Case Study：株式会社日本旅行（ISO27018）

株式会社日本旅行（東京都中央区）

顧客の個人情報保護への関心が高まる

日本旅行は1905年創業、旅行業界の最古参企業である。1957年に国鉄乗車券の受託発売を開始し、「みどりの窓口」を開設したことで知られている。2001年に西日本旅客鉄道株式会社TiS本部と統合した。コロナ禍のインバウンドや旅行需要の激減により大きな打撃を受けたが、他の事業を拡充するなど急場をしのいできた。

そのようななか、自社開発の出張管理システム運用においてクラウドの利用が中心になっているため、「グローバル展開している顧客を中心にクラウド上での個人情報保護に対する関心が高まり、マネジメントシステムで情報を管理することが求められてきている。」とビジネストラベル事業部の辻本事業部長は言う。

そこでISO27018の発行を知り、顧客から求められている仕組みと合致すること、自社の管理強化ツールとして有効であることからISO27018の構築、認証取得にチャレンジすることを意思決定した。

システムを構築、運用することが、顧客の安心、従業員の意識向上に

システム構築にあたり、まず方向性とスケジュールを決定し、認証取得経験のあるISO27001（情報セキュリティマネジメントシステム）の骨組みをベースに、クラウドにおける個人情報保護のあるべき状態を部門全体で模索するうえで出張管理システムである「出張なび」については、大企業・大学などを含め多くの顧客に利用されていることから、情報保護に一層の管理策を徹底した。また、個人情報保護法が強化されてきたことも活動を後押ししたといえる。

辻本事業部長は、「旅行業界では弊社が初の認証取得であるが、業界全体の課題は共通であり、今後は同業他社にも広がっていくのではないか」と予測する。

また、当規格を通じてご利用法人へ情報を発信することで、顧客とサービスレベルを共有できる点もさることながら、社内の体質強化にも寄与した。これまで慣例で運用されていた管理手法が文書化されることにより、従業員の教育訓練、自覚を促すことにつながっている。
「当初、現場スタッフが認識していなかったルールについても手順や管理策を整備し、周知したことで、これらに対する従業員からの提案や意見が出るようになった。」と辻本事業部長はメリットを感じている。

全社的運用に

現在の認証範囲は出張サービスに限定されているが、旅行業が取り扱う個人情報は膨大であり、他の事業についても拡張することを検討していく。しかしながら、「まずは足元をしっかり見て、営業スタッフを含む対象人員全員がシステムを確実に運用していくこと、そして同時に、顧客にとって当社の情報管理に関する信頼性が向上することを目指したい。」と締めくくった。

2023年10月31日、認証書授与式にて
左から、株式会社日本旅行　ビジネストラベル事業部　マネージャー　松本氏、事業部長　辻本氏
ビューローベリタスジャパン株式会社　システム認証事業本部　本部長　水城

ISO27018について

ISO27018とは既存のISMS（ISO/IEC 27001）規格をベースとして、特定の分野（＝この場合は個人情報）固有の要求事項を追加するアドオン規格のひとつ。クラウド上で取り扱う個人情報を、安全に運用するための規範として位置づけられ、プラットフォーマーと呼ばれる大手IT企業が認証を取得している。

2023年10月31日取材