プライバシーマークを取得しました！

はじめまして。ウーオのバックオフィス担当の前中です。

UUUOは2021年10月にプライバシーマークを取得しました！！2021年2月に始動し、取得まで8ヶ月という長い長い道のりでした、、、というわけで今回はプライバシーマークを取得するに至った経緯から、取得までの流れを書いていこうと思います。

プライバシーマークってどんなもの？

プライバシーマークとは、個人情報保護体制や運用状況が適切であると認められた事業者のみに付与されるもので、「個人情報をしっかり守っている企業である」という証です。2021/10/18現在で付与事業者は16,715社にもなります。（ウーオもその1社に仲間入りしました！）

プライバシーマーク制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム－要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。JIPDEC（一般財団法人日本情報経済社会推進協会）

そもそも「個人情報」とは、『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの、または個人識別符号が含まれるもの。』と定義されています。

実は「〇〇会社○○課　山田さん」も個人を特定できてしまうので個人情報なんです。社内でお取引先様の情報共有することありますよね。みなさん個人情報の認識はありましたか？

一見して個人情報とわかるものから、実は個人情報と認識していなかった個人情報まで、企業活動の中では様々な個人情報を取り扱っています。その個人情報に対し適切な体制構築と運用を実施し、認められた企業のみがプライバシーマークを取得できるのです。

なぜプライバシーマークを取得しようと思ったのか？

①ITスタートアップ企業として個人情報保護は義務であると考えたため
②早期的な体制整備によってリスク軽減と社会的信用が向上するため
③販促施策を展開する中で消費者の方にも安心して利用してもらうため

私たちウーオはITスタートアップとして様々な個人情報を扱っているため、代表の板倉をはじめ個人情報保護体制の構築は義務だとは考えております。
また早くから体制を築くことで社内の意識も変わり、漏洩リスクの軽減にもなります。昨今個人情報漏洩のニュースを多く見かけますが、情報漏洩は企業イメージへ大きな影響を与えます。
「プライバシーマーク」を取得することで、お取引先様、消費者の方々、従業員などウーオに関わる全ての方に安心して利用してもらえるようにと取得に至りました。

プライバシーマーク取得の流れ

では早速プライバシーマークマーク取得の流れについてご説明します。
細かく書いても面白いことはないのでざっくりとした流れです。

①個人情報マネジメントシステムの文書化
②個人情報保護方針・公表文の制定・HP掲載
③運用開始　
入退室管理やら～、スクリーンセーバーしてるかやら～、パスワードかけてるかやら～、細かな事も逐一チェック
④個人情報管理台帳、リスク分析表など中心となる書類準備
⑥社内教育とテスト（年1回）
⑦内部監査の実施（年1回）

ここまで3ヵ月を要しました。
体制を構築⇒運用⇒チェック⇒内部監査というサイクルを1つ回してようやく審査申請です。すぐに申請できると思っていました。

⑧審査申請（2021/5）
（大量の文書を印刷します！！データにしてくれと何度思ったか、、、）
申請から1ヶ月～2ヵ月後、書類審査が通り現地審査へと移ります。

⑨現地審査（2021/8）
当日は2名の審査員から申請書類をベースに細かく質問されます。
業務の流れを説明しながら、どこに個人情報があり、管理は実態に即した運用になっているか確認されます。
朝10時～17時までの長丁場でした。そして10ページ以上のメモを次回のために文章に起こす作業もなかなかハードでした。

⑩指摘事項対応（2021/9）
現地審査で不備があった点を指摘事項として提示されます。
それに対し適切な是正対応を行い、書類報告をします。月1回の審査会で是正対応が認められれば、いよいよプライバシーマーク認定です！

念願の、、プライバシーマーク取得！

2021/10/1にプライバシーマークを取得しました！！

当社ウーオでは、個人情報保護を重要な責務と認識し、社会的に重要度が増している個人情報の適切な保護管理に取り組んで参ります。

【認定年月日】令和3年10月1日
【認定番号】第27000255(01)号

株式会社ウーオの個人情報保護方針はこちら。

そして、ここからが始まり

プライバシーマーク取得は始まりに過ぎません。
取得後はマネジメントシステムに沿って管理・運用を進め、年に1回は内部監査を実施します。また2年に1度の更新手続き（今回のような現地審査等）を経てプライバシーマークを保持し続けます。プライバシーマークを取得することが大切なのではなく、「継続して個人情報を適切に管理・運用すること」が最も大事なことなのです。

また今回強く感じたことは、スタートアップ期の社員が少ない時だからこそ、プライバシーマークを取得するべきだということです。
プライバシーマーク取得には全社員の協力が必要です。人数が多ければ多いほど手間もかかります。少人数の内から運用を定め、PDCAサイクルを回せるようになっておけば、人数が増えた後の運用や保護体制の構築は楽になると考えます。また社内に考え方・意識を浸透させていくことも早ければ早いほどリスク軽減になり良いかと思います。そして何より、社会的信用を客観的に判断してもらえる武器でもありますので。

最後までお読みいただきありがとうございました。
弊社ウーオはプライバシーマーク取得に満足することなく、より一層気を引き締めて個人情報の保護管理に取り組んで参ります。