株式会社Soft Plan
代表取締役 佐藤 友秋 氏
はじめに
2006年に設立された株式会社Soft Planは、受託開発をメインに行いながら、金融系プロジェクトの立て直しや、上場企業のプロジェクトマネジメント、新規サービスの立ち上げなども手掛けてきたSI会社です。弊社のPマーク取得契機から現在の個人情報保護に対する取組みについてご紹介します。
Pマーク取得契機
個人情報に限らず情報セキュリティの観点から情報を守る意識というのは、業界全体で現場のエンジニアにも求められている時代だと感じております。
会社として個人情報保護に対する方針や取り扱いについてしっかり取り組んでいる事を対外的にも証明出来るのがPマークだと考え、取得しようと考えました。
弊社は、一度2009年に取得をしているのですが、2年後の2011年に更新出来ずに失効しました。原因としては、個人情報保護運用をする体制を整える事が出来なかったのが正直なところです。
今回は再取得という形になりましたが、前回の反省も踏まえしっかりとした体制を構築しているので、2年後の更新も今回の審査と同様にしっかり対応していきたいと思います。
個人情報保護マネジメントシステム(PMS)の構築
Pマーク申請に伴い、PMSの構築を行いました。
2009年に定めた保護方針から最新の法令にのっとり、個人情報保護方針を再策定し、前回の失効原因にもなった、機能する組織を作るために社内で営業本部、管理本部と協力しながら運用できる体制を構築しました。
PDCAを回せるように監査、教育等計画を策定、全社員で取り組む意識付けをする為、組織内で周知、弊社の中で、何が個人情報で何が個人情報じゃないか、全組織があつまり抽出を行いました。洗い出した個人情報に対してどのようなリスクがあるか、リスクに対してどのような対策ができるか検討しました。
個人情報保護マネジメントシステム(PMS)の運用
内部規定を策定し、全社社員への教育を実施、運用していきながら状況を点検し、問題があれば見直し改善を行う必要があります。慣れない事もありますが全社へ浸透するよう、運用を進めていきたいと思います。
Pマーク審査
現地審査では、データ通信協会の審査員の2名の方に来て頂き、審査をして頂きました。
代表者レビューでは取得の契機、Pマークに関する考え方についてお答えさせて頂きました。PMS運用監査の結果、社内の情報セキュリティについて実際のPCの確認等細かくチェック頂きました、委託選定チェックリストに不備がありご指摘を受けましたが、その他は概ね問題なく審査を受ける事が出来ました。
審査の印象としては、現場を意識しながら審査をして頂いたのでとても良い印象でした。
個人情報保護に対する取組み
システム技術者事業者協同組合(System Engineer&Employer Partnership/略称SEEP(シープ))として年2回セキュリティ研修を行っております。
SEEPとは、2014年に発足された協同組合です。会社の宝である社員(人)や技術力のコミュニティとして、ITエンジニアの交流会や各種イベントの実施、企業間の垣根を越えた、『人と企業』『企業と企業』『人と人』とを結び付ける様々な活動をしております。
2017年4月のSEEPセキュリティ研修では、日本データ通信協会の小堤様にご登壇頂き、個人情報保護などについてご説明頂きました。