セキュリティ,情報セキュリティ,オフィスセキュリティ,個人情報,営業秘密情報

■話し手　有限会社エヌシークリエイト　（会社サイトへ）

　　　　　　丸山 浩 様（代表取締役）

 

□聞き手　東京海上日動リスクコンサルティング株式会社　（会社サイトへ）

　　　　　　本田 祐嗣（開発グループ）

 

 

 

本田　現在、プライバシーマーク（以降、Pマーク）の取得に取り組まれていると聞きました。

 

丸山　取引先企業からPマークを求められるのがいちばんの理由です。最近では、大手百貨店が発注する印刷業務に入札する際にそのようなことがありました。中には、要求してくる企業自身がPマークを持っていないこともありますが（笑）。

 

本田　オフィスセキュリティマーク（以降、OSマーク）の認定証もお持ちですね。何がきっかけでしたか。

 

丸山　これは、あるコンサルタントの方からの売り込みです（笑）。はじめはどうしようかなぁとも思いましたが、その頃は既にPマークを取らなければいけないと考えていました。そのコンサルタントの方がPマーク取得のサポートもできるということでしたので、｢ならばPマークも一緒にやってよ｣と。話を聞くうちに、OSマークで取り組む内容がPマークともつながっていることが分かってきました。さらに、取引先から要請されていた短い対応期間内に取得できることが決め手になって、まずはOSマークに取り組むことにしました。

 

本田　実際に取り組んでみてどうでしたか。

 

丸山　かなり大変でした。今、Pマークに取り組んでいますが、OSマークの方が大変だったと感じています。ただ、頑張った甲斐があって大きな成果を得ましたし、おまけですが、雑誌^注１にもインタビューされて、当社の取組が紹介されました。

 

本田　それはすごいですね。ところで、御社は大量に名刺印刷をされていますので、法人顧客から預かる個人情報の管理を重要視しておられるのですか。

 

丸山　もちろんそれもありますが、名刺印刷の発注を受ける場合は窓口会社や代理店が間に入りますので、弊社には発注データを開示する義務はありません。Pマーク取得に向けて個人情報を洗い出したところ、弊社で開示する義務のある個人情報のほとんどは、社員の給与や社会保険に関する情報であることがわかりました。ですから、社員の社会保険情報や給与情報には気を配っています。

 

本田　なるほど。

 

丸山　ただ、当社の立場では、取引に関連する情報が非常に大事です。｢あそことあそこは取引しているのか｣という情報が外で漏れてはいけないし、社内でも守らないといけません。

 

本田　個人情報ではなくて、営業秘密情報^注２ですね。

 

  

 

 

本田　かつてはどんな感じで文書管理をされていましたか。

 

丸山　すごい量の書類が毎日発生する中で書類をまとめきれず、ドバッと置いてある感じでした。その量はもう、天文学的な単位でしたね。整理しにくい書類は一年くらいためて捨てていたこともありました。法定保管年限がある書類については、もっと気をつけるべき状態だったと思います。

 

本田　ファイリングといっても、いいやり方が分からないとなかなか難しいですよね。

 

丸山　当社の場合は、オフィスセキュリティマークの取得に取り組んだことがきっかけになりました。セキュリティの観点から文書のファイリングを重視している制度でしたので、コンサルタントの方が｢こういうファイリングの仕方がいいんじゃないか｣とアドバイスしてくれました。それが非常に役立ちましたね。

 

本田　もう少し言うと？

 

丸山　当社の業務の様子を観察したうえで、｢御社の業務の流れはこうじゃないですか｣と全体の流れを把握して言ってくれたわけです。｢JIS Q 15001^注３に合わせるんじゃなくて、実際の流れに沿ってやった方がいいですよ、おたくの会社の業務はどう流れているんですか｣ということを言われました。

 

本田　今だから簡単に言えても、当時は大変だったんじゃないですか。

 

丸山　実のところは、ホント、もめましたよ。気まずい雰囲気になったこともありました。｢このやり方じゃ無理なんじゃないか｣とか｢面倒くさい｣とか。コンサルタントの方と議論したり、時にはもめたりしながら、いろいろと妥協を見つけながら頑張りました。あと、新しい仕組みが実際に流れるまでは、正直言って｢これで大丈夫なの？｣って不安でした。でも、もう今は日常のルーティンになっています。現在の仕事に関しては分からないことがないくらい、きっちりと文書を管理できていますよ。

 

本田　どんなルールでファイリングされているのですか。

 

丸山　何種類かありますが、基本的には時系列に並べて整理しています。照会が入った時には、細かく日付単位で回答できるようになっています。当社が間違えたんじゃないかと言われた際に、｢いや、お客様が間違えていますよ｣と自信を持って回答しています。手前味噌ですけど、素晴らしいですね（笑）。

 

本田　実効的ですね。

 

丸山　すごい数の納品書とか、機微な情報も出ていますが、｢この保管庫に、こういう状態で、このような形で入れなさい｣といった感じで、仕舞い方を全部確立してあります。

 

本田　捨てるモノはたくさん発生しませんでしたか。

 

丸山　4トン車一台分くらいの書類を捨てたような気がします。あと、私物ですね。次からちゃんと保管・保存していけばいいと考えて、いずれも思い切って捨てました。過去のもので、一部、どういうルールで置こうか決められていないものもありますけど。

 

 

 

本田　OSマークとPマークの両方に取り組んでみてどうでしたか。

 

丸山　実際やってみたらOSマークの方が大変でした。業務に足かせをするのは良くないという考え方を基本にしているのがOSマークのいいところです。それを裏返すと、ルールづくりとか、ファイリングとか、自社の業務に沿ってやり方を決めていかなければいけませんでした。Pマークで大変なのは書類づくりです。｢こことそこの文言に整合性がない｣といった点を指摘されて書類を直しましたが、逆に言えば、そういう大変さでした。

 

本田　OSマークの方が現実に即していますか。

 

丸山　業務の流れに合わすことができる点でそう思います。Pマークでは要求事項に合わせることが求められますが、OSマークでは自社の業務の流れに入れ込んでいきます。例えば、オフィスの入口。Pマークは単に入退館の記録をとることを求めます。オフィスセキュリティでは、入口にベルを付けるよう指導してもらいました。音が鳴ったら人が来たことが分かるようになっています。当社の入口では死角になっている場所に荷物が置きっ放しになることがありえます。本当は置いておくことがいけないのですが、もしもの場合も考えられます。｢この会社はどこからモノが届いた、どこと取引しているのだな｣とならないように気を付けています。

 

本田　冒頭でも触れられた取引情報、つまり、営業秘密情報ですね。

 

丸山　そうです。個人情報だけでなく、営業秘密情報も対象にしている点でも、当社にとってはOSマークが実際的です。取引上のお客様の秘密情報をきちんと管理したい当社にとってはそうなりますね。

 

本田　それはそうですね。

 

丸山　ただ、世の中ではPマークを取っていないと仕事が来ないという面があるのも事実です。Pマークが取れたら、OSマークも含めて約二年後に更新時期を迎えますが、OSマークがまだ世の中にあまり知られてないなかったら、｢うーん｣という感じで、両方とも更新することになるような気がします。

 

本田　そこは悩ましいところですね。費用もかかりますし。

 

丸山　二年後にはOSマークが認知されていて、｢PマークでもISMSでもOSマークでもいいですよ｣となっていれば助かるのですが。やるならOSMの方が、実際の業務には役立ちますので。

 

本田　認知されるといいですね。

 

丸山　本当にそうです。ただ、認知されなくても、当社として損はなかったと思っています。OSマーク取得に取り組んで文書管理の仕組みが完成していたので、Ｐマークへの取り組みが随分と楽になりました。｢この文書はこうやって保管している、これは何番保管庫だ｣といった具合です。書類のつくり方に関してはコンサルタントを呼んで、お金を使いましたが。ちなみに、OSマーク自体も、業務の流れがきちんとできているので、コンサルタントに頼まなくても、内部監査も含めて社員みんなでやってくれています。

 

本田　素晴らしいですね。

 

丸山　この文書管理の仕組みはうちにとっては素晴らしい財産ですね。

 

本田　今日はお忙しいところ本当にありがとうございました。

 

 

　前回と同じく情報セキュリティに関係する話題でしたが、現場の状況を踏まえた具体的なお話に、何度も｢なるほど！｣と膝を打ちました。事業規模が拡大している会社では、遅かれ早かれ、管理体制面の課題が膨らんできます。管理業務の側面が大きいセキュリティ対策を上手に本業の流れに取り込んだ点が、他の会社にとっても参考になる好事例だと思います。今後のますますのご発展をお祈りいたします。