プライバシーマークにおける名刺の取り扱い方法

プライバシーマーク取得企業は名刺を交換するときに何かする必要があるのか？

名刺交換は、対面かつこれからの関係性を築いていくという互いの認識があるので、利用目的を本人へ伝える必要も同意をとる必要もありません。

Pマーク上、名刺はどのようにして取り扱うべきか？

まず決めないといけないのは、会社として名刺を管理するかどうかです。個人で管理を任せる場合と会社として管理する場合でリスクが変わるので、それに伴い必要なルールを作成します。

個人で管理を任せる場合

• 紛失や盗難などが起きないように、施錠管理やシュレッダーによる廃棄を行う、自宅へ持ち帰ることを良しとするか等のルールを設定する
• 名刺管理ツールやアプリの使用可否を決める
• 退職時については「回収し会社側で廃棄する」等のルールを決め、自社業務以外の理由で利用されることがないようする

会社として管理する場合

• 回収、保管、廃棄のルールを定める
  • 一括して管理する場合、だれが作業を行うのか(名刺を受け取った本人が作業するのか、担当者を決めてその人が作業するのか等)
  • 電子データで管理する場合、原本は保管するのか、廃棄するのか
  • 廃棄する場合は、廃棄方法を決定する（シュレッダーや熔解等）
• ツールを使用する場合はツールの選定、アカウント管理を適正に行う

ダメな取り扱い方法

ダメな取扱い方法としては、社内外含め、関係のない人が名刺の情報を取得できる状態になっていることです。例として、以下の様な状態が考えられます。

机の上に放置

• 関係のない従業員が閲覧してしまう可能性があります。
• 誤って廃棄、紛失の恐れがあります。

必要のない場面での社外での持ち出し

• 持ち歩くことで、紛失の恐れがあります。

ツールやアプリで管理しているが、閲覧権限が設定されておらず誰でも閲覧可能になっている

• 関係のない従業員が閲覧してしまう可能性があります。

上記のような状態にならないよう、取り扱いのルールを設定しましょう。

取り扱いルール例

• 名刺を交換した際は、社内のルールに従って保管・管理をする。
• ツールやアプリで一括管理している場合は、閲覧権限を設定する。

サービス・ツールでの名刺管理はPマーク上OK？

Pマークでは委託先の適切な監督を求められていますので、以下の手順を踏む必要があります。

1. 選定するための基準を確立する
   • こちらを判断するにあたって、一つの基準となるのがPマークもしくはISMSなどの個人情報や情報資産の適切な取扱いに関する第三者認証を取得しているかになります。
   • 第三者認証を取得していない場合、利用規約やセキュリティ方針等を見て、個人情報の管理が適切に行われているかを判断しましょう。
2. 基準には自社と同等以上の保護水準であることを客観的に確認できること
3. 委託する場合には基準を満たしている者を選定する

そして、委託先選定後は、秘密保持契約の締結や委託先のセキュリティ体制がしっかりしているか、個人情報を取り扱うにあたっての安全管理が行われているかをチェックしましょう。

名刺管理サービス毎のISMS/Pマークの取得状況

サービス名	運営会社	取得状況
Wantedly People	Wantedly	ISMSあり
Sansan	株式会社Sansan	Pマークあり
Eight	株式会社Sansan	Pマークあり
連絡とれるくん	株式会社Phone Appli	Pマーク、ISMSあり
Knowledge Suite	ナレッジスイート株式会社	Pマークあり
CAMCARD	INTSIGInformationCorporation	なし

サービス・ツールを利用しない場合のおすすめの名刺取り扱い方法

サービス・ツールを利用せずに名刺管理を行う場合には、下記の方法がおすすめです。

個人で管理する

• 個人で管理を任せる場合、下記のようなルールを決める。
  • 個人のキャビネット等での保管を徹底させる。
  • 定期的に必要な情報であるかを見直し整理する。
  • 廃棄する場合はシュレッダーで廃棄する。

スキャン・写真で電子データ化し管理する

• 電子データ化した場合、紙の原本は紛失の原因となってしまうのでシュレッダーで廃棄を行う。
• boxなどのクラウドストレージサービスや社内サーバにて共有。
• 社内でのみ閲覧できるようにする。

最後に、Pマーク取得に際して、はじめの検討段階から審査当日までの一連の流れを21項目のTodoリストにいたしました。ぜひ無料でDLして貴社の取得にお役立てください。