株式会社日本ビジネス開発 様 – 顧客事例 –

Pマークは取得だけではなく、運用が難しいです。 LRMのコンサルのおかげでPDCAを日常的に回せ、更新審査の準備でもあわてる必要がありませんでした。

※本事例での情報セキュリティ俱楽部プランは旧プランでのご提供となっており、現在のプラン内容とは一部異なる場合がございます。現在のプラン内容については、料金・プランページをご確認ください。

株式会社日本ビジネス開発は、2006年8月にPマークを取得し5年にわたって運用し続けて来ました。
LRMは2007年から4年間運用サポートをしてきました。これまでのPマーク運用の経緯と、LRMに対する評価を現Pマーク推進担当者である経営管理本部 内部監査部 課長代理 酒本猛氏(右)と、前任者である人事総務本部 人事教育部 課長代理 山本謙太郎氏(中)に伺いました。

(株式会社日本ビジネス開発について)
株式会社日本ビジネス開発(本社=大阪)は、システム開発をメインとするITソリューションサービスを提供する会社である。
製造・流通・サービス・情報通信といった幅広い産業分野の大手企業を顧客とし、システム設計・開発・保守を請け負っている。
設立:1979年 社員数:213名 事業拠点:大阪・東京(池袋、秋葉原)・横浜・名古屋

2006年、個人情報保護法の施行を背景にPマーク取得

日本ビジネス開発様のホームページ

日本ビジネス開発様の
ホームページ

– 御社がPマークを取得した理由を教えてください。

弊社がプライバシーマーク(以降Pマーク)を取得した理由は、社会的な責任を果たすためです。
2000年ごろから個人情報保護に対する社会的な関心が高まり、2006年に個人情報保護法が施行されました。
そのような社会的な背景があり、弊社内でも取得に向け活発な意見を交わし、2006年の取得に至りました。
以降、2008年、2010年と2回の更新を終えています。

– Pマーク運用の社内体制を教えて下さい。

経営管理本部の中にPマーク事務局を設けて、運用しています。
事務局の体制は、社長をトップとし、個人情報保護の責任者と教育・監査の責任者を配置し、実務担当者(現任:酒本氏、前任:山本氏)が全体を牽引しています。

以上の推進体制をベースとし、取得後から2010年3月まで約4年間に渡りLRMとコンサルティング契約を結び、サポートを受けながら運用を続けてきました。

情報漏えいの可能性はゼロにはならない

Pマークは取得後も、社内に浸透させることが重要です

Pマークは取得後も社内に
浸透させることが重要です
(内部監査部 課長代理
酒本 猛氏)

– 御社においてPマークを維持し続けるメリットは何ですか?

情報の漏えい、棄損などの事故事件の発生リスクから会社を守ることです。

弊社の事業の特色上、個々の社員に情報セキュリティの意識・行動は身についています。なぜなら、顧客から非常に高いレベルの要求があるためです。会社として機密保持契約を結ぶ他に、個人個人で誓約書を交わさせられる場合もあります。
それでも情報漏えいの可能性はゼロにはなりません。何らかの過失で顧客の情報が漏えいするようなことがあれば、事業継続が困難になる可能性もあります。
そこで、社員一人ひとりが顧客からお預かりする情報を含めた社内の情報資産を守ることの重要性を認識するとともに、社内の統一ルールを定め、それに従って行動することが必要です。

Pマークでは、個人情報保護マネジメントシステムを構築してルールを明文化し、PDCAを回しながら改善し続けることが要求されています。
また、全社員への個人情報保護に関する年1回以上の教育が義務付けられています。
Pマークは、これらの規定に沿わなければ維持することはできません。このような強制力が働くことで、定期的にリスクや運用状況を見直して改善するというサイクルが生まれます。
そこにPマークを維持する意義があると考えています。

– 教育というのは具体的にどのようなことをしているのでしょうか。

まず、新入社員の入社時に、個人情報保護とは何か、個人情報保護法が制定された背景の説明、プライバシーマーク制度の概略といった基本的な知識を身につけてもらいます。
その上で、弊社では個人情報保護に限定するのではなくJBD社員として就業時間中、または会社の中での過ごし方に関するルールを設け、その浸透を図っています。

– 具体的にはどのようなルールですか?

弊社社員としての就業時間中における行動の仕方です。
個人情報保護に限定せず、オフィスでの日常レベルにまで範囲を広げ、入退室時の手続き・メールの送受信・社内サーバーへのアクセス方法・作業スペースの整理整頓・ドキュメント類やPCの保管方法、メモの破棄方法などを細かく規定しています。このルールを守っていればおのずと個人情報を守ることが出来るという考え方で構築しています。

問題が発生した時に専門家に相談できる状況が安心

専門家の言葉には、素人とは違う説得力があります

専門家の言葉には、素人とは違う説得力があります
(人事教育部 課長代理
山本 謙太郎氏)

– LRMによる運用サポートを4年間に渡って受けたとのことですが、運用において外部コンサルタントのサポートを必要としたのは何故ですか?

Pマークは取得後の維持・運用が重要だからです。
弊社の場合は、Pマークの取得自体はスムーズに行きました。
しかも、内容もしっかりしたものが構築出来ていました。
実は、取得までは社内にPマークに精通したスタッフが在籍していましたが、取得後に退職した経緯がありました。

Pマークは、先ほど申し上げた通り、取得するだけではなく、取得後いかに継続していくかが重要です。PDCAを回しながら、リスクやリスク対応を見直し、改善していかなければなりません。法令改正や社会状況の変化への対応も必要です。

弊社のような業種に携わっていれば、個人情報の取扱いについての知識は多少なりともありますが、十分な専門知識はありません。
日常業務の中でのPDCAの回し方、毎年行う内部監査や社内教育、2年ごとの更新などを自社で安定的に出来るようになるまでは、経験豊富で沢山の事例を持つ専門家のサポートが必要です。

日常の運用で何らかの問題が発生した際に、専門家にすぐ相談出来る状況はとても安心です。

日常的にPDCAを回すサイクルが生まれ安定運用につながった

– LRMによる運用サポートとは、具体的にはどのような内容ですか。

運用上の問題があった際に、相談をして改善のためのアドバイスをいただくということがサポートの軸でした。 2か月に1回ぐらいの頻度でご来社いただき、その時々の問題をLRMのコンサルタントと一緒に検討し、改善策のアドバイスをいただきました。
特に他社で発生した事故事例を検証して、弊社の実情と照らし合わせて弊社に不足している要素を洗い出すといった作業もありました。

また、内部監査のノウハウを教えてもらいました。
初年度は、全国の営業拠点を弊社担当者とLRMのコンサルタントとで訪問し、運用状況をヒアリングによって把握し改善策を検討しました。
2年目以降は社内担当者に引き継いでいきました。
さらに新卒採用者への教育講師を依頼したこともあります。実務経験のない未経験者に対する教育においては、専門家からのレクチャーが必要だと判断したためです。要領を得た話をしてもらえたため、浸透も早く期待以上の効果でした。

– LRMのサポートによってどのような成果がありましたか。

大きな成果は次の2つです。

(1)情報セキュリティに関する社内の意思決定が迅速に行われた

外部の視点を取り入れることは非常に重要

「外部の視点を取り入れることは非常に重要」

社内のイチ担当者が、日常業務の傍ら必至で勉強しながら下した判断と、豊富な経験・知識を持った専門家が下した判断では、説得力が違います。LRMの指摘だと言えば役員に納得してもらえたという例はたくさんありました。
例えば、USBメモリの原則使用禁止ルール。企業や官公庁でUSBメモリを介して情報が漏えいする事故が相次いだ際に、弊社におけるUSBメモリーの扱いによるリスクを検討しました。

様々な事例から、USBメモリのリスクの高さや管理の難しさを実感している専門家の意見を聞いて、結果的に原則使用禁止という決定を下しました。社内の人間だけで判断すれば、甘い判断になり、未だに無制限で使用していたかも知れません。
このような決定を迅速に行い、社内に浸透させるためには「信用できる専門家からの指摘」という前提が有効に働きました。

(2)日常的にPDCAを回すサイクルが出来たことにより安定した運用が出来るようになった

LRMのサポートによって日常的にPDCAを回すサイクルが出来ました。
そのため、更新審査では事前準備に慌てることはありませんでした。
普段やっていることを確認することで審査を終えることが出来ました。
それは内部監査がしっかり出来ていた、ということでもあります。
内部監査は形式上で済ませることも可能かも知れませんが、緻密に課題を抽出してしっかり対策し、さらに日常的にPDCAを回すというサイクルが出来ていれば、2年に一度の更新がスムーズに行きます。 更新がスムーズに行くということは、運用がしっかり出来ているということです。
それは、LRMと密度の濃いコミュニケーションが取れていたからだと考えています。

選定理由は豊富な経験と柔軟な姿勢

– それではPマーク運用のコンサルタントに、LRMを選定した理由を教えて下さい。

経験の豊富さと、柔軟な姿勢です。

(1)経験の豊富さ

LRMは、それまでに30社ほどの企業に対してPマークの取得や運用をサポートしてきた実績を持っていました。そのため豊富な事例を知っていることに加え、企業の内情を観察する能力に長けています。そして、それぞれの企業に応じてどのようなケースを当てはめていくかを的確に判断することが出来ます。

(2)柔軟な姿勢

また、コンサルティングの姿勢は非常に柔軟です。ある課題があってそれを解決しなければならない時、社内の状況によっては完璧な対応が出来ないことがあります。
そのような内情を考慮しつつ、一歩でも解決に近づくための改善策を提案してくれる。そのような柔軟性を持っています。

このような点を評価して選定しました。

経験の豊富さ・柔軟な姿勢を評価し、選定致しました。

企業の実情に即した実現可能な解決策を提示

– それでは、LRMのサポートに対する評価を教えてください。

最も評価する部分は親身な対応です。
原則的にはこうだからこうすべきという「べき論」ではなく、企業の実情に即した視点を持ち、実現可能な解決策を提示してくれます。私たちが気付かないことに対する注意力・観察力・改善策の指摘をしながら、弊社の対応可能な範囲を視野に入れたアドバイスをしてくれました。そのため、出来ていないことも含めて全てさらけ出すことが出来ます。原則論が多いタイプのコンサルタントであれば、敷居が高くなってそのような関係は築けません。
LRMだったからこそ、積極的な姿勢で課題を抽出して解決に動くことが出来ました。

その積み重ねによって、自社運用が出来る段階まで到達したため、Pマークの運用に関しては契約満了とさせていただきました。しかし、それ以降も必要に応じて情報セキュリティに関連する相談をさせていただいています。

今後のビジョンとLRMへの期待

– 今後のビジョンとLRMに対する期待をお話し下さい。

弊社の事業継続・発展に向けて、Pマークの運用は、今後ますます重要になると思われます。
Pマークにとどまらない、ISMSの観点での社内情報セキュティ体制の拡充も視野にあります。
その中でLRMは、今後も頼りになる存在であることに変わりはありません。
次のステップアップを迎える際にも、LRMのアドバイス・サポートを求めて行きたいと思っています。

日本ビジネス開発の皆様、お忙しい中、有り難うございました。

株式会社日本ビジネス開発 様のWebサイト
※ 取材日時 2011年8月

情報セキュリティ倶楽部に関するお問い合わせ・無料相談

ISMSやPマークの運用サポートについて、何でもお気軽にご相談ください。
各サポートコースの月額費用は訪問回数によって変わってきますが、
カスタマイズした個別のサポート内容のご提案も可能です。
まずはコンサルタントが直接、現状の課題・お悩みをヒアリングさせていただきます。

お問い合わせフォームはこちらから