LearnOについて教えてください
-最初は自己紹介からお願いします。
MogicでエンジニアをやっているYと言います。確か、インターンを合わせるとちょうど10年になります。正社員として入社して6年ぐらいですかね。LearnOの開発やアプリ開発などウェブサービスを開発しています。
-自己紹介ありがとうございます。早速ですが、LearnOについて教えてください。
LearnOは、eラーニングシステムです。オンライン、インターネット上で教育を受けることができるウェブサービスです。
-LearnOの特徴について教えてください。
そもそも、eラーニングサービスは、堅苦しいイメージのものが多かったんですけど、〈LearnOは使いやすくて親しみが持てるようなデザイン〉に力を入れてます。PC以外のスマホやタブレットで受講するときに見やすいところなどを特徴としてるようなeラーニングという感じです。
LearnOは、どんな取り組みをしていますか?
-LearnOでは、どんな取り組みをされていますか?今回は、Pマークの審査編ということなので、Pマークまわりのところを教えてください。
大きくLearnOっていうサービス自体でシステム的にどういう風に守っているかっていうお話もあるんですけど。今回のPマークっていう面でいくと、LearnOに関わってる人たち(開発をする人、セールスの人たち)がLearnOを使ってお客さまとやり取りをしている中で個人情報を漏らさないような体制を作っています。
Pマークについて教えてください
-そもそも、Pマークって何ですか?
Pマークは、〈ちゃんと個人情報を管理している企業です〉という認定です。いくつか認定できる機関がありますが、Mogicは、JUASさんに認定してもらっています。2年に1回お願いをして、ちゃんと管理しているかチェックされて認定していただいています。
-どうしたらPマークを取得できますか?
ざっくり説明すると、認定する機関に対して新規の場合だと「Pマークを取得したいです」と申請を出す感じです。有効期限がだいたい2年間と決まっているので、また二段階の審査を受けて更新をしていく形になります。Mogicの場合は、すでに取得しているので今は”更新”になります。
審査は、〈書類審査〉と〈現地審査〉の二段階があります。書類審査のタイミングで、「私たちの会社はこういうルールで個人情報を運用してます」という規定のような書類がたくさんあります。その書類一式を送って、まず機関側でちゃんと規定として成り立っているのかをチェックしてもらうのが書類審査です。まず一段階。
書類審査で「大丈夫ですね」となったら、次が現地審査です。具体的には「こういうルールでやってください」と言っても実際にされなかったら全く意味がありません。謳っているルールに基づいて、個人情報がちゃんと管理されてるのかというのを記録や社内の様子をチェックして、「確かにされてます」と確認するのが現地審査、二段階。
これらのチェックが完了したら、Pマークが発行されるという感じです。

Pマークの取得に向けて、どんなことをしていますか?
-Mogicでは、Pマーク委員会っていうものが作られていますが、どんなメンバーが選ばれているんですか?
今は、昨年経験したベテランと各部署の若手メンバーが選ばれてます。結局、全員がちゃんと理解しないと意味がなくて、例えばエンジニアの人たちだけが理解してて、他のチームの理解が足りなくてメールのやりとりから個人情報が出てしまった……ではまったく意味がないんです。
-Mogicではいろいろ活動したり、委員会とかを作ったりする時に、トレーニング的な意味合いを持たせたりしてるかなと思うんですけど。Pマーク委員会の運営のところでトレーニング的なところってあるんですか?
そもそも若手のメンバーを選ぶというところが、トレーニング的な意味がほぼ半分は占めています。
Pマークは結構、守りの思考というか、書類審査に必要な要件を漏れなく洗い出して、リスト化したものを1個1個チェックしていくというような作業をしていくことになります。
Mogicは、外部の方に「おもしろいことやってますね」や「いつも新しいことに挑戦していますね」のように伝えて頂くことが多いんです。例えば、MicroTech(インターンを中心にゼロからプロダクトを作るプロジェクト)であったり、ディスプレイ(Mogicのオフィス1Fに季節やイベントの展示をしている)のような、勢いのあるイメージのプロジェクトですね。
でも一方で、会社として守るべきところはしっかり抑えておくっていうのも同時に必要です。その目線や感覚のようなものを養うことが、意味合いとしては一番大きいと思います。結構かしこまった書類なども多いので、そういったものに触れるひとつの機会となっています。
苦労話あれこれを聞かせてください
-準備期間は、どれぐらい取ってるんですか?
審査のために書類の印刷とかも必要なんですが、その印刷を用意するのは2カ月前くらいから本格的に始めています。特にバックオフィスの方々を中心に協力してもらい助かっています。
苦労話と言っていいかはわかりませんが、Mogicも毎回審査していただく中で、制度を見直して整えてきているので、指摘が細かくなっていると思います。穴だらけだったところをちょっとずつふさいできているんで、細かくならざるをえないのですが、それは良くなってるということで、いい傾向だと考えています。
-意識づけみたいなイメージでしょうか。
そうです。
-質問に戻りますが……、ここが毎度しんどいとか、愚痴とかありますか?
特にないです。ここ2回ぐらいのPマークの審査でも、契約書や見積もり請求の扱い方、社内の体制ってのはかなりのスピードで変わっていて。自分たちでもツールを作るし、メンバーへの浸透もものすごいあっという間に進むし、変化もしていくので、そこに合わせてちゃんと個人情報の洗い直しや、チェックをするのは、スピードが早くなっています。それが、Mogicの強みがあるがゆえに、Pマークの審査の準備もスピード合わせないといけないので、そこが大変かなっていうぐらいですね。
あとは強いて言うならば、新しくPマーク委員会に入ったメンバーたちに「Pマークってこういうものだよ」と教えるところは大変かもですね。
-心の声が聞こえました。
難しいですね。それを両軸でやらないといけないっていうのが大変なところです。
-準備を進めるのに工夫しているところ、Mogicならではのノウハウや工夫していることはありますか?
工夫しているところですか…、セキュリティ教育をするにしても、書類を準備するにしても、一つのイベントとして実施していますね。セキュリティ教育も、ただ真面目なスライドを作って理解するだけだと知識の定着につながらない、ということであえてゲーム感覚で学べるスライド作ってみたり、ドラマ仕立ての動画を撮るなど印象に残るようイベントを絡める工夫をしています。
-イベントと絡めるっていうのは、Mogicならではかもですね。
かもしれないですね。

eラーニング業界では一般的だと思います
-そう言えば、eラーニング業界ではPマークの取得は一般的なんですか?
eラーニングだと、割と取っているというのが一般的かもしれない。結構大企業のお客様とかだと、eラーニングに限らず、他のサービスを会社で利用したいですって言う時に、チェック項目があります。そのサービスを使って大丈夫かという項目がある中で、セキュリティもチェック項目にあって。「LearnOって、セキュリティ面大丈夫ですか?」「この辺ちゃんと管理されてますか?」みたいものがあるんですけど。「Pマーク取ってます!」とお伝えすると、安心して導入を検討してもらえています。
-やっぱりお墨付きじゃないけど、安心感につながるんですね。
逆に言うと、取ってないとそもそもアウトっていうこところもありました。LearnOのお客さんで医療業界とか、最近だと銀行とかちょっと大きな会社も増えてきてたので、Pマークの取得は必要ですね。
代表インタビューで聞きました
-何か言い足りないことありますか?
今、思い出したことなんですけど、Pマークの最初の審査で代表インタビューがあったんです。代表に個人情報について、どういう考えを持ってるかお聞きするみたいな感じで。
-そうなんですね。
代表が話していたことで大事だなと思ったことがありました。「システム面の情報漏洩対策ももちろん大切なんですが、世の中で言う情報漏洩は、結局人。基本的にヒューマンエラーなんですよね。間違えてメール送っちゃったとか、パスワードを良くないやつ使ってたとか、個人個人のヒューマンエラーに起因する場合が多い。人を含めた全体での仕組みとして作らないといけない。システムだけすごく守っても意味がないし、逆に言うとルールだけ徹底してもまったく意味がない。人を、ちゃんと育てて教育していかないと、究極の意味での個人情報を守るための仕組みにはならないから、そこを大切にしてます」というようなことを言っていました。まさにそうだなと思っているので、Pマークの更新をしつつ、みんなが興味を持ってもらえるような社内教育を考えて運営しています。
-最後にいい話でまとめてもらって、ありがとうございました!私も分かっていなかった話が聞けて、よかったです。
大変なこともありますが、がんばります!ありがとうございました。