サービスのご案内

TOP > サービスのご案内 > 普及広報 > 付与事業者の取組事例 > 【講演レポート】株式会社協同プレス

【講演レポート】株式会社協同プレス

2022年11月29日開催した「新規申請を目指す事業者のためのプライバシーマークセミナー2022 事例紹介編」でお話いただいた内容をまとめました。

会社概要

 株式会社協同プレス
株式会社協同プレスロゴ
  • 所在地:岡山県岡山市南区新保101-20
  • 設立:2002年6月3日
  • 従業者数:81名
  • 主な事業:DTP組版、印刷、梱包、発送、グッズ制作・通信販売、OEM・ノベルティグッズ販売、WEB制作・マーケティング、動画制作 など
  •  プライバシーマーク取得:2022年4月
    • 登録番号: 24000462(01)
  •  登壇者:製造部 松尾 浩史様(個人情報保護管理者)

講演レポート

プライバシーマーク取得の目的

弊社は印刷業の中でも主に紙面データの制作を基幹事業としており、業界的にDTP、プリプレス、製版会社という位置づけに近い会社になります。その他にグッズ制作、自社ブランド製品のネット通販、WEB制作、動画制作などの事業も展開しています。
 
そんな弊社がプライバシーマークの取得を決めた主な理由が3点あります。
まず、高いセキュリティ要件を求められる受注業務において、お客様からマネジメントシステムに沿って運用してほしいという要請があったこと。誰から見ても安全安心な運用をしてほしいという要請であると認識しています。
続いて、ネット通販が軌道に乗ってきたことで、個人情報の取り扱いが増加したこと。
最後に新規受注の拡大を目指す上で第三者認証があれば拡販しやすくなるのではないかということ。
こうした背景を踏まえ総合的に検討した結果、プライバシーマークの取得が弊社にとって必要なのではないかという結論に至りました。

個人情報保護体制

個人情報保護体制図
個人情報保護マネジメントシステム(PMS)を構築・運用する上で通常は外部のコンサルタント会社を利用することも多いと聞いておりますが、運用するのは自分たち自身であることを踏まえ、コンサルタントに頼らず取得を目指すことにしました。そこで取得までに取った体制がこの図のとおりです。トップマネジメントの下に、個人情報保護管理者と監査責任者、さらに事務局、システム管理者、部門管理者がいる体制です。
規程などPMSの基盤はこのプロジェクトメンバー5名(図の青枠内)で構築していきました。
 
また、PMS運営の責任者である個人情報保護管理者は現在に至るまで前任者と現任者である私の2名が担当しておりますが、その人選は次のような理由によるものでした。
まず、プロジェクト発足から取得までの期間を担当したのが前任のシステム管理室所属長です。ネットワーク系のデジタル設備・環境に精通しており、セキュリティ知識も豊富なので取得までの基盤整備を円滑に進めやすいことから選定しました。
 
続いて、取得後に担当を引き継いだのが、製造部門の管理者である私です。個人情報の取り扱いを含む受託業務の運用やセキュリティ監査なども担当しており、顧客の個人情報を直接取り扱う現場の意見を適切にPMSの規程や運用に展開できるということで選定されました。
 

申請までのスケジュール

スケジュール

取組み開始から取得までのスケジュールについてご説明します。
コンサルタントを利用しないということで、多少時間はかかる想定は持っておりました。当初の計画と実際のスケジュールはこちらのとおりです。
プロジェクト発足から規程などの基盤を整備し運用開始までが約1年。ここまでは予定通り進んでいきましたが、そこから内部監査実施、マネジメントレビュー、審査申請、現地審査、取得の段階では計画から少しずつ遅れていき、当初の計画に対して申請は21ヶ月遅れ、取得は24ヶ月、2年遅れという結果になりました。
こちらを見ると取得を検討されている事業者様は驚かれるかもしれませんが、遅れが発生したのには様々な要因や理由がありますので、そちらについてはこの後ご説明いたします。

取得に向けた取り組みの中での課題と対応方法

規程の整備・理解

規程については、弊社の親会社が既にプライバシーマークを取得しておりましたので、親会社の規程をベースに整備していきました。当初は親会社の規程があれば簡単に取得できるという楽観視も多少ありましたが、そうはうまくはいきませんでした。
そもそもJIS規格に関する知識がない中で、親会社の規程を見てもJIS規格の要求事項にどのように適応できているのかがわからないという状況でした。
また、弊社は紙面データ作成を主な事業としておりますが、印刷まで行っている親会社の方が事業領域が広く、規程や体制もそれをカバーする広範囲なものでしたので、そのまま流用することはできないこともわかりました。

そこで、まずはJIS規格への適応と規程を作る上で外してはいけないポイントを自分たちでも把握するために、規程のサンプルなどが同梱されている参考書を購入しました。また、弊社には元々セキュリティ規程もありましたので、これから整備するPMS規程と統廃合することにしました。

ただ、結局規程を何かで補うにも、統廃合するにも、JISの要求事項の理解ができていないため、解釈の正解は社内では誰もわからない状態でした。その対処法として、まずはプロジェクトメンバーでJISの要求事項や規程のサンプルの読み合わせを実際に声に出して音読しました。さらに積極的にセミナーを受講したり、プライバシーマークを取得している親会社・協力会社にヒアリングしたりと、まずは理解を深めることに注力することからはじめ、規程の整備を進めていきました。

社員への浸透

PMSを社内へ浸透させることには苦労しました。未だに苦労しているところでもあります。規程を整備して、いざPMS運用開始となったときに、社員からは「今までと何が違うの?」「何をすればいいの?」「規程はどこにあるの?」といった声が上がってきました。

そこでとった対処法が「毎月教育」と「規程のWEB化」です。
教育については毎月PMS委員会という場を設け、まずは個人情報保護管理者から所属長へ、さらに所属長から部門メンバーへ、規程の読み合わせを行いました。こんな規程があるということを少しでも頭に入れてもらうことが目的です。
規程のWEB化については社内のイントラネットを活用し、システムに精通したPMS事務局の社員にその知見を活かして規程やマニュアルなどをいつでも閲覧できるようなサイトを作ってもらいました。

この2つの対処により、まずはなんとなくこんな規程があったなと記憶するところから、はっきり覚えてないから確認しようというアクションまでを社員一人ひとりが行えるように基盤を整備しました。

PDCAを回す
PMSではPDCAサイクルを自主的に運用することが求められていますが、マネジメントシステムを運用すること自体が初めてでしたので、個人情報を取り扱う上で何がPで何がDなのか、という基本がわかっていませんでした。
そこで整備した規程や様式、それらの実施時期や実施者をPDCAに当てはめた、このような図を作成し社員への周知を行いました。
例えば、図のP(計画)の部分、一番上に「年間運用管理表(4月)」と青字で書いてありますが、これは「年間運用管理表は4月に個人情報保護管理者が作成する」という意味です。このように「いつ、誰が、何を」しなければいけないかをわかりやすくしました。
 
取得までのスケジュール管理

先程申し上げたスケジュールの遅れに繋がった要因は大きく3つあります。

まず1つ目、多くの事業者様が同様の課題を抱えられているのではないかと思いますが、プロジェクトメンバーが兼務体制になるという点です。全員本来の業務を抱えていますので、どうしてもそちらを優先してしまい、PMSの課題解決が後回しになっていきました。
そこでとった対処法は、当たり前のことではありますが、課題に期限を設け毎月進捗を発表するようにしました。イントラネットにTO DOリストを公開しそこでタスク管理をしていましたが、なかなかこれだけでは動けないということで、PMS委員会の分科会である「PMS作業部会」をプロジェクトメンバーで毎月開催しTO DOリストの進捗確認を行うことにしました。
PMS委員会とPMS作業部会の違いについて説明しますと、PMS委員会は社内のPMSを運用するための体制です。PMSを運用する上での責任者や担当者を定めています。普段のPMSの運用に加えて社内教育や世間の動向、事故のニュースなどの情報共有もこの体制の中で行われます。一方、PMSの作業部会はプロジェクトメンバーのみで構成されたPMSの整備・改善を目的とした体制です。このように体制を分けることでPMSの整備・改善を行いやすくしました。
 

2つ目の要因は、新型コロナウィルスです。国内で感染拡大が進んだ2020年2月以降、プロジェクト活動がペースダウンしました。製造業であるが故にテレワーク環境の整備が難しい面もあり、出社はしていたもののクラスター防止を最優先して会議を自粛したり県外からの来訪も禁止という社内ルールを作りました。プライバシーマークの審査においても、審査員の方は県外からの来訪となるため、申請の延期という判断をせざるを得ない状況でした。
ここまでは致し方ない対応と思ってはいますが、これがプロジェクトメンバーの甘えにも繋がり、会議自粛で進捗の確認が滞ったり、審査までに対応するといった言い訳ができてしまいました。
対処法としては、自ら打開したというよりは打開させてもらったという形です。弊社がプライバシーマーク取得の要請を受けていたお客様から取得予定時期を聞かれたことを受けてトップマネジメントから翌月申請を必達という指示があり、最後は尻を叩かれる形でデッドラインを定めました。
 
最後3つ目の要因は、不適合へのプレッシャーです。新型コロナウィルスの影響による申請延期によって、PDCAサイクルは十分過ぎるほど回すことができました。当然理解も深まってはいくのですが、際限なく完璧を求め続けてしまう思考に陥ってしまいました。親会社・協力会社の規程や運用とも比べてしまうのですが、その親会社・協力会社というのはプライバシーマークを取得してから10年以上経過しているベテランなので、比較するとやはり我々の運用が不十分に見えてしまいます。審査を受けたことがないため、不適合になったらどうなるのか、取得できないのではないかとただ不安になり、改定を繰り返すという日々を送ってしまいました。
この対処法は、とにかく自分たちなりに理解し網羅したPMSを回せば良いと開き直ったことです。先程申し上げた尻を叩かれてデッドラインを定めたというのも一つのきっかけになりました。審査を受ければ何が良くて何がダメかがすぐにわかりますし、不十分なところはアドバイスもいただけたので、今になってみると運用が回せた時点で審査を受けていれば、このような間延びはしなかっただろうと感じます。
 

取得できたポイント

 こうした課題をクリアし無事取得できたわけですが、弊社が考える取得できたポイントというのは、コンサルタントなしだからこそ自分たちで理解に努めたという点です。親会社の規程をベースにはしましたが、それでも不足はあるので参考書を購入しました。その参考書は不足分を補うのに大いに役に立ちました。弊社のように親会社の規程をベースにできる事業者様というのは決して多くはないと思いますが、参考書の規程や様式のサンプルを自社用にアレンジする方法でもプライバシーマークの取得は可能ではないかと一通りPMSを回してみて感じました。
プロジェクトメンバーにおいては、コンサルタントに頼れないということで、とにかく自分たちが理解しなければいけないという覚悟ができました。結局運用するのは自分たちなので、自らの手で構築することで取得後のPMSの運用改善も進めやすくなっています。
また、弊社独自のポイントになるかもしれませんが、親会社・協力会社のアドバイスは大変参考になりました。実績のある実務担当者などの意見を規程に反映することもできました。
 
プライバシーマーク取得のメリット

最後に現時点で感じるプライバシーマーク取得のメリットについて、まずは当初の取得目的の達成度からご説明します。
高セキュリティ案件の受注についてはご発注いただけているので、達成しています。
ネット通販の安全性強化については取得の取組みを行う中で法令に適合したネットショップが整備できました。個人情報の漏えい対策も強化できたのでこちらも達成しています。
新規受注の拡大については、今名刺や会社案内にプライバシーマークを掲載し営業活動を開始したところです。取得後に個人情報の取り扱いを含む大きな案件の受注もできておりますが、まだまだこれからと思っています。せっかく取得したので、さらなる営業活動に励んでまいります。
 
その他に取得してみて感じることができたプライバシーマーク取得のメリットを変化・安心・自信という3つの視点からご紹介します。
まず変化ですが、全社的に個人情報の取り扱いに対する感度が目に見えて変わりました。PMSという共通の土俵ができたことで議論がしやすくなり、個人情報の取り扱いの経験者が未経験者に教えるといった共有がなされるようになりました。
次に、安心。個人情報保護法を遵守できているという安心感があります。プライバシーマーク制度の要求事項には個人情報保護法以上の対応が求められる部分もありますが、その内容も規程にしっかり盛り込まれています。個人情報保護法の改正法が2022年4月に施行されましたが、PMSがあったからこそ改正法への対応も的確にできたという実感があります。法令を遵守できているという安心感は、ひいては弊社に業務を任せていただいているお客様の安心感にも繋がると考えています。
最後に自信。コンサルタントなしで取得できたことは、やればできるという自信になりました。自分たちで作り上げたPMSをさらに磨いていく意欲も高まっています。
 
以上が、弊社協同プレスのプライバシーマーク取得までの取り組みのご紹介でした。
 

付与事業者の取組事例

ページトップへ戻る