プライバシーマーク取得は通過点。カケハシの情報セキュリティマネジメント
2022年2月下旬、カケハシは一般社団法人日本情報経済社会推進協会からプライバシーマーク(通称Pマーク)の付与決定を受けました。これにより、個人情報を適切に扱う事業者として、ホームページや名刺などにPマークを使用できるようになります。
Pマーク取得にあたって奮闘したのが、社内情報システムを管理するグループの角田。一般的に事業を優先するスタートアップでは、Pマーク取得の優先度が下がりがち。なぜカケハシはPマーク取得にリソースを注いだのでしょうか?
話を聞いた人
スタートアップがPマークを取得する意味
ーなぜこのタイミングでPマークを取得しようと?
ひとつのきっかけになったのはユーザー企業からの要望でしたが、とはいえ、前々から社内では情報セキュリティマネジメントとして「Pマークなり、ISMSなり、何らかの規格に基づいて運用すべき」という議論がなされていました。コスト面や、顧客から直接的な要望がなかったことなどが理由で着手はしていなかったのですが、常に検討していた状態です。
ースタートアップがPマークを取得する意味は?
規格に基づいた運用を行っていることを対外的に明示できる点にあります。一般的に、スタートアップは本業の黒字化を優先するためPマーク取得の優先度を下げがちです。しかし、一定以上の規模のIT企業には「多くの個人情報を扱っているなら、きちんと管理すべき」という声がステークホルダーから寄せられる場面が増えてきます。2022年に創業から6年を迎えたカケハシも、例外ではありません。時期的には適切なタイミングだと考えています。
誤解のないようにお伝えしておくと、Pマークを取得しているからといって個人情報保護を保証するものではありません。もちろん、不正アクセスに対して、ウイルス対策ソフトやファイアウォールなどが自動で作動するわけでもない。
今後も2年に1回の更新のたびに審査があるので、個人情報保護に関する基準を満たしていなければなりません。Pマークはあくまでも個人情報保護にあたって「法律への適合性」「自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し運用している」ということを対外的にアピールするもの。ですから、Pマークの取得はゴールではなく、これからもカケハシがセキュリティに対して高い意識で取り組んでいくための通過点に過ぎないのです。
運を味方に。滑り込みで掴んだ、審査のチャンス
―Pマーク取得にあたってのプロセスは?
Pマークを取得するためには個人情報保護に関して「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合していることが必要です。これについてゼロベースで組み立てていきました。プロジェクトのスタートが、2021年6月。そこからドキュメントをつくって、運用方法を考えて、規定を策定して、取締役会で承認を得て……というプロセスです。
ー特に苦労した点は?
一般的には申請から3〜4カ月で審査を受けられるのですが、コロナの影響で審査機関が対応できなくなり、半年から1年ほどかかる可能性が出てきてしまったことです。日本全国の審査機関、審査代行機関に片っ端から電話をかけたのですが全てNG。
ユーザーとやり取りしているチームからは「2022年2月、遅くとも3月までに取得してほしい」と言われていたのですが、これだと完全に間に合わない。
ところが、本当に偶然なのですが、ダメもとで再度全国の審査機関、審査代行機関に電話してみたら、たまたま枠が空いて、滑り込み的に審査を受けられることがわかりました。その後、12月の頭にすぐに申し込んで、翌年2022年1月に審査が決まりました。どうにかスケジュールに乗せることができましたが、本当にヒヤヒヤでしたね。
―工夫した点は?
手前味噌ですが、スケジュールが見えない中でも並行して各種ドキュメントの整備やホームページの微修正などを進めておいたところは我ながらファインプレーでした。ほぼ準備が万全だったおかげで、すぐに審査の申請ができたので。審査を受けられないからといって別の業務に時間を割いていたら、おそらく間に合わなかったと思います。
もうひとつ、工夫とは別の話なのですが、プロジェクト全体を通して感じたのがカケハシのセキュリティに対する意識の高さです。各チームが個人情報を管理するルールを定めていたり管理したり、厳しくアクセス制限をかけたりしていたので、「ゼロからプロセスを構築する」というよりも「カケハシ社内で取り組んでいるものをドキュメント化する」というイメージでした。セキュリティに対する意識が高くない組織だったら、もっと苦労したと思います。
ひとりだけだったらパンクしていたかもしれない
―審査前はどのような準備を?
本格的に現地審査の準備を始めたのは2週間前。直近1週間は、つきっきりで準備していました。
特に書類審査が厳しいと聞いていたので、ドキュメントのチェックにはかなり時間をかけていました。社内で協力してもらったのは、法務担当です。ドキュメントは何度もオンラインで読み合わせをしましたし、各規定や契約書の締結状況などは全件チェックしてもらいました。
全て私ひとりでやらざるを得ない状況だったら、とっくにパンクしていたと思います。審査の直前までSlackで何度もやり取りしていたし、審査当日もバックアップで全てのドキュメントを印刷して隣の会議室で待機してもらっていました。
―審査当日は?
審査官の方が複数名来社し、終日ドキュメントの審査とヒアリングです。事業内容から始まり人員構成、取り扱い個人情報、管理状況について聞かれます。
続いて、こちらから提出している個人情報の一覧表について細かくチェックがなされます。1件1件全て一問一答的にチェックされるので、夕方ぐらいまでかかりましたが、入念に準備しておいた甲斐あって質問に答えられないようなことはなかったですね。全てのドキュメント審査が終わったら、オフィス内のチェックを受けて終了です。
正式なPマーク利用開始日としては2022年3月9日ですが、ユーザー企業には内示が出た2月中旬のタイミングで報告できました。ほぼ一発OKに近い形ではあったものの滑り込みでの合格だったので、達成感よりもホッとした気持ちの方が勝りましたね。
Pマークがもたらしたセキュリティへの意識の向上
―Pマークの取得を通じて、社内の変化は?
大きく分けて3つあります。
1つ目は、Pマークの規約上、1年に1回セキュリティに関する社員教育の機会を設けることになったこと。
2つ目は、社外に「Pマークを取得している」と発信できるため、安心感を与えられるようになったこと。
そして3つ目。個人的には一番大きな変化だと感じているのですが、社内のセキュリティに対する意識はかなり向上しました。
Pマークを取得することが全社的にアナウンスされてから、Slackのチャンネルに「この場合、どうすればいいですか?と」セキュリティや個人情報保護に関する相談が次から次へと来るようになり、明らかな意識の変化を感じています。
Pマーク取得以前は「個人情報の保護は大事だよね」「ここまでできていればOKだろう」という漠然とした意識で止まっていた社員もいたかもしれませんが、明確な判断基準を組織にインストールできたことで個人情報保護に関わる運用活動ができるようになりました。
全社員の意識が変わったことは、組織として大きな一歩だといえるのではないでしょうか。
―自身の変化は?
セキュリティや個人情報保護に関する理解は圧倒的に深まりましたね。これまでのキャリアでPマークを取得している企業で働いていたことはあったのですが、あくまでも“ユーザー側”だったので。個人情報保護法や規定を全てチェックしたことで、ぼやけて理解していた部分がかなりクリアになった感覚があります。
たとえば、社内から「Pマークを取ったから、Googleドライブ上に個人情報を保管しちゃいけないんですか?」と聞かれることがありますが、そもそもPマークに係る規格はあくまでも“仕様”に過ぎないため、“実装”については定められていません。
情報セキュリティマネジメントにおいて大切なのは「どこに何があるか」「誰がアクセスできるのか」を把握・棚卸できていること。Googleドライブに保管していても、カケハシとして適切に管理できているのであれば問題ありません。そのあたりの線引きや個人情報の扱い方については、明確に答えられるようになったと思います。
社内の情報システムを管理する立場としても、個人情報の有無によって対応を明確に区別するようになりました。たとえば他部門から「外部サービスを使用したい」という申請があったときも個人情報の取り扱いがなかったため、あまり厳しい制限をかけずに使ってもらえる判断ができました。Pマークの取得を通じて、個人情報マネジメントシステムがインプットできたため、客観的な基準に基づいた判断ができるようになったと思います。
とはいえ、同じことをもう一回と言われたら、当分遠慮したいかな……(笑)。
Pマークの取得を、これからの足がかりに
―改めて今後の目標について。
Pマーク取得の効果が見えてくるのはこれからです。情報セキュリティに関する意識もさらに向上していくでしょうし、バックオフィス業務の進め方もどんどんアップデートされていくでしょう。
特に今後はISMSや欧米のセキュリティ規格を導入していくにあたって、今回のプロセスは大きな意味を持ってくるはず。個人としてはもちろん、カケハシとしても、新しい規格を導入していくうえでの良いウォーミングアップになったのではないでしょうか。
テクノロジーの進化に合わせてセキュリティ周りもどんどんアップデートされてきています。紙で保護する時代であれば鍵をかけて閲覧できる人を制限すれば良いのですが、IT基盤の上でビジネスを展開しているとそうはいきません。最新のセキュリティ情報をきちんとキャッチアップして、法制度やセキュリティ規格に合わせてソリューションを社内に導入し、より高度な保護体制を築いていきたいですね。
繰り返しになりますが、Pマークの取得は通過点に過ぎません。よりハイレベルなセキュリティ体制を構築していけるよう、慢心せずに取り組んでいきたいと思います。