その成長の過程において、Pマーク取得がどのように寄与してきたのか、同社執行役員兼情報セキュリティ委員長の江部隼矢に話を聞いた。
アウトドアスポーツやものづくり体験、遊園地や水族館、日帰り温泉など、640種類以上の「遊び」を取り扱うレジャー施設予約サイト「アソビュー!」。昨今の観光需要の高まりも手伝って、会員数は1,500万人にものぼるという。この電子チケットサービスは現在、公営施設も含め4,000施設以上に導入されている(2024年11月時点)。
運営元のアソビュー社は、観光業が低迷したコロナ禍において、一時は売り上げゼロになるほどの窮地に陥りながらも、顧客第一主義を貫き、見事V字回復を果たした。幣誌の「日本の起業家ランキング2025」でも代表取締役の山野智久が第7位に選出され、2年連続の選出となっている。
その企業成長を支えた同社の情報セキュリティに対する高い意識はいかに醸成されたのか。さらには個人情報を安心・安全に取り扱うためのインフラはどのように整備されたのか。同社執行役員兼情報セキュリティ委員長の江部隼矢(写真。以下、江部)に話を聞いた。
お客様の安心・安全を担保するためPマークもいち早く取得
「私たちは、『遊び』を起点としたwellbeingな社会の創生を実現するために『3つのValue』と『12の約束』を掲げ、顧客視点を重視しています。その約束事のひとつとしているのが、『誠実であれ』。つまりお客様の安心・安全を確実に担保することは当然のこととして全社員が受け止めているのです」同社は、レジャー・観光・文化施設を「パートナー」、ユーザーを「ゲスト」と呼び、顧客の困りごとを解決するために、「12の約束」を設けている。「ゲスト」の個人情報を安心・安全に取り扱うことは、「ゲスト」と「パートナー」をつなぐサービスを展開する同社にとって必須条件だった。そのため、15年ごろから日本産業規格「JIS Q 15001 個人情報保護マネジメントシステム−要求事項」に準拠した審査基準に基づき、「適切な保護措置を講ずる体制を整備している」と認められた事業者に対して付与されるプライバシーマーク(以下、Pマーク)の取得についても、いち早く動き出していた。
同社のPマーク管掌執行役員であり、各部門から選出されたメンバーで構成される「情報セキュリティ委員会」の委員長も務める江部は、取得の背景についてこう語る。
「『アソビュー!』のサービスを立ち上げた当初から、システム開発における情報セキュリティを含む個人情報の保護・管理の重要性は念頭にありました。個人情報の管理体制の構築・運用においてPマークはひとつのスタンダードととらえていましたので、顧客サービス向上のために掲載商品を一気に増やしたタイミングで、取得に動き出したのは当然の流れでした。新規取引先となる遊園地や水族館などから、個人情報の取り扱いや情報セキュリティにまつわるチェックシートの提出を求められる場面が増えましたが、そのような実施体制の説明機会においてもPマークを示すことで端的に理解いただくことができました」
Pマーク取得に向けた取り組みが独自の基準やルールを見直す機会に
05年4月全面施行された「個人情報保護法」に伴う世の中の意識の高まりも、取り組みを加速させる要因となった。個人情報保護法にも対応した個人情報管理体制の整備にあたっては、Pマークの審査基準がフレームワークとして機能したと江部は振り返る。「それ以前は、情報セキュリティに対する意識はあれども、それぞれが独自の基準やルールで管理していたために、果たして本当にそれですべての要件を満たしているのかという不安がありました。個人情報を守るために『いつ』『誰が』『何のために』『何をやるべきか』の一定のガイドラインを得られたことで、自信をもって業務にまい進できるようになりました」
パソコンにセキュリティツールを入れるだけでなく、定期的にアップデートする。文書管理を行う際も、紙やエクセルシートは極力減らす。日々の業務のなかで従業員一人ひとりが危機意識をもち、オペレーションを徹底することがアソビュー社の方針だ。世界中で多発するランサムウェアの問題も、実は従業員のセキュリティ意識の低さが要因になっていることが多いと江部は自らを戒める。
日ごろの業務と並行して、意識を高めることは容易ではない。デジタルトラストの重要性を社内に浸透させるために、同社はどのような取り組みを行っているのだろうか。
「社内の各部門から半期ごとに交代でメンバーを集めてセキュリティ委員会を設置して、定期的に勉強会を実施し、セキュリティパトロールも行っています。身近な事例を共有することで、『これは対岸の火事ではない』『明日はわが身』と認識してもらい、自分ごとにしていきました」
個人情報の保護・管理を強化することで自分たちが守るべきものは何か、そのためには具体的にどのようなプロセスを踏むべきか。各部門の委員それぞれが考えることにより個人情報保護の意識を社内全体で共有できたことが、ひとつ大きな学びだったと江部は説明する。
「各部門のセキュリティ委員が中心となって、その時々の社内の状態に合わせてチェック項目をアップデートしています。Pマークの2年ごとの更新審査はそれらを見直す機会にもなっていますね」
事業の種類が増え、組織の構造が変化するにつれ、人為的な理由によってそれまでの運用が引き継がれなくなることもある。それをきちんと担保していくためにも、更新審査は役立っているという。最初の取得時こそコンサルタントの協力を仰いだものの、更新にあたっては、コンサルタントに頼ることなく自力で審査に臨んでいる。各部門を横断するセキュリティ委員会で自主パトロールを行うことで自走できる体制が整ったからだ。
リスクに対する準備を怠らず誠実に対応する
アソビュー社の事業の基盤には、顧客課題を先読みし、自分たちがこれまで培ってきた知見を総動員することで、顧客に解決策を提示する文化が根付いているという。コロナ禍におけるレジャー施設向けの感染拡大防止ガイドラインの作成や日時指定ができるオンラインチケットシステムの開発などは、結果として同社の予約管理システムのDXを加速し、コスト低減や売り上げの向上といったレジャー業界のサステナブルな施設運営にも貢献した。「平時から準備を怠らなかったからこそ、有事の際にもいち早く対応できた」と江部は胸を張る。「サービスを利用する顧客の立場になって考えれば、預けた自分の大切な個人情報が保護され、しっかり管理されているのは当然のこと。そこで万が一漏えい等の事態が発生すれば、もう二度と使っていただけないでしょう。事業継続にかかわる大きなリスクです。常にリスクに対する準備を怠らず、誠実に対応してシステムの可用性や堅牢性といった守りを固めることが大切です。そのひとつがPマークの取得・維持であり、早い段階で取り組んできたからこそ、その過程でつかめたフレームワークが、今後の当社のグローバル戦略にも生かせるものだと確信しています」
日本情報経済社会推進協会(JIPDEC)
https://www.jipdec.or.jp
えべ・じゅんや◎2012年カタリズム(現アソビュー)に参画。執行役員CTOとして「アソビュー!」の事業立ち上げを実施し、取締役上級執行役員CTOなどを経て、24年7月より執行役員に就任。
