取得できる」ということでした。「今やっていることを明確にしてきちんと管理していれば大丈夫」といった話を聞いて、我々が思っているような面倒くさいことをする必要はなさそうだという認識を持ち安心しました。
— 実際に取り組んでみていかがでしたか。
吉村さんのおっしゃる通り、現場の業務にインパクトを与えるようなルールは構築しませんでした。
取り組み方針として「自社の業務をベースにしたルールを構築する」ことを掲げてはいましたが、「本当にこれで良いのかな」と思うぐらい現場の変化はありませんでした。
— 御社の場合、どのようなものが個人情報として挙げられるのでしょうか。
Pマーク取得に向けた取り組みでわかったことは、保護の対象として管理すべき個人情報は弊社の場合ほとんどが従業員の雇用に関する情報であることでした。従業員の住所や電話番号、マイナンバー、人事情報や給与明細、健康診断の記録、それに加えて応募者の履歴書や職務経歴書などです。この他にお客様との契約内容にも個人情報がありますが、
雇用関連の情報がメインでした。
個人情報の洗い出しに取り組んでみて意外だったのは、お客様などからいただいた名刺や郵便物の封筒に表記された差出人の住所・氏名が、管理すべき個人情報の対象にはならないということでした。名刺は不特定多数の人々に自ら渡すものですし、封筒の裏側に記載された住所や氏名は弊社に届くまでの間に郵便局員の目に触れています。そのため紛失した場合のリスクを考えてもこれらの情報は厳密な管理を必要としないということでした。
— 統一ルールとして定めたことにはどのようなことがありますか。
例えばクリアスクリーン、クリアデスクの徹底があります。離席時におけるパソコンの手動ロック、スクリーンセーバーのセッティング、机の上の個人情報を第三者の目に触れないよう常に意識することなどです。
これらは、従来も個人レベルでは意識していたことですが、共通ルールとして周知したり確認したりはしていませんでしたので、今回、最低限守るべきルールとして全員に周知しました。
クリアデスクの考え方に関しても、我々が持っていたイメージとは異なっていました。
我々は、職務経歴書や履歴書などの個人情報を扱っている際に離席する場合は、常に机の引き出しにしまって鍵を閉めなければいけないと思っていました。しかし吉村さんから、そこまで厳密に行う必要はなく、意識して目に触れないよう注意することがクリアデスクであるという説明を受けました。それによって大分気持ちが楽になりました。
— 業務手順や管理方法で以前から変更したことはありますか。
キャビネットの鍵の管理方法を変えました。弊社では、紙の資料は担当者ごとに自分のデスクのキャビネットで管理しています。そのキャビネットの鍵を従来は個々に管理していましたが、Pマーク取得を機に設置したキーボックスで一括管理することにしました。また、訪問客にも見える場所に張っていた来客予定表を、社員にしか見えない場所に張り直しました。
変更したことは、以上です。他に業務手順や管理方法で大きく変わったことはありません。
Pマーク取得の取り組み経緯
— Pマーク取得に向けた取り組みはどのように行いましたか。
社内では多い時で週1回のペースで打ち合わせを行いました。LRMとは月に1回の頻度で打ち合わせをしていたので、そこに向けて個人情報を洗い出し、リスクを検討してルールを決めて行きました。そして、そのようにして決めたルールを吉村さんに文書化してもらいました。
— 作業はスムーズに進みましたか。
スムーズに進みました。個人情報の特定ではわからないことが沢山ありましたので、吉村さんには頻繁に質問をしましたが、迅速に対応していただいたため作業が滞ることはありませんでした。
— 従業員教育はどうされましたか。
本社勤務の社員に対しては、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用しました。客先に常駐する派遣スタッフに対しては、常駐先の環境でeラーニングにアクセスすることが難しかったため、同じ教材を紙で配布して一通りテキストに目を通してもらい、テストを受けてもらいました。
教材では、個人情報保護とは何かに加えて個人情報漏えい事故のリスク、その結果どんなことが起きるかといった基礎的な知識を一通り学びました。加えて私たちが作ったルールについては月1回の全体会議で周知しました。
— 内部監査はいかがでしたか。
内部監査は内部監査員を吉村さんに代行してもらって実施しました。半日かけて主にクリアデスク、クリアスクリーンが徹底されているかどうかをチェックしてもらいました。
— Pマーク取得の準備が一通り終わったのはいつ頃ですか。
内部監査やマネジメントレビューを終えたのが8月です。それから11月に申請を行い、12月に現地審査を受審しました。審査結果は軽微な指摘事項だけで済み、2018年2月に無事Pマークを取得しました。
社内統一ルールが明文化され共通意識を持つことが出来た
— Pマーク取得に取り組まれた成果をお話し下さい。
無事にPマークが取得できたこと以外には、統一ルールが明文化され共通認識を持つことが出来たことが1つの成果です。
弊社内は一般に比べてデジタル化がまだ進んでいません。特に応募者の個人情報に関しては今も紙ベースで保管しており、保管方法には統一性がありませんでした。またマイナンバー制度施行後は、マイナンバーの取り扱いも悩みの種となっていました。しかし統一ルールを明文化したことで、何をすべきかが明確になり、安心して業務に取り組めるようになりました。
「ISMS認証取得もやれば出来そうだなという実感が持てました。
今後、必要とされるようなら検討していきたいと考えています」
(右から;加藤氏、鈴木氏)※左は弊社 吉村
LRMがPマーク取得のハードルを下げてくれた
— LRMに依頼して良かったと思うことがあればお話し下さい。
やはりPマーク取得のハードルを下げてくれたことです。
「誰でも取れる」と最初におっしゃっていただけたことで、Pマーク取得の取り組みが大変楽になりました。
また、社内の情報を整理しルールを決めて行く過程で、弊社の情報管理について我々自身が考えているよりもしっかり出来ていたという発見もありました。業務手順や管理方法を大きく変えたことが少ないので、本当にこれで良いのかなと感じることはありましたが、現地審査でも軽微な指摘しか受けませんでしたので、自分たちでハードルを上げていただけだということがわかりました。
今ではISMS認証取得も不可能ではないと思っています。闇雲に取れば良いとは考えていませんが、お客様や従業員、
さらに応募者に対する信用、信頼が積み重なることで弊社の成長がありますので、その中で必要とされることがあればISMS認証取得も検討していきたいと考えています。
自信を持って運用できるようになるまではLRMのサポートが必要
— 今後の課題をお話し下さい。
当面の課題は自分たちだけでPDCAサイクルを回せるようになることです。まだまだ自立してPマークを運用していけるだけの自信はありませんので、Pマーク取得後、PマークやISMSの運用サポート『情報セキュリティ倶楽部』を契約しました。
今回、Pマーク取得に取り組んだことで、統一ルールを明文化して全社的に共通認識を持つことが出来ましたが、どの情報がどういった形で漏えいするか、想像がつきませんし、漏えいした際にどのような対応が取れるか不安もあります。
せめて何回か更新して自分たちで運用できる自信がつくまではLRMのサポートを受けたいと考えています。
新日本テクトス株式会社様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。
※ 新日本テクトス株式会社様の Webサイト
※ 取材日時 2018年6月
![プライバシーマーク(Pマーク)取得支援コンサルティング|LRM株式会社へのお問合せはTEL:[tel_free_consul] / 受付時間 10:00~18:00(平日)](https://www.lrm.jp/privacy-mark/wp-content/themes/lrm_basic/images/cfTel.png)
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/privacy-mark/wp-content/themes/lrm_basic/images/f_tel.png){kind=small}