[2]プライバシーマーク取得で強化されたJoe’sの情報セキュリティ戦略とは

[2]プライバシーマーク取得で強化されたJoe’sの情報セキュリティ戦略とは

今年の6月、Joe’sはプライバシーマーク付与事業者の認定を受けました。足かけ2年、昨年先行して取得したISMSに続き、無事取得に至りました。

プライバシーマーク制度の公式サイト。13000社以上が認定を受けている。

 

教育事業者による大量の個人情報流出事故をはじめ、個人情報保護に対する機運は高まるばかりです。Joe’sは、企業規模からすると比較的珍しい「ISMS」「プライバシーマーク」を両方取得したクラウド事業者ということになりましたが、その目的とはどの様なものだったのでしょうか。

プライバシーマーク取得により強化された、Joe’sの情報セキュリティ戦略について迫ってみたいと思います。

 

ISMS取得までの過程については、以前にこのニューズレターでもご紹介しました。

 

 ISMS取得までの道のり(2013年7月号)
 https://joes.co.jp/2013/07/23/isms/

 
 

初めての認証取得に悪戦苦闘しながら、社内の業務フロー改善を含めた取り組みとして成功を収め、取得前と比較して、スタッフの間に「ISMS」という筋が一本通った様な効果を感じています。

 

ISMSは、組織の情報セキュリティマネジメントシステムを認証する

Joe’sでは、当初よりISMSとプライバシーマークの両取得を計画していたため、運用マニュアルについてはそれぞれの認証取得において必要となる事項をできるだけ融合する形で時間をかけて検討を進めてきました。結果として、今回のプライバシーマーク取得においては、多くの作業がISMS取得時に行ったもので代替でき、新たに業務フローを変更する必要は殆どありませんでした。

この様にして取得が完了した「ISMS」と「プライバシーマーク」ですが、そもそもこれらを取得する動機とは何だったのか、全てはJoe’sの「情報セキュリティ戦略」に沿った取り組みであると言うことができます。

 

Joe’sでは、クラウドホスティング事業を運営する事業者として、また、創業から10年が過ぎ多くのユーザーを抱えた責任の求められる企業として、会社やサービスを適切に運営、運用していくための「情報セキュリティ戦略」を立案しました。戦略は次の3つに大別され、それぞれの施策が展開されています。

 

このマークが表示されているサイトは安心できるが、それでも事故をゼロにする努力は必要だ

 

・事故の防止と事故対応の迅速化

 

情報セキュリティ事故の防止には、実際には高度な技術力やスキルは求められません。当たり前のことを、粛々と進めていくことが必要になります。日本人には向いていることではないかとも思います。過去に当社の同業社で起きたデータ消失事故や、今回の教育事業者での個人情報流出事故も、結局は一部の人間が定められたフローを逸脱して行動したことにより引き起こされています。両社ともそれぞれの業界で大手の企業であることからも、企業規模に関係なく取り組まなければならないことであると言えると思います。

 

Joe’sでも、これまで属人的な面があった各種業務フローにおいて標準化を進め、この道20年のベテランであっても、今月入社したばかりの新人であっても、同じ業務フローを定められたポイントにしたがって進めることを徹底しました。それぞれの頭の中にある業務フローを書き出していくことは非常に骨の折れる作業ではありましたが、書き出す過程において矛盾に気づき修正を繰り返していくことで、より精度を高めることができました。

 

また、不幸にして事故が発生してしまった場合の対応についても、様々なケースを想定した上で標準化を進めました。これまで、個人個人が自分の知識や経験に基づいて対応し、それが良い方にも悪い方にも作用することがありましたが、標準化により、職位や権限に応じて定められた適切な対応を行うことで、平均以上のレベルを安定して達成できるようになってきたと感じています。

 

情報セキュリティへの取り組みは、企業の社会的責任を果たすためにも必要なことの一つだ

・個人情報保護の強化

 

個人情報保護については、「個人情報保護方針」を策定し、個人情報の定義等の理解を進めるとともに、社内で扱っている個人情報にはどの様なものがあるのか、個人情報管理台帳を用いて網羅的に管理を行っています。

 

これまでも、個人情報の取扱いには非常に気を使っていましたが、認証取得の過程で学習するにつれ、正直なところ「こういった取得はNGだったのか」と思わせるものが幾つもあり、喫緊の対策が必要と思われた点については、即座に適切な対応を実施しました。

 
 

また、これまで担当者レベルで作成されることもあった、個人情報を含む情報を取得するフォーム等も、個人情報保護責任者の管理の下、一元して管理する体制に移行し、不意に誤った行為が行われない様に改善を実施しました。

 

これらの施策には、終わりはありません。これからもCSR(企業の社会的責任)活動の一環であることも深く理解し、お客様に安心してサービスをご利用いただけるよう、取り組みを続けていきたいと考えています。