メーカーや代理店の人から良く個人情報のことを聞かれるようになりました

御社ではどのような個人情報を主に扱っていますか？

事業の特性上、企業内の情報や、イベント参加者、購入者情報などの個人情報を大量に扱っています。電子データが大半ですが、紙の情報も入ってきます。

プライバシーマーク取得のきっかけはなんでしょうか？

取引先からの要望がきっかけです。2006年ごろでした。保護法ができて、JISQ15001も変わったばかりだったので、ちょうどピークのころではないでしょうか。私（青木社長）が責任者として取り組みました。

マネジメントシステムを構築する上でどんな点に苦労しましたか？

作業が多かったですね。それと、業務上アウトソーシングする先が多いので、個人情報取り扱いの有無によって切り分けをするのが大変でした。

運用において注意した点や、工夫したところはありますか？

社長として、営業もやりながらでしたので、文書管理などの作業が大変でした。またリスク分析にも手間取りましたね。取扱いの工程ごとに分析しなければならないので、書類がたくさんある分その仕訳がやっかいでした。ただ、理解するまでは大変でしたが、その後は楽になりました。自分でやったおかげで形骸化せずに済んでいるといって良いと思います。

素晴らしいですね。今でも社長自ら作業を行っているんですか？

更新の時は、社員にある程度任せられるようになりました。また、大手企業との取引も多いので、通常の業務委託契約の中に個人情報取り扱いのプロセスを入れ込んでおり、個人情報取り扱いのルールや作業が自然と業務に溶け込んでいます。

審査はいかがでしたか？

基本的な対応はできていたので、問題なく終了しました。

バルクのコンサルティングを受けた感想を聞かせてください。

私自身責任者として直接携わっていましたので、コンサルタントの方とはよくやり取りがありましたが、非常に良くしてもらいました。おかげで私もずいぶん詳しくなり、メーカーや代理店の人から良く個人情報のことを聞かれるようになりました。

セキュリティなどの安全対策はどのようにしていますか？

システム面については、個人情報を扱うサーバーなどは厳しく管理しています。物理的な対策では、データ保管などセキュリティレベルを4段階に分けています。火事や地震の際のSLA（サービスレベルアグリーメント）の観点まで考慮しています。人の導線も考えていて、非常階段への出入り口も社長の前を通らないと行けないようなレイアウトになっています。

今後の維持・更新に向けて考えていることはありますか？

希望としては、ISMSも取りたいと思っていますが、費用が高いので、今はまだ検討段階です。あとは、やはりITまわりのセキュリティを強化していきたいと思っています。特に外部からのアタック対策と、物理的に社内から情報が出ないような対策を早く実施したいですね。プライバシーマークは資産だと思っていますし、お客様からも個人情報の取り扱いが慎重であることを高く評価されていますので今後も抜かりなくやっていきたいと思います。

ありがとうございました。