教育に関してはこれで大分楽になりました

プライバシーマークを取得するきっかけは何でしたか ？

親会社から個人情報を含む仕事の委託を受けるので、やはり親会社からの働きかけがきっかけです。

どんな個人情報を扱っているんですか？

個人情報関連の仕事としては、イベントや展示会、キャンペーンなどの事務局運営が主体です。セミナーや展示会の参加者情報で2000名程度、キャンペーン応募者の情報として多い時で30,000名程度の個人情報を扱っています。

更新の時には少し大変だったとか。

新規取得は2006年1月でしたが、このときは1999年版の旧JISで、旧社名の㈱タフクリエイティブとしての取得でした。1回目の更新は、ちょうど2006年版の新JISに切り替わるときだったんですが、2007年の3月に同じADEXグループの㈱日経クリエイティブセンターと合併して現社名に変更したため、社名変更などの届出とあわせ、更新申請期限前の5月に前倒し申請しました。新JIS対応と、組織変更、レイアウト変更などが重なり、業務も繁忙期にかかって忙しかったですが、無事に更新ができました。

最初に構築したときに苦労したことはどこですか？また御社として特に工夫したところはありますか？

基本的なことを覚えてもらうのにとても時間がかかりました。当社の場合、個人情報を扱うセクションとまったく扱わないセクションがあるので、よけいにその差が激しいですね。一応教育は定期的にやっているんですが、習慣づけが大変です。個人情報の取り組みを始めて1年くらいたって、ようやく少しずつ現場から質問が来るようになりました。でもまだ個人情報を扱わない人たちは意識が薄いようですね。そういう面では、工夫というほどではないですが、2ヶ月に1回、運用確認の一環として担当取締役にチェックシートを渡して、チェックしてもらっています。

審査はどんな感じでしたか？　また、どんな指摘をされましたか？

最初の審査では現場をとても細かく見られました。でも2回目は書類の確認が長く、現場はほとんど見る時間がなくなりました。2回目の審査員の方は1回目の審査リーダーの方をご存知でしたが、審査のポイントも少し違っているようでした。指摘されたのは、リスク分析を見やすくまとめるようにとか、当社の場合は親会社に社員情報を提供しているので、その同意書の利用目的などを細かく明記するようにとか、あと2回目の審査では代表者の見直しをすごく突っ込まれました。

マネジメントシステムを維持する上で、難しいと感じていること、心がけていることはありますか？

定期的に運用のチェックはしていますが、チェックしたことが、本当に正しいのかどうか不安になることがありますね。初めてのケースとか、あまり事例に載っていないようなことは、質問されても自信を持って答えられないこともあります。それと、うちの場合はMacの比率が高いので、Macの管理をどの程度やるべきがが頭の痛いところです。Macユーザはクリエイティブ系の作業をしている人がほとんどなのでスクリーンセーバーとか、セキュリティソフトとかでパフォーマンスが落ちたり作業効率が落ちたりするのを嫌がるんですよね。その気持ちは良くわかるので、個人情報を扱わない部署の場合は極力最小限にするようにしているんですが、管理者としては今後どうするべきか悩みのタネです。

教育や監査はどのようにされましたか？

教育は、はじめのうちは全員集めて集合教育をやっていましたが、合併して人数が増えてからは集めるのが大変なので昨年からｅラーニングに切り替えました。教育に関してはこれで大分楽になりました。監査については、監査責任者にやってもらっていますが、準備が大変みたいです。

今後のプライバシーマーク維持、更新に向けて考えていることはありますか？

いままで、情報セキュリティ面についてはあまり審査でも指摘されたことがなかったんですが、実態を考えると、個人的にはちょっとオマケしてもらったような感じもするので、ログ管理やPCのパッチなどの管理をもう少し本格的に強化したいと考えています。実際、大手企業の事務局を受託したときはサーバーのログをとるように言われましたし、今後もそのような要求は増えていくと思いますので。

ありがとうございました。