こんにちは。
クラシコムでカスタマーサービスを担当している「お客さま係」中村です。

2023年8月、クラシコムは「プライバシーマーク（以下、Pマーク）」を取得しました。

クラシコムは、なぜPマークを取得しようとしたのか、何を重視してプロジェクトに取り組んできたのか。

取得するまでの歩みについて、お客さま係 兼 クラシコム個人情報事務局の担当者の目線から振り返ってみたいと思います。

自己紹介　〜 情シスからお客さま係へ 〜

私はクラシコムに転職するまで、15年ほど事業会社の情報システム部門に勤めていました。そして、今から約2年半前にクラシコムにジョインし、現在はカスタマーサービス業務に従事しています。

私が所属する「ビジネスプラットフォーム部」の具体的な業務を書き出してみると、

• カスタマーサービス（お問い合わせ、受注・返品交換対応）

• メールマガジンの企画、ライティング、運営

• 中長期的な物流体制作り

• データ分析基盤の構築・運用

• 社内情シス活動……etc

と、本当に幅広いのですが、その名前の通り、「北欧、暮らしの道具店」、そして「クラシコム」の “ 土台 ” や “ 基盤 ” となるような部分の業務を担っています。

そのような中で、私は「お客さま係」をコア業務としつつ、前職の経験もあってここ1年ほどは社内情シス業務も担当したり、今回のPマーク活動も、土台作りの一環として取り組んでいます。

なぜ、Pマーク？

ーー「Pマーク」取得の是非について一緒に考えてほしいです！

プロジェクトの主担当に……と、私に白羽の矢が立ったのはクラシコムに入社してちょうど半年たった頃。社内では株式上場準備を進めるにあたって、公的な認証取得の是非を検討していた時期でした。

一般的な情報セキュリティ認証としては「ISMS」と「Pマーク」がよく比較されますが、検討の結果、クラシコムでは「Pマーク」を選択しました。

折しも、改正個人情報保護法の施行が控えていたことに加えて、「ISMS認証」は組織やプロジェクト単位で取得が可能であることに対し、Pマークは全社適用されるものであることなどから、社内体制を整えるという目的で「Pマーク」の取得を検討することにしました。

株式上場という会社のフェーズが変わるタイミング、そして法改正というタイミング……といった様々な変化が重なっていた時期ではありましたが、それら変化を「会社の土台作りの機会」と捉え、「Pマークそのものを理解しながら、その取得の是々非々を判断していこう」というプロジェクトはこうしてスタートしていきました。

経験値ゼロからのスタート

私も含めて、クラシコムでPマーク取得の実務経験があるスタッフはいません。

このため、Pマーク専門のコンサルティング会社に入ってもらおう、ということは、私がプロジェクトに参画する前の段階で決まっていました。

コンサルタントの方との定例会は、完全リモートで月1〜2回程度。定例会では、個人情報保護法とPマークの違いや、審査基準の原理原則的な話など、一つ一つ丁寧に説明いただきながら、提供してもらった文書ひな型をベースに社内規程や運用を固めていく、というスタイルで進行していくこととなりました。

Pマーク専門コンサルティング会社というのも多種多様で「指導しながら伴走してくれるタイプ」や「申請書類の作成代行までまるっと実施してくれるタイプ」などがありますが、クラシコムがお願いしたのは前者でした。

もっとも、文書代行までアウトソースしてしまえば、より短期間でPマーク取得ができたのかもしれません。ただ、その場合、根拠となる法令等をきちんと理解しないままになってしまったり、今後の法改正に自分たちで対応できなくなってしまう恐れもあります。

このプロジェクトでは、個人情報保護やPマークを理解することを目的の一つとしていたので、この選択が最適だったと思っていますし、今回伴走いただいたオプティマ・ソリューションズ社のコンサルタントの方の細やかな支援には、本当に感謝しています。

特に、Pマークの要求事項をどう咀嚼して社内に落とし込むか、というところで一番苦心したのですが、コンサルタントの方から、審査基準の解釈も含めたアドバイスを随時いただき、一歩ずつ個人情報保護やPマークに対する解像度を上げていったことが、経験値ゼロからPマーク取得に繋がった理由の一つだと思っています。

審査基準を理解する

Pマーク認定では、日本産業規格「JIS Q 15001」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づいた審査が行われます。

裏を返せば、「運用指針における要求事項を一つずつ満たしていった先にゴールがある」とも言えますが、一方で、Pマーク自体は、さまざまな事業者の規模・種類に適用できることを目的にしている指針であるため、公開されている運用指針には、細かな手順までは明記されていません。つまり、自社において何をすべきかを判断するのは、企業自身である、ということです。

そこで私は、個人情報の定義やその種類、また、業務委託や第三者提供時における留意点など、個人情報保護法も含めた基礎的な部分の理解が不可欠であると考え、運用指針で求められる個人情報の取り扱いの正しいフォームを知るために、しっかり読み込んでいくこととしました。

要求事項は、私たちにフィットするかどうか

システム開発における要件定義の手法の1つに「Fit & Gap分析」という言葉があります。

Fit & Gap自体は前職（情シス）でも何度か経験していたのですが、Pマークの要求事項と自社の運用を照合していく作業は、この手法に似ているなと思いながら進めていきました。

ただ、システム導入における主な目的が、「カスタマイズ要件（＝ 導入に向けてシステムに手を加える部分）を洗い出すこと」であるのに対して、今回は「要求事項に寄せすぎない（＝無理なカスタマイズはしない）」という点に、特に気をつけました。

なぜなら、Pマーク制度では「取得すること」が最終目的ではなくて、個人情報保護のことを社内スタッフがしっかりと理解し、運用を回していくことが本質で、その実現可能性も見極める必要があると考えたからです。

要求事項をきちんと理解し（＝ 正しい取り扱いフォームを理解し）、その上で、クラシコムにフィットする運用として構築できるかどうか。これが、私がプロジェクトを進める上で一番心を砕いたところでした。

これを実現するため、私は要求事項とその手順について、因数分解をしていくことにしました。

• 現時点で関連する社内規程・マニュアルはあるか

• 初年度（審査時）のタスクはなにか（例：記録の作成 等）

• 審査時に必要な文書とその承認者は誰か

• 次年度以降の通年運用はなにか（頻度と担当者は）

• 次年度以降の難易度（高・中・低）　※作業負荷が高いものを高に

ポイントは、Pマーク取得後の「次年度以降」の運用インパクトも含めて一覧で整理し、その難易度を数値化してみたところです。なお、何においても産みの苦しみはあると思っていたので、ここでは初年度の大変さはある程度割り切り、実運用における持続可能性を推し量ることにしました。

こうして「次年度以降の難易度」を含め、可視化した内容をプロジェクトメンバーともすり合わせた結果、全58項目中、次年度以降の難易度はほぼ「低」となり、「中」も数えるほどで「高」となるものはありませんでした。

もちろん、「個人情報の洗い出し」、「委託先管理台帳の作成」……など、作成すべき文書類は沢山ありましたが、ほぼ「低」となった理由は、クラシコムには既にベースとなる骨組みや運用ができつつある状況だったからでした。本プロジェクトより少し前を走っていた上場プロセスを通じて、情報セキュリティルールや安全管理措置などの運用の土台作りも完成していたのです。

こうして、上場プロセスだけでは整理や文書化しきれていなかった部分を拾い、Pマークの求める水準まで外形的に整え、補強していく作業については、時間をかけ丁寧に実施していくことができました。

Pマークを通じて、土台を作り、石橋を叩いていく

前段のような作業を経て、Pマーク取得の有用性、というのが自分の中でも見えてきたのがこの頃でした。

コンプライアンスとして個人情報保護法に準拠するだけでなく、より高い水準が求められる「Pマーク」審査を受けることは、私たちがこれまで実施してきた対策に漏れがないかを外部の目で診断・チェックするのに最適であると感じたからです。

また、個人情報保護法では「3年ごとの見直し」として2022年4月に改正法が施行され、今後もこの見直し改正は続いていきますが、この点、自社で取扱う個人情報を定期的に整理整頓し、適切に運用していくという、PマークのPDCAサイクルを回しておくことは、法改正の備えとしても有効なスキームであると感じました。

「Pマーク取得の是非」を問う形で始まったこのプロジェクトは、自社の活動の健康診断に繋がる最適で必要なものだと改めて認識し、一歩ずつ審査を目指し進み続け、最終的に書類審査上の指摘はゼロ、現地審査における指摘事項もわずか3つという結果で初回審査を終えることができました。

まとめ

Pマークプロジェクトの話を最初にきいた時、既に「お客さま」係として、日々お客さまの個人情報を扱っていたことや、以前勤めていた会社がPマーク取得済だったこともあって、声がかかった時はすんなりと、ごく自然に受け止めることができました。

また、その時は「Pマークって大変そうだ！」という気持ちもありましたが、それよりも「ビジネスプラットフォーム部っぽいプロジェクトだ！」とか、「お客さまの個人情報の一番近くにいるお客さま係ならうってつけでは！」という気持ちのほうが大きかったことを覚えています。

プロジェクトを進めている最中は、何が正解なんだろう、と迷うこともありました。そんな時も、社内メンバーやコンサルタントの方のサポートのお陰で、前に進み続けることができましたが、率直に「審査基準って、文章自体がそもそも難しい！」と感じたり、「社内監査って誰がどうやるんだっけ？」とふと周りを見渡したり、「クラシコムにフィットするんだろうか？」と、たたき台を作っては社内メンバーやコンサルタントの方にチェックしてもらったり。知識を補うため、個人的に個人情報保護士の資格を取得してみたり。

私の試行錯誤のあれこれを挙げるとキリがないのですが、自分としては手探りで洞窟を進んでいって、気づけば自然と洞窟を抜けていた……という感覚もあります。ただ、課題から目を背けず、プロジェクトで得た知識と理解をもって、『クラシコムはこれでいきます！』と自信を持って進めたことが、自ずと弓道でいうところの「正射必中」の構えとなり、Pマーク取得に繋がったのだと思います。

今回、外部審査やコンサル会社の支援といった外部の目を入れながら、個人情報保護の正しい理解をもとに、正しいフォームにあわせてクラシコムをかたどっていく良さを学べたと思いますし、地道な繰り返し作業の結果、これまでなんとなく自己流でできていると思っていた部分を、「きちんとできています」と胸を張って言えるようになった点は、日々のカスタマー業務においても、大いに強みになっているところです。

私たち「お客さま係」は、お客さまに「安心感」をもってお買い物やサイトを楽しんでいただくために必要なカスタマーサービスを提供していて、運用のアップデートも日常的に行っています。

Pマーク活動も、目に見えない土台部分を強くし、さらに、その土台やその上を流れる空気はきちんと循環しているかどうか、「安心感」のためにPDCAサイクルを回していく、という点で通ずるところがあると感じていて、今後も継続したいと思っている部分です。

もちろん、私たちは、Pマーク認定付与を受けたばかりですし、運用はこれからです。

お客さま係をはじめとした会社のスタッフみんなが、安心して業務に取り組めるように。

何より、お客さまがこれからも引き続きお買い物を楽しんでいただけるように。

今後も正しいフォームを保ちながら、お客さま係 として、また、個人情報保護の事務局スタッフとして、安心感につながる業務に取り組んでいきたいと思います。

▼Pマーク取得に関するプレスリリースはこちら