• マネジメント
  • 2020.04.15

従業員300名以上にありがちな“やってはいけない”Pマーク(プライバシーマーク)活動

こんにちは、Pマークの社内工数を「0(ゼロ)」に限りなく近づける男、樋口 駿です。

 

本日のコラムのテーマは「従業員300名以上にありがちな“やってはいけない”Pマーク活動」です!

 

会社の業績が良く、さらに会社を大きくするために従業員を例年以上に採用している会社も

多いのではないでしょうか。

ただその反面、Pマーク(プライバシーマーク)の運用について、

多くの企業様は「300名を超えたあたりから、運用が大変になった」とよく言います。

 

 

 

1.そもそもなぜ300名?

人間が安定的な社会関係を維持できる人数の上限は150人と言われています

(参考:ダンバー数、英: Dunbar’s number イギリスの学者ロビン・ダンバーが「霊長類の脳の大きさと平均的な群れの大きさには相関関係がある」と提示した説。)

また、150人を超え、300名になると維持できなくなるどころか、崩壊するとも言われています。

 

 

私も従業員300名以上の会社様によく伺うのですが、

「指示を出せば、●●部はやってくれる。でも××部は毎年やってくれない。」

「△△部の方は、元私の上司だった人で、やってくださいと、きつく言えないんです」

などの会話は日常茶飯事です。

 

※100~200名くらいの規模感だと、各部に作業を割り振らずに、

Pマーク(プライバシーマーク)の事務局が

(各部を回ってヒアリングして)一括して作業するケースが多いのですが、

300名を超え、部門数が多くなると一括作業は難しいですよね

 

 

実際、従業員のボリュームだけが原因なのではなく、

組織のしがらみや上下関係、離れた支店とのコミュニケーション不足なども関係がありそうですが、

この「従業員300名」というのが一つのモノサシになっています。

 

 

 

2.従業員300名以上の会社にありがちな、やってはいけない例

3つ例をご紹介します。

こちら、2019年~2020年に私がご訪問させて頂いた、実際のお客様の例です。

 

 

■マニュアル編

①マニュアルを従業員が読みやすいように改変する。項番ごとに手順書を細分化して作る。

「各拠点のメンバーがやってくれないのは、マニュアルが読みにくいせいだ!」

「マニュアルが100ページある。こんな分厚いと読む気もなくなる」

「“個人情報の洗い出し”に特化した手順書を作れば、3ページくらいで収まる!

この3ページだけなら従業員も読んでくれるはず!」

 

 

「よし!マニュアルを読みやすいように書き換えよう!」

 

 

これはやってはいけません。

「マニュアルを、どれだけ読みやすくしても、どれだけ薄くしても、悲しいことに従業員は結局読まなかった」

「5年に1度の規格改訂とぶつかってしまい、作ってきたマニュアルが来年は必要ないものになってしまった」

「親会社のマニュアルが大改訂され、それをベースにして、自社マニュアルを作り替えることになった。また振り出しに戻ってしまった、、、」

こういう事例が後を絶ちません。

 

ではどう解決したらいいの? 後述の「3.対策」に記載します。

 

 

 

 

 

②拠点ごとの手順書・マニュアルを作る。

「拠点ごとでルールが少しずつ違うから問合せが増えるんだ! 拠点ごとに手順書・マニュアルを作ろう!」

 

 

これもやってはいけません。

 

Pマーク(プライバシーマーク)は会社全体での認証になります。

つまり、手順書やマニュアルを作れば作るほど、Pマーク(プライバシーマーク)の審査のときに

チェックされる書類が増え、指摘が増え、自分の首を絞めることになります。

 

「(ルールに)書いてあるから、やっているかどうかをチェックして指摘を出す。過剰なルールがなければ私たちもチェックしないよ。」

Pマークの(プライバシーマーク)の審査員の方も、こうよく言われます。

 

ではどう解決したらいいの? 後述の「3.対策」に記載します。

 

 

 

 

■運用編

③Pマーク(プライバシーマーク)を何度も更新しているから、何も変えない。

「もう8回程Pマーク(プライバシーマーク)を更新しているから、問題ない。

社員1名(兼務)とパート2名で運用しよう。」

「ルール変えるのめんどくさいから、昔のそのままでいいよ」

 

 

これもやってはいけません。

 

 

自社でこんなルールはありますか?

A:「Pマーク(プライバシーマーク)の審査を通すには、毎年パスワードを変更しなければならない。」

B:「Pマーク(プライバシーマーク)の審査を通すには、すべてのPCのアクセスログを毎週チェックして、不審な侵入がなかったかチェックしなければならない」

C:「Pマーク(プライバシーマーク)の審査を通すには、持ち出しPCの管理表を作って、申請したもののみ持ち出しOKとしなければならない」

 

実はこのA~C、Pマーク(プライバシーマーク)の審査を通過するのには、すべて必要無いんです。

 

昔は審査で言われ、指摘され、ルールを作るのが一般的でした。

しかし、今の審査では、このA~Cのルールをごっそり削っても、Pマーク(プライバシーマーク)の審査に落ちることはありません。

 

 

パスワードの定期的な変更は不要ですと、審査ではっきり言われるケースもあります。

(参照:総務省 国民のための情報セキュリティサイト 安全なパスワード管理

 

そう、ルールを変えないことが従業員の首を絞めているのです。

 

 

 

3.対策

①マニュアルを従業員が読みやすいように改変する。項番ごとに手順書を細分化して作る。

②拠点ごとの手順書・マニュアルを作る。

③Pマーク(プライバシーマーク)を何度も更新しているから、何も変えない。

 

よし分かった!ではこの3つはやらない方がいいんだな。

でも、従業員は増えていく一方。

管理も大変だからPマーク(プライバシーマーク)の活動は効率よくやっていきたい。

どうすればいいの?

 

簡単で、一番効率的な方法があります。

それは「整理(=ムダなルールを削る)」からはじめることです。

 

最初に「マニュアルを見やすくする」や「手順書を整える」や「従業員に教育する」に

走りがちですが、それは「整頓」の活動です。

 

家の片付けと同じように、モノが多い(=ルールが多い)と部屋は片付きません。

まず、「整理(=ルールを削る)」そのあとに「整頓」です。

 

 

実は③で事例を出しましたが、多くの企業が「やらなくてもいい過剰な活動」をやっています。

 

・パスワードの定期変更

・来訪者記録を全来訪者に書かせている

・PCを持ち出すときは毎回申請書を記入・提出している

・アクセスログは毎週目視確認している

・台帳(個人情報の洗い出し)は、お客様毎・サービス毎に分けて1つずつ洗い出している。

・個人情報の保有件数は毎回正確に洗い出している

・教育テストを毎年一から作り直している

・委託先の現地調査、アンケート調査を実施している

・内部監査は、1部門2時間みっちりやる。内部監査だけで全社で3ヶ月はかかる

・内部監査は、机上で行い、いつも台帳とリスク分析を一緒に見て、「ここ違うね」と書類の指摘を出している

・マネジメントレビューは、パワーポイントで数十ページの資料を作り、社長に報告している。

 

こんな事例に当てはまると「やりすぎ」です。

御社はどうですか?

まず、手順やマニュアルを見直す前に、ルールの「整理」から始めてみましょう。

 

 

 

———–

私が所属する株式会社ISO総合研究所の「プライバシーマーク(Pマーク)お役立ちコラム」

こちら!

規格の勉強に役立つコラムが650コラム以上!

ちょっとした休憩時間に、覗いてみてはいかがでしょう?

 

プライバシーマークの担当になったばかりのあなたにはこちら!

「プライバシーマーク(Pマーク)の基礎知識」

 

 

執筆

個人情報保護コンサルタント

樋口 駿

累計300社超の会社を支援。継続率97%。

最近は300名~3000名規模の大手企業様をメインで支援している

 

編集

Web担当

永見 花奈

Webデザイナー出身。現在はISO総研にWeb担当として所属。

サイト構築や保守管理・SEO対策からDTPデザインまでその業務は多岐にわたる。

この記事のタグtags this cts has