2年ごとの更新の際に審査に関することをいろいろもらい助かっています

どのような個人情報を扱っていらっしゃいますか？

加入している方々の基礎データ、賃金や組合費の額など、それから共済の情報や、また提供しているサービスごとにホームページを介して様々な申し込みを受けたり情報をやり取りしていますので、それらの情報、そして私どもの職員の情報です。

プライバシーマーク取得のきっかけは何でしたか？

企業内組合だと企業ごとにPマークを取っていることが多いですが、私どもは職業別で、60数社にまたがっていますので、組合員から見た信頼性を高める必要がありました。また、企業からお預かりする情報もありますので、安心していただくために取得を目指すことにしました。当時はまだ個人情報保護法ができる前で、Pマークの取得数も全国で1000社くらいだったと記憶しています。

どのような形で取り組んできましたか？　苦労されたところは？

2003年頃から準備を始めましたが、こういう業態で取得している例はなかったので、どうしたら要求事項に答えられるか、共同利用かどうかなど、基本的なところから調べながら進めてきました。

運用上何か工夫したことはありましたか？

工夫というわけでもありませんが、常にスパイラルアップできるようを心掛けています。例えば、クリアデスクで言いますと、内部に監査チームを設けまして、当初は週1回ローテーションでチェックしていました。今では、毎日最後に帰る人がチェックして週1回結果を発表するような仕組みにしています。また、不在の人がいる場合に、鍵のかかる特別のロッカーを用意して、入れるのは誰でもできて出すのはその本人のみ可能という、通称「ゲタバコ」というのを作りました。Webやネットワークの監視も、今まではメールの監視まではやっていなくて「残存リスク」としていましたが、今ではメールも対象に加えています。

新規と更新2回、計3回の審査を受けられたわけですが、審査はいかがでしたか？

最初の審査では現場をとても細かく見られました。でも2回目は書類の確認が長く、現場はほとんど見る時間がなくなりました。2回目の審査員の方は1 回目の審査リーダーの方をご存知でしたが、審査のポイントも少し違っているようでした。指摘されたのは、リスク分析を見やすくまとめるようにとか、当社の場合は親会社に社員情報を提供しているので、その同意書の利用目的などを細かく明記するようにとか、あと2回目の審査では代表者の見直しをすごく突っ込まれました。

バルクのコンサルティングについて感想を聞かせてください。

当組合には専任のプライバシーマーク担当者がおりませんので、2年ごとの更新の際に審査に関することをいろいろもらい助かっています。また、新規のときからずっと同じコンサルタントの方についてもらっているので、人間関係もできていて、その点も良かったですね。

今後の維持・更新に向けて考えていることはありますか？

やり方そのものはわかってきたので、先ほど申し上げたように、スパイラルアップ、意識の継続を図っていきたいと思います。例えば、守るべき個人情報、データの場所が代わった場合、台帳の見直しを行う、というような環境はできていますが、それを現場の人が理解できていないこともあります。こういったことを全員が意識し続けるようにできることが課題です。そんなツールがあると良いですね。

ありがとうございました。