株式会社グッドパッチ様 – 顧客事例 –

— LRMへのご依頼内容をお話しください。

株式会社グッドパッチは、2021年7月にPマークの新規取得コンサルティングを依頼しました。担当コンサルタントは、宮崎さんです。
2021年12月に現地審査を終え、2022年4月に認証を取得しました。

— まずは御社の事業についてお聞かせください。

株式会社グッドパッチは、UI/UXを軸にデザインアプローチで企業の課題を解決するデザインカンパニー​​です。アプリケーションやWebサイト等のデザインに加えて組織自体のデザインなども行っており、デザインの力を使って顧客の課題解決に貢献しています。
また、自社開発事業もいくつかあり、デザイナーに特化した人材紹介事業の「ReDesigner」やオンラインコラボレーションツールの「Strap」などをご提供しています。さらにフルリモートワーク事業の「Goodpatch Anywhere」では、コロナ禍になる以前からフルリモートによるデザインやプロジェクトのサポートを実施していました。こうした事業展開を行いながら、UI/UXデザインの会社として日本ではじめて上場した企業です。

— デザインというとWebサイトなどを想像していましたが、組織自体のデザインもされているとは具体的にどういったことですか。

表層だけではなく、そこに至るまでのコンテキストやお客様の会社のプロダクト体制をしっかりとヒアリングした上でデザインを行っています。もともとWebサイトを作りたいと仰られていても、ヒアリングをしていく中でお客様の要望を最適化したものがアプリケーションであればアプリケーションのご提案をします。そういった際には開発までお手伝いできることもグッドパッチの特徴のひとつです。
組織課題でいうと、企業のビジョン・ミッション・バリューを設計することもあります。すべて要件が決まっているものをキレイに整えるというよりは、「こんなことがやりたい」「こういうビジネスがやりたい」というお客様の想いから始まって、お客様の状況をヒアリングしつつデザインの力を使って課題解決を行っています。

— お客様企業のデザイン支援に加えて、自社開発事業もされていますよね。

そうですね。「ReDesigner」はデザイナーに特化した人材紹介事業です。現在デザインを実施している方やこれからデザインの事業を行いたい方向けにご提供しています。弊社のデザインに関するノウハウを活用して、利用者様のやりたいことと企業の実現したいことのマッチング率を高い水準でご紹介しています。また、現在は学生向けにも人材紹介サービスを提供しています。
「Strap」に関しては、職種業種問わずにさまざまなビジネスシーンで利用いただけるオンラインプラットフォームです。チームでのコラボレーションを高めるソリューションとなっていて、導入される会社様にとっての分かりやすさを重視しています。ITツールを積極的に導入されている企業様や、チームでのコラボレーションに課題を抱えられている企業様、ツールに敷居を感じている企業様など幅広くご導入いただいています。

— 御社の働き方についてお聞かせください。

弊社は、居住地自由になっていて、弊社の拠点に通えなくても入社することができます。それは新卒も同様です。
「Goodpatch Anywhere」でフルリモートワークでの働き方をシステム関連のセキュリティなども含めて検証できていたので、緊急事態宣言が出る前からフルリモートワークへの移行が始まっていました。
弊社は社内サーバーがなく、クラウドで完結していますし、チームでのコラボレーションにおいても懸念材料はある程度解消されていたので、フルリモートワークにおいても問題なく業務ができています。

— 御社はデザイン企業として日本で初めて上場されていますよね。

上場したタイミングで他社からの期待感が変わってきたと感じています。社会的責任が明らかに増したと思っていますし、上場した企業として見られるため、弊社に対する期待値が上がったと感じています。
また、弊社を通して、デザインについて初めて触れた方もいらっしゃると思います。自分たちの信用を維持することがデザインの価値を維持する、デザイナーの価値を高めることに通じる部分もあると思いますので責任を感じています。

— Pマーク認証取得の経緯をお聞かせください。

Pマーク取得の理由は以下の二つが大きな要因です。

(1)新規顧客の開拓
ReDesignerやStrapなどの自社開発サービスについて、よりセキュリティを重視されている企業様にも利用いただきたいという想いがありました。特に、行政案件にもアプローチしていきたいと考えており、入札要件としてPマークやISMS/ISO27001が含まれていることが多くありました。情報セキュリティ認証取得を検討していた当時は、Pマークの方が要件として挙げられていることが多く、まずはPマークから取得していくことにしました。

(2)社内での個人情報に対する管理の仕組み化
Pマーク取得を機に、個人情報をきちんと管理していく体制構築をしたいと考えました。
ただ、個人情報の管理については、認証を取らなくてもきちんとやらなくてはならないですし、仕組み化は必要です。認証は、あくまで管理の仕組みを正しく評価してもらうためのものだと思っています。
認証を取得するために仕組み化を行うのではなく、個人情報の管理や仕組み化という元々やるべき課題に対して、その課題解決の推進をブーストするカンフル剤として認証取得に取り組みました。

— ISMS認証など、他の情報セキュリティの第三者認証の取得は検討されていましたか。

ISMSとPマークを両方取得する可能性もありました。
ただ、今回ビジネスを展開していく上で、Pマークの方が活用できそうだったのに加え、調べる中で、ISMSとPマークの両方を取得するのであれば、先にPマークを取得した方が手戻りが少ないと判断しました。
そういった観点からまずはPマーク取得を優先しました。

実は現在、「Strap」チームでISMS認証取得の取り組みをしています。セキュリティの最低限の地盤はPマーク取得の際に構築できているので、ISMS認証取得にも活きているかなと思います。

— Pマーク取得のお取り組みは遠藤様と片岡様で主に担当されたのですか。

そうですね。普段の業務としては、遠藤が情シスで片岡が総務を担当しています。
Pマークを取得するにあたり、全社のことをきちんと理解していて、ある程度取り組みを推進できる人物がふさわしいと考えました。そこで、まずは経理なども含めてバックオフィス全般に理解がある片岡が選ばれました。また、個人情報を守るにあたり、システムの理解も重要になってくるので情シスを担当する遠藤が選ばれました。

— おふたりは情報セキュリティ認証の取得のご経験はございましたか。

片岡の前職でPマークの更新作業を一部お手伝いしていたことはあります。その際は、会社のバックオフィス担当として、資料の洗い直しなどの作業に参加しました。Pマーク取得に携わるのは今回が初めてです。

左前は遠藤氏、左奥は片岡氏、右は弊社・宮崎

— 取得に際してご不安な点はございましたか。

「情報が使える」という可用性の担保と「情報を守る」ということとの線引きが難しいと感じていました。
ガチガチに縛っても可用性が担保されないと、そのルールを現場で運用するのは難しいと思います。やはり、ビジネスがちゃんと成立して、生産性が維持された上で、ディフェンシブなところをやる必要があります。
生産性が下がってしまうセキュリティルールにしてしまうと、案件が減少する・集中できなくなるなど、長期的にはセキュリティルール自体が会社にとってリスクとなる可能性があります。Pマーク取得の取り組みがどれくらい会社にポジティブな影響とネガティブな影響を与えるのかは心配でした。

また、法律の部分はブラックボックスといいますか、解釈の仕方が難しいところです。システムは要件が分かれば、どう対応すればいいかが分かりますが、最初の要件が分からない状態でしたので不安を感じるところはありました。ただ、コンサルティングをしてもらうので、すべて自分たちでやらなければならないということではなかったので、そこに対する安心感はありました。

後は、いざ一緒に作業をしていく段階の際に、いつまでにこれを仕上げてもらいたいと具体的に資料をいただいたときに、「本当に間に合うのか」という不安は抱きました。

— 取得当時の従業員の方のセキュリティに対する意識はいかがでしたか。

セキュリティリテラシーは総じて高いメンバーが多い印象です。
ただ、リモートワークを取り入れていく中で、社員も増えていっていますし、社内の全体像を把握することが難しくなったところはあるとは思います。
また、弊社ではなく、お客様の情報取り扱いポリシーやセキュリティ意識にバラつきはありました。セキュリティの水準がお客様のポリシーに依存してしまうことは、弊社にとってもリスクがある場合があります。
そのため、弊社としての個人情報取り扱いのポリシーを対外的に明示しておく必要がありました。当時からすでに簡単なポリシーはありましたが、今回Pマーク取得の取り組みを通じてさらにブラッシュアップしました。

— Pマーク取得期限などはございましたか。

かなりタイトでした(笑)。
他にもやるべきことはあるので、余裕を持ってやるというよりは、なるべく早く取得してビジネスに活かしていきたかったです。そのため、かなり圧縮したプランで進めました。全体像も見えていない状況だったので、まずは圧縮したプランで対応してみて、ダメならまた調整するというスタンスでした。
ですので、まずはやってみようと取り組み始めたものの、LRM宮崎さんには色々相談させていただきました。

— コンサルティング会社を使わず、自社のみでの認証取得は検討されたことはございましたか。

なかったです。当社にも法務はいますが、別のプロジェクトに注力しており、Pマーク取得に法務のリソースを割くのが難しい状況でした。法的な部分の解釈が正しいのかという確認が社内でとれないので、外部に依頼する必要があると考えました。
また、Pマーク取得の取り組みをゼロから限られたリソースで進めるためには、他の方々のお力を借りないと難しいと感じていました。ある程度Pマーク取得の支援実績があり、信頼がおけるコンサルティング会社を探していました。

— コンサルティング会社とは何社かお話しされたのですか。

LRMさんを含めて、2社のコンサルティング会社の話を聞きました。
遠藤が情シスのコミュニティに所属しており、そこは約7,000人の情シスがSlackでオープンにコミュニケーションがとれる場になっています。そこには、すでにPマークを取得されている企業の方もいらっしゃって、「コンサルティング会社はどこがいいですか」という相談をした際に、LRMさんの名前が挙がってきました。
ただ、LRMさん1社だけでは判断するのが難しいと思ったため、セカンドオピニオンとしてもう1社お話をお伺いしました。

— 情シスのコミュニティでLRMの名前が挙がっていたとのことですが、どのようなご評価でしたか。

しっかり対応してくれて、柔軟性があり、信頼ができる会社さんというお話でした。

実は、以前にISMS取得を検討していたことがあり、他のコンサル会社さんと一緒に少しだけ取り組んだのですが、最終的には認証取得を断念したことがありました。そのコンサル会社さんは、ほぼ丸投げの状態で、テンプレを渡したら後は皆さんでよろしくお願いしますといった感じでした。
Pマーク取得について、右も左も分からない状態かつリソースも足りていない状態でしたので、テンプレを渡して関与しませんというスタンスではなく、ちゃんとコミットしてくれるコンサル会社がいいと考えていました。弊社が大切にしていることや働きやすい環境を維持することに対して理解してもらった上で、柔軟に対応してもらえるコンサル会社さんを探しました。

— Pマーク取得にあたって、LRMの他にも1社お話を聞かれたんですよね。

もう1社さんは、ワンパッケージで全部やってくれるようなところだったのですが、中身の実態よりも取得することが一番の目的という印象を受けました。弊社としては、取得さえできればいいというわけではなく、実態を伴って誠実でいたいというカルチャーがあったのでそのコンサル会社さんとは合わないと感じました。

LRMさんは、バランスのよさや最後まで伴走してくださるイメージを持てたので今回依頼させていただきました。また、情報セキュリティ教育クラウド「セキュリオ」というツールがあり、ある程度自社内でも自走して運用していけるようなイメージが出来たことも決め手になりました。

— お取り組みを振り返ってみて、想定していた目標には到達できましたか。

まず、取得に関してはしっかり達成できました。仕組みや運用についてはこれからさらに整備していく必要はあると思っています。

— 社内外で変化などはございましたか。

社内においては、Pマークに紐づく個人情報管理という共通言語が以前より出来上がったと思っています。
完成度については、運用の面も含めて改善するポイントはまだありますが、個人情報を扱う際にどういうことに気を付けるべきかのリスクの認識は全社的に備わったのは良かった点です。
実際に、日々の業務の中でリスクがありそうだと感じた際にバックオフィスに相談しにきてくれる機会が増えました。
また、Pマークの仕組みによって整ってきた部分として、サプライチェーンにおけるセキュリティチェックなどがあります。今まで対応できていなかったところについて、ゼロがイチになったかと思います。
社外としては、セキュリティチェックシートなどにPマークを取得していると記入できるので、契約時にかかる負担を削減できているのではないかと感じています。

— Pマーク取得のお取り組みの中で大切にされていたことはございますか。

最初に、各部署やチームからPマーク取得に向けて推進してもらうメンバーを一人ずつ選んでもらっていました。その担当者に対して、情報管理台帳を作成してもらうなど、部門ごとの作業を依頼したいという背景がありました。ただ、普段の業務に加えて、Pマーク取得に関する作業をしてもらうので、「なぜPマークを取得するのか」や「どういった役割を期待していて何をお願いしたいのか」を腹落ちしてもらう必要があると考えました。そのため、依頼する前に資料を作成して、Pマークに対する理解を深めてもらった上で作業を各部門に持ち帰ってもらうようにしました。

— 従業員数が多いと思いますが、社内教育はどのようにされましたか。

セキュリオでeラーニングが配信出来たので、それを全員に受講してもらいました。Slackのチャンネルに全員を集めて、終わったら抜けていってもらう形式にしたので受講状況もある程度すぐに把握できました。
みんな協力的で、1週間ほどでほとんどの人に受講してもらえました。現場としても、お客様の個人情報を預かる際にちゃんと取り扱わないといけないという感覚はあるものの、指針がないから不安だった、という部分はあったようです。会社としてしっかりしないといけないという課題感を持っていたこともあり、否定的な意見は特段ありませんでした。

— 社内ルールはどのように周知されましたか。

まずはSlack等でルールが出来たことを伝えて、作成方針についても社内に展開しました。会社のシステムやセキュリティ部分を各部署やチームの代表者に対して説明しつつ、現場への影響があるかどうかなどをヒアリングしました。ルールの浸透については、これからも実施していく必要があると感じています。
eラーニングにおいても、取得の際に個人情報に関わる基本的な教材は配信しましたが、自社のポリシーを理解しているかをテストする教材などを今後実施していきたいと思っています。

— リモートワークも積極的に導入されているとのことですが、対面よりもeラーニングの方が実施しやすい側面もございますか。

「どうしてやらなくてはならないか」に対する納得感の醸成は個別にしっかり対応すべきだと思いますが、手段については効率的なやり方でいいと考えています。何の説明もなく、「とりあえずeラーニングをやらなくちゃいけないからやってほしい」と伝えてしまうと、受講するモチベーションは上がらないでしょう。
なぜやらなくてはならないかをきちんと伝えて、受講するモチベーションを少しでも上げて学んでもらうことで効果が発揮されると思いますし、それがお客様を守ることにも繋がっていくと思います。

— ルールを策定する上で気を付けられた点はございますか。

個人情報を取得する入り口の部分をしっかり整備したかったので、優先的に協議しました。
個人情報を取得するには手続きが必要ということを着実に社内に浸透させるようにしました。
また、社外に向けて情報を公開する際は、個人情報の有無に関わらず、システムやPRなども把握したいという想いがありましたので、情報管理ができるようしっかりと対応しました。

— 遠藤様は情シス、片岡様は総務をご担当とのことでしたが、本業とPマーク取得のお取り組みを並行するのはご苦労されましたか。

現状は各チームに1名ずつ人員が増えていますが、取得当時は、情シスは遠藤ひとり、総務は片岡ひとりの状況でした。そのため、Pマーク取得の取り組み期間中はPマーク取得に注力させてもらいました。
情シス業務は、ログインができなくなったなどの問い合わせ対応で1日が終わってしまうこともあります。
Pマーク取得の取り組み時間を確保するために、ヘルプデスクを導入し、問い合わせ内容をチケットで管理して効率化を図りました。

また、遠藤と片岡でPマークに取り組むコアタイムを決めていました。タスク管理ツールを使って必要な作業を細かく期限を切って対応していました。目に見える形でやるべきことを洗い出していたので、他の差し込み業務や新たな依頼に対して、現状これだけPマークのタスクがあるので期限を延長させてくださいなどの調整ができました。
審査前後のタイミングはかなり時間を割いていましたが、それを除くとお打合せの時間と週に1～2時間ほどの作業時間があった形です。ずっとPマーク取得にかかりきりという印象はなく、締め切りがあるものに対してスポットで集中して対応していきました。

— 内部監査はLRMが担当したと思いますがいかがでしたか。

15部署ほどのすべての部署・チームを対象に実施いただきました。現状の把握をしたかったので、内部監査にはできる限り同席をしました。ただ、IT統制に関する内部監査は受けていた経験があったので、イメージはついていました。内部監査は指摘事項も特段大きなものは無く、どちらかというと審査対応の方が大変でした。

— 審査機関はどのように選ばれましたか。

最初にLRMさんからご提案いただいていた審査機関は審査に時間がかかるようでした。弊社としては最短で取得したかったので、その要望に見合う審査機関を探し、日本データ通信協会さんを選びました。
また、お願いしてから分かったのですが、申請書類をPDFにしてオンライン上で提出できたのは助かりました。

— 審査を受けてみられていかがでしたか。

審査の際に審査員の方への説明資料をかなり作成したので、そこが大変でした。審査員の方は、規格を順守することを重んじていらっしゃって、ご自身のこだわりが強いという印象を受けました。我々は法務について明るい訳ではなかったので、そこにリテラシーがあれば、審査員の方の指摘や質問に対してより納得できる回答ができたり、意図を理解した上で違った提案ができたりしたのかなとは思いました。

— 審査から取得まで少し時間が空いている理由としては、指摘事項への対応をされていたためですか。

そうですね。あとは、改正個人情報保護法への対応を行っていました。また、そのタイミングで新しく子会社化した企業がありました。そのため、共同利用におけるルールの整備も追加で対応していました。

— LRMのサポートはいかがでしたか。

自分たちに伴走してもらえたので非常に安心感がありました。細かなミーティングも設定してもらえましたし、Slackでのやりとりもたくさんさせていただいて、かなり柔軟に進めてもらえた印象です。とにかく一緒に進めてくださる感じだったので、非常にやりとりしやすかったです。

運用部分については、引き続きもう少しサポートいただけるとありがたいなと思っています。スポットでコンサルティングしていただけるプランがあるので、今後検討していきたいです。
また、現在情報セキュリティの国際規格であるISMS/ISO27001とクラウドセキュリティに関する規格であるISO27017の取得もご支援いただいている最中ですので、引き続きご支援いただければと思っています。

— 今後の展望や課題についてお話しください。

これからの運用が重要だと思っています。今回全社的な仕組みを構築しましたが、運用がちゃんと維持されているかを本質的に見ていくのは大変だなと感じています。
セキュリティのシステムが新しくなっていく中で、ISOの規格と現状が伴わないことも出てくるでしょう。
実際に、現在フルリモートワークを実施していますが、規格の内容と乖離があるところもあります。そこは形式的に合わせる必要があったりもしますが、本質的にはPDCAサイクルを回す仕組みが大切だと思いますし、情報をきちんと守る・個人情報を正しく扱うということをしっかり対応していきたいと思います。

また、情報管理という面でメンバーの生産性を下げないことはもちろん、さらに加速していけるような仕組み作りに対応していきたいと思っています。情報管理やリスク管理が事業の足かせにならないようにしたいので、自動化できるような土台作りにも力を入れていきたいと思っています。

株式会社グッドパッチ様、お忙しい中ありがとうございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社グッドパッチ様のWEBサイト
※ 取材日時 2022年10月

他のコンサル導入事例を見る