株式会社elseif様 – 顧客事例 –

— LRMへのご依頼内容をお話しください。

株式会社elseifは、2021年9月にPマークの新規取得コンサルティングを依頼しました。担当コンサルタントは、川島さんです。
2022年5月に現地審査を終え、2022年7月にPマークを取得しました。

— まずは御社の事業についてお聞かせください。

8期目がスタートした会社です。ビジネスの柱が2本あり、1つめの柱は、システムの受託開発、もう1つの柱が自社開発サービスの製造・販売です。サービスの内容としては、健康診断の予約をするためのサービスやコロナワクチン接種を予約するサービスなどがあります。
また、創業当初から、障がい者の就労支援事業を行う株式会社カムラックと協業しています。障がい者の就労支援は国の認可サービスであり、障害のある人がPCを使って仕事をして経済的に自立できるように、elseifのメンバーと一緒に働いています。

— 受託開発のお客様はどのような方が多いのですか。

我々が直接お客様から受託する場合もありますし、システム開発会社のもとで業務を受託することもあります。
比較的、医療関係の事業を行うお客様が多いような印象を受けます。そういった業務を行う中で、健康診断予約などのニーズがあることが分かり、健康診断業務における受付システム「LIFES」への開発に繋がりました。

— 健康診断業務における受付システム「LIFES」はどのような場で活用されているのでしょうか。

病院や自治体が多いです。
これまでは、専業主婦の方など、特定の会社に所属していない方が健康診断を受ける際は、病院に直接電話をして予約が必要でした。電話でのやりとりだと、どういうメニューがあって、何を実施するかを細かくヒアリングして調整するので、非常に面倒です。LIFESであれば、Web上で予約ができます。
また、会社の健康診断においても、業務都合で予約日時を変更することもあります。規模が大きい会社だと、総務など特定の部署に連携して、病院に連絡してもらう必要があったりします。LIFESであれば、予約変更もWeb上で簡単にすることができます。

— 障がい者の就労支援は、どのような経緯で開始されたのですか。

elseif創業前から代表の高森が障害のある人と一緒に働くことに強い関心があり、当初は、先に創業していた株式会社カムラックで働かせてほしいとお願いしたそうです。ただ、起業して一緒に事業をやっていこうと誘っていただき、高森がelseifを立ち上げて、株式会社カムラックとは協業関係になりました。

— 御社では、シニア世代や女性の方の雇用も積極的に行われていますよね。

そうですね。シニア世代では、還暦を過ぎている方とも一緒に働いています。また、主婦の方など、働くことができる時間は限られているけれども、ITスキルがあるという方にも門戸を広げて、共に働いています。

— 大分にもオフィスがありますが、地方の活性化を目指されていたのですか。

そうですね。弊社代表の高森の出身が大分ということもあります。また、当初、大分県や大分市の職員の方が障害のある方や女性の活躍に注目されており、「カムラックとelseifの取り組みをぜひ大分でも展開してほしい」と企業誘致のご相談を受けたことも背景にあります。

— Pマーク取得を検討されていた当時のご状況をお聞かせください。

企業規模は現在と変わらず、20名ほどです。
健康診断業務における受付システムである「LIFES」が形作られてきている状況でした。すでに受注され始めていましたが、今後さらに医療・公共の場でビジネスを拡大していく上で、Pマークを取得していることがスムーズな事業展開に繋がると考えました。

— 情報セキュリティ認証にはISMSなどもあると思いますが、今回Pマークを取得された理由はございますか。

ISMSについては、今後取得するかどうかはまだ検討段階です。ただ、調査したところ、Pマークの方が早く動き出しができそうだったということがあります。
また、お客様とお取引をする際に、セキュリティに関してチェックシートへの記入を求められることがあります。そういったチェック項目の上にPマーク取得有無が問われるものが多くあります。Pマークを取得していない場合は、個人情報の管理者などを記載していく必要がありますが、Pマークを取得していると、10項目ほどをスキップすることができます。そういった背景から、Pマークを持っているとよりスピード感をもって事業を推進できると感じました。

— Pマーク取得前の従業員の方のセキュリティに対する意識への印象はいかがですか。

elseifは中途採用の社員の方が多く、個々のセキュリティ意識は弱くはなかったと思います。皆さん、前職などで、基本的なセキュリティについては認識されていました。また、社内の情報セキュリティについてこうしていこうといった教育なども実施していました。ただ、elseifは設立して間もない会社ですし、従業員もまだ少ないので、体系的な情報セキュリティルールは何もできていないような状況でした。

— Pマーク取得前に社内教育を実施されていたとのことですが、どのように実施されていましたか。

小林が情報セキュリティの資格を持っているので、教材を作成して実施していました。elseifでは月1回ほど全体会議を行っており、その場で5～10分ほど時間をとって教育を行っていました。

— Pマーク取得のお取り組み体制をお聞かせください。

主に、副社長の安永、小林、梶原の3名でPマーク取得に取り組みました。
梶原は、認証取得当時は、大分事業所の一人目のメンバーとして、大分県の大分市にいました。
小林は、お客様から受託したテスト業務について、障がい者の方と一緒に業務を行っています。障がい者の方は20名ほど在籍しています。お客様からテスト業務を受注し、仕事を各メンバーに割り振って、期日通りに遂行できるようにマネジメントしています。

— お二人は、Pマーク取得のご経験はございましたか。

梶原は、取得や運用の経験は全くありませんでした。
小林は、前職のメーカー企業で情報セキュリティの責任者をしていました。Pマークなどの情報セキュリティ第三者認証は取得していませんでしたが、品質管理マネジメントのISO9001認証を取得しており、内部監査対応なども行っていました。

— Pマーク取得にあたり、ご懸念はございましたか。

Pマーク取得を決定する前から、業務で関わりがある企業で、Pマーク運用をやめたという話をよく聞いていました。取得する時のドキュメント作成が大変で、そのドキュメントを更新し続けていかなければならないのも大変など、複数聞いていたので、目に見えない漠然とした不安はありました。そのため、なるべくelseifの労力がかからないかたちでPマークを取得したいと考えていました。

小林の前職でも、ISMS取得の話が上がっていたのですが、取得・運用にかかる人件費などのコストを天秤にかけると、取得・運用のコストの方が高いのではないかとなり、取得しなかったことがありました。elseifは規模が小さいので、きちんと体制をとれるのか不安もありましたが、代表の高森が取得すると判断したので、「今までの知見を頑張って使います」と取り組みをスタートしました。

— Pマーク取得の期限などはございましたか。

会社からはなるべく早くというリクエストがありました。LRMさんには、営業段階から最短で何か月で取れるのかを確認していました。取り組みが始まってから、担当の川島さんにも、いかにして短時間で取得できるかを相談していました。取り組みの優先順位として、取得スピードは高かったです。

— コンサル会社は何社かご検討されましたか。

いいえ、今回はLRMさんだけです。
LRMさんに梶原の知人がいましたので、Pマーク取得にあたってご紹介いただきました。
LRMさんとお話をしてみて、創業から情報セキュリティのコンサルティングを行っていることと、取得が100％保証されていることから、知識が豊富で任せられるという期待が持てたので、ご依頼しました。

— 取得スピードと労力を最小限にという目標をお伺いしましたが、お取り組みを振り返ってみてご感想はいかがでしたか。

取得期限としては、申請直前に、梶原が大分から東京に転居したこともあり、すこしバタついてしました。
ただ、LRMさんが対応すべき箇所においては問題なく進行したと思います。

労力に関しては、こんなに少なくていいの？というくらいの労力で済んだ印象です。
取得に向けた全体的なスケジュールが設計されていて、どの期間にどういったドキュメントを作っていかなければいけないかがきちんと整理されていました。我々として、どこでどれくらいのコストをかけるべきかを検討しやすかったです。また、LRMさんの方で、作成物のひな形がすべて準備されていて、かつ、elseifがどこに何をいれるべきかが記載されており、すごく楽でした。通常であれば、条文を読み解いて、何をすべきかの洗い出しから対応する必要があると思いますが、今回、elseifとしては必要最小限のコストで対応できました。あとは、作成物に対して、川島さんがチェックをくれて適宜アドバイスしてくださったのも、とても助かりました。

— 本業との兼ね合いはいかがでしたか。

折り合いをつけなくてはならないほど忙しかったということは全くありませんでした。
隔週で川島さんの説明等を聞いて、それに応じて適宜対応していくという感じで、小林が前職でやっていたときよりも全然楽でした。笑

もしかすると、梶原と小林よりも、代表や管理部門のメンバーの方が忙しかったかもしれません。個人情報の保管期間をはじめとして、想定していなかった範囲も決めていく必要があった場面も多かったと思います。

— Pマーク取得後に社内外で変化はございましたか。

経営層は、名刺にロゴが入ったことを喜ばしく思っていました。
社員は、割と静かな方が多いので、反発も含めて、大きく声が挙がることはありませんでした。先述した通り、ベースとしてセキュリティはやるべきという認識がありますし、社員に負荷もあまりかかっていないので、ピンと来ていないのかもしれません。
声として挙がってきてはいませんが、営業においてはPマーク取得がelseifへの信頼獲得に繋がっているのではないかなと思います。

— 御社が扱う個人情報はどのようなものがございますか。

受託開発業務においては、名刺以外には個人情報をお預かりすることは基本的にありません。会社全体でお預かりしている顧客情報としても、名刺の他には、フォームからのお問い合わせ内容くらいです。あとは、従業員に関する情報を扱っている状況です。

— 今回のお取り組みで時間がかかったところはございますか。

審査資料の印刷です。今回は、熊本の審査機関を選びましたが、印刷して提出する必要があったので、Indexもつけて中表紙も丁寧に印刷・作成したのですが、意外に大変でした。
それと、現場審査に向けて、前日に社内リハーサルを行いました。

— 内部監査とは別で審査に向けたリハーサルを行われたのですか。

そうです。先述した通り、システム開発業務に関しては、個人情報を取得しているわけではないですし、名刺の管理や問い合わせ内容の管理が聞かれるだろうと想定し、確認を行いました。また、従業員情報については、もともと管理していなかったわけではないのですが、どれくらい保有するかや、どれくらいで破棄するかという概念がなかったので、今回新たにルールを決めました。リハーサルでは、それが本当に管理部の方に腹落ちしていて、審査で聞かれたときに答えられるのか等を確認しました。

— 印刷作業の他に、時間がかかったところはございますか。

情報セキュリティのガイドラインを作る工程は、少し時間がかかったかなと思っています。
会社の中のセキュリティをこういうルールでいこうねというのを、IPAの中小企業向けの情報セキュリティルールのひな形をベースにしつつ、LRMさんのひな形をカスタマイズしていきました。そのガイドライン検討と、全社員に展開するのに、少し時間がかかったかなという印象です。

— ガイドラインを作成する上で、注力された点はございますか。

セキュリティの事故がおこったときのエスカレーション部分を、いかに早くするかを重視しました。事故が起こってしまったとしても、そのエスカレーション部分の整備ができていれば、きちんと対応できると考えました。ここは一番重視して、社員にも周知徹底しました。

— 業務フローを変更するようなルールなどはございますか。

ありません。今回は、基本的なセキュリティルールを決めたので、個々の業務フローに影響が出るようなルールは設けていません。業務が煩雑になるといった影響が出ないようにルールを決めていきました。

もしかすると、システム開発において、ファイルサーバのバックアップ対応は煩雑に感じている人はいるかもしれません。ただ、ノートPC利用時の盗難防止について、ワイヤロックをする方法もありますが、今回はオフィスの物理的なセキュリティが強固だったため、それを利用して、新規で追加対応することなく楽にしました。
そういった形で、川島さんとも相談しつつ、バランスを取っていきました。

— 今回のお取り組みに際して新しく導入したツールはございますか。

情報セキュリティ教育クラウド「セキュリオ」を導入しました。非常にシンプルで使いやすく、初めに管理画面でボタンの配置や動きを理解した後は、マニュアルをあまり読まずとも利用できました。

— セキュリオはどのような場面でご利用されたのですか。

従業員へのeラーニング実施と、社内アンケート実施、委託先管理をメインで利用しました。
従業員への教育は、セキュリオ上に登録されているLRMの教材を少し自社にあわせてカスタマイズして実施しました。教育については、実施履歴を残す必要がありますが、セキュリオですべてまかなえたのが楽でした。
委託先管理では、そもそも社労士やSaaSベンダーを管理するという概念が今までありませんでした。相手がアンケートに回答してくれるのかという点も今回はじめて検討しました。セキュリオの委託先管理機能の利用が、どこに個人情報が置かれているのかをはっきりしなければと気づくきっかけになりました。

— セキュリオは、今後も引き続きご利用されるのですか。

今後も利用したいと考えています。eラーニングや委託先管理のほかにも、セキュリオでは月1回ほど、セキュリティに関するトピックのニュースが配信されます。社内の全体会議の場で、高森からセキュリティに関する話をしてほしいと要望をもらっているのですが、セキュリオのニュースのトピックをもとに話したいと思っています。やはり、トピックがないと話すのは難しいですし、LRMさんが出しているトピックは世の中の動きを反映しているものだと思うので、今後も活用できればと思っています。

— セキュリオのニュース機能でこれから題材にしてほしいトピックはございますか。

従業員が起こしたセキュリティ事故事例に関するトピックだと、社員にも興味を持って読んでもらえるかなと思っています。単なる事故事例の紹介だけではなくて、LRMさんの知見を交えて、注力すべきポイントをアドバイスいただける内容だと非常に助かります。

— 内部監査は福岡と大分の事業所どちらも行われたのですか。

福岡のみで行いました。内部監査は、LRM川島さんに対応してもらいました。
台帳が作成途中であったり、委託先管理のアンケートでまだ送付できていない所があったりというような指摘事項を受けました。ただ、いずれも認識はできており、対応想定だったので、審査までには問題なく完了できました。

— 審査を受けてみられたご感想はいかがですか。

elseifとしてはもちろん、梶原は担当者として審査を受けるのは初めてでした。
そのため、まずどの審査機関に依頼すべきかから考えました。九州に本社があるということから今回は熊本のKPJCさんを選びました。「九州でPマークを取得するならKPJCさんだよね」とおっしゃる九州の企業さんが多かったことも一因です。

後は、審査員の方に、どういう風に質問されるのかが不安でした。ただ、小林は前職でISO9001を取得しており、審査対応の経験もあったので、そこまで大きい懸念点はありませんでした。

— 審査員の方はどのような方でしたか。

最初は我々も緊張していましたが、相手も経験豊富な方でしたので、コミュニケーション面で審査員に対してネガティブな印象は抱きませんでした。
指摘項目については、事前に川島さんから指摘がゼロということは審査員の立場上おそらく無いと聞いていたので心構えができましたし、結果として、指摘事項は出ましたが、少なかったです。頂いた指摘事項についても、比較的すぐに対応できるようなものでしたので、スムーズにPマークを取得できました。

— LRMのサポートはいかがでしたか。

Chatworkでやりとりができた利便性は大きかったです。当時は社内やりとりもChatworkで行っていたのですが、その延長線上でLRMさんともコミュニケーションが取れたので、非常に良かったと思います。Pマークを早く取りたいという期待に応えてくれたと思っています。川島さんは優しくて、我々としては非常にやりやすかったです。

— 今後の展望についてお話しください。

創業当初から受託開発をご提供してきました。システム開発の在り方として、SES（技術派遣）というかたちもありますが、elseifではあくまで受託開発に拘り取り組んできました。
受託開発というビジネスの基盤を盤石にしつつ、2本目の柱として、「LIFES」などの自社パッケージを創出して幅広く展開していきたいと思っています。

受託開発では個人情報の取り扱いはそれほどありませんが、これから「LIFES」をはじめとした自社パッケージを拡販していく中で、取り扱う個人情報も拡大していくと思うので、より一層気を引き締めていきたいと思っています。

LRMさんとは、運用改善サポート「情報セキュリティ俱楽部」と「セキュリオ」を契約するつもりです。
まだ、Pマークの更新審査は受けたことがないので、課題もまだすべて見えていない状況です。更新審査を受けたときに見えた課題に対して、運用サポートというところでアドバイスいただければと思います。
また、会社の本業に対して、Pマークなどのセキュリティ観点からこうすればさらに事業が推進されるのではないかというアドバイスもいただけたらと思っています。

株式会社elseif様、お忙しい中ありがとうございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社elseif様のWEBサイト
※ 取材日時 2022年10月

他のコンサル導入事例を見る