同社はワインの店舗販売をおこなっていたが、2012年よりネット通販事業を立ち上げることとなった。
ネット通販の売上比率が高まっていく中で、経営陣自らが個人情報保護の重要性を認識し、プライバシーマーク取得を決意した。
受注データの管理が問題となった。
同社は、自社公式サイトだけでなく、楽天、Yahoo!、Amazon等に出店しており、受注データがバラバラに管理していたのだった。また出店先媒体の管理画面は接続元制限がかけられない仕様になっているため、認証情報を知っている従業者であれば、どこからでも受注データにアクセス可能であった。
プロジェクト開始段階でヒアリング、リスク分析をおこない、上記課題を残存リスクとして経営陣に報告することとなった。その結果、受注データを統合管理するシステムを構築し、個別の管理画面にはアクセスさせないように業務の組み換えをおこなうこととなった。
システム構築、業務改善に時間がかかったため、通常よりも期間を要することとなったが、同社はプライバシーマーク取得とセキュリティの底上げの両方を実現することとなった。
プライバシーマーク取得とセキュリティの底上げ、当たり前のことのように聞こえるが実は当たり前ではない。
プライバシーマークの最低レベルを狙っていけば、セキュリティを一切向上させることなく認証取得が可能なのである。多くの企業はその誘惑に負けてしまう。そしてそこに付け込むダメなコンサル会社がひな形販売、運用代行の格安プランを提案してくるのだ。この案件は、成功事例の一つとして、当社コンサル間でも事例共有することとなった。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ
