株式会社キュリエ様&有限会社チップス様(2社同時取得) – 顧客事例 –

同居する2つの会社のPマーク同時取得。不安でしたが、LRMが“大丈夫”と言い切ってくれたことで一歩前に進めました。

仕入れ元と仕入れ先の関係にある株式会社キュリエと有限会社チップスの2社は、プライバシーマークの同時取得にチャレンジしました。1つのオフィスに同居して業務を行う2社の同時取得にはどのような不安があり、その不安はどのように解消されたのでしょうか。プライバシーマーク取得の理由、コンサルティング会社選定の経緯、取り組みの成果を、株式会社キュリエおよび有限会社チップスのプライバシーマークご担当者の皆様に伺いました。

株式会社キュリエ

(株式会社キュリエについて)
インクジェットプリンター用の再生インクおよびレーザープリンター用の再生トナーの分野に特化した日中貿易専門商社である。国内のインクまたはトナーの再生品メーカーに対し、ICチップや感光ドラム等の主要部材の他、アジア各地で回収される使用済みエンプティカートリッジなどを提供するビジネスと、国内のEC事業者や大口ユーザーに対し、中国の工場で生産された再生インク、再生トナーを卸すビジネスを行っている。再生インク、再生トナー市場の黎明期から築いてきた中国工場とのネットワークを活かした価格競争力、情報収集力が強みだ。中国製再生インク、再生トナーの信頼度が上がり、需要が高まる中、特に同社はISO14000ならびにISO9001の認定や世界基準のSTMC(トナーカートリッジの世界統一品質基準)を取得した工場と取引をすることで品質の高さを堅持しながら業績も拡大中である。
本社;東京都渋谷区。設立;2005年3月。従業員数;25名(2019年8月現在)。


有限会社チップス

(有限会社チップスについて)
プリンター用再生インクおよび再生トナーのインターネット通販事業を行う。本店サイトおよび楽天市場など、7店舗を展開中だ。キュリエ社からオリジナル商品を仕入れ、なおかつ厳重な検品体制で、高品質を実現するとともに、他社よりも長期に及ぶ保証期間、迅速な受注対応といったカスタマーサービスによって高い顧客満足度を得ている。2015年、2017年の2回、楽天市場ショップ・オブ・ザ・イヤーを受賞。2012年のオープン以来のユーザー数は累計10万人以上(2019年8月現在)に及ぶ。
本社;東京都渋谷区。設立;2012年。従業員数;3名(2019年8月現在)

LRMへのご依頼内容;プライバシーマーク2社同時新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

株式会社キュリエと有限会社チップスは、2017年6月、LRMにプライバシーマーク(以下、Pマーク)の同時新規取得を依頼しました。

内部の事情で途中8ヶ月間プロジェクトを停止した時期がありましたが、LRMの担当者である大谷さんの的確なリードによって、2019年4月、両社ともに無事Pマークを取得しました。

ITリテラシー向上と対外的信頼獲得のためにプライバシーマークを取得

「すっかり不安になっていたのでLRMに肯定していただいたことが心強かったです」(株式会社キュリエ 管理部部長)

「すっかり不安になっていたので
LRMに肯定していただいたこと
が心強かったです」
(株式会社キュリエ 管理部部長)

— 今回、Pマークを2社で同時に取得されたのは何故ですか。

2社で同時取得した理由は、両社が1つの事務所に同居して業務を行っているからです。

チップス社はキュリエ社の大口顧客です。同時に創業時からキュリエ社の事務所の一角に机を置いて通販業務を行っています。オフィスの管理や商品発送など、一部の業務をチップス社がキュリエ社に委託することもあります。

Pマーク取得を最初に検討し始めたのはキュリエ社ですが、同じオフィスで業務を行っていることに加え、業務内容がかぶる部分もあり、「ここまでがキュリエでここからがチップス」と区切ることも難しい状態です。最低限共通のルールに則って業務を行う必要があると考え、合同チームを作ってPマークを取得することとなりました。

もちろんチップス社にとっても、業務を整理してリスクに備えるとともにPマークをWebサイトに表記すれば、ユーザーに対して自社がセキュリティ環境を整備した上で業務を行っていることを示せると考えました。

— キュリエ社がPマークを取得した理由をお話し下さい。

キュリエ社がPマークを取得した理由は2点あります。

①社内のITリテラシー向上とPC周りのセキュリティ強化
キュリエ社の従業員は全員中途採用です。前職はアパレル、ケーキ屋、シェフなど、多様で、必ずしも日常的にパソコンを使う仕事をしてきた者だけで構成されているわけではありません。そのためPCやデータの扱いに対する理解や感覚には大きな隔たりがありました。

キュリエ社では『Dropbox』『Slack』などのクラウドツールを積極的に活用しています。各ツールの使い方には一定の決まりがありましたが、文書化はされておらず、徹底させる体制は整備していませんでした。PCやクラウドツールの使い方を教育する体制もありませんでしたので、第三者機関の認証制度であるPマーク取得を通して、統一ルールや管理、従業員教育の仕組み・体制を構築したいと考えました。

②対外的信頼獲得
キュリエ社の取引先は法人ですので、お客様からお預かりする個人情報は多くはないですが、第三者機関の認証制度を取得することで、今まで以上に安心してお取引をしていただきたいと考えました。

— Pマーク取得にあたってのご不安はありませんでしたか。

不安はありました。1つのオフィスに2社の独立した企業が同居している状態で、Pマークを取得出来るのかどうかがわからなかったからです。Pマークを取得しようと決めた時にインターネットで調べましたが、事例は全くありませんでした。コンサルティング会社選定の過程でも、各社に聞きましたが、ほとんどの会社は「多分取れると思う」といった曖昧な返事でした。そんな中で「大丈夫」と力強い言葉をいただけたのがLRMでした。

LRMに「大丈夫」と肯定されたことで前に進めた

「LRMが上手に落とし所を見つけてくれたので2社同時取得が実現しました」(有限会社チップス ネット事業部 技術サポート課課長)

「LRMが上手に落とし所を見つけてくれ
たので2社同時取得が実現しました」
(有限会社チップス ネット事業部
技術サポート課課長)

— コンサルティング会社は何社か比較されたのですか。

はい。インターネット検索で3社ぐらいピックアップして比較しました。

— ピックアップする際の基準はありましたか。

ホームページがきちんとしているところを選びました。スマートフォンに対応していないとか、長い間更新されていないような会社は避けました。また匿名の掲示板サイトなどで評判の悪いところもありましたので、そういう会社も候補から外しました。

— LRMに依頼した決め手をお話し下さい。

2社同時取得について「大丈夫」「何とでもなる」と言い切ったのがLRMだけだったということが決め手となりました。他社は言葉を濁し、リスクを取りたがらないように見えました。

LRMに迷いなく肯定していただけたことは、非常に心強かったです。我々は不安が大きくなっていたので、LRMに肯定されたことで一歩前に進める気持ちになりました。

また、LRMはただ「大丈夫」と言うだけではなく、我々がLRMにお伝えした状況をもとにPマーク審査機関に取得の可否や注意点をご確認くださり、取りまとめて報告して下さいました。他社は一度話をしただけで、それ以上踏み込んで連絡はして来ませんでしたので、躊躇することなくLRMに依頼しました。

同居する別法人同士がプライバシーマークを取る為に必要だったこと

— Pマークの審査機関から指摘された注意すべき点とはどのようなものですか。

「なるほどそう考えれば良いのか、と気付くことが沢山ありました」(株式会社キュリエ 商品課課長)

「なるほどそう考えれば良いのか、
と気付くことが沢山ありました」
(株式会社キュリエ 商品課課長)

最初に言われたことは2点ありました。

(1)審査は各社に対し別々の日程で行う
同じ日に、一遍で済ませることはできないと言われました。

(2)ルールブックは各社で別々に作成する
ルールブックは中身が同じでも各社が1冊ずつ作成し、なおかつお互いに同居していることを示す必要がある、といったことを言われました。

— ルールブックの中身は全く同じなのですか。

両社で話し合い、同一ルールのもとでやろうということにしましたので、作成したルールブックもほとんど同じになりました。ただ、事務所の管理業務に関する箇所だけは異なります。チップス社はオフィスの管理業務を一切行っておらず、キュリエ社に委託しています。そこで最初にキュリエ社のルールブックを作成し、オフィスの管理に関する箇所と社名を書き換えてチップス社のルールブックを作りました。

— 個人情報管理台帳やリスク管理台帳なども同様ですか。

個人情報管理台帳やリスク管理台帳は別々に作成しました。リスクアセスメントの中で、LRMが各社担当者にヒアリングして、キュリエ、チップスそれぞれに切り分け、両社の分を合わせると現在の事務所の有り様が理解出来るという形に仕上げて下さいました。大谷さんは商社とネット通販会社が同居しているという構図をしっかり理解した上で隙間がないように作って下さいました。

— 同居する別法人が同時にPマークを取得するための対策は、予め審査会社から言われたことを踏襲する以外にございませんでしたか。

他に、LRMとの打ち合わせや、現地審査における審査員からの指摘に応じ、2つの対策を取りました。

(1)ノートPCにワイヤーロックをかける
お互いの社員が業務に使用しているノートPCにワイヤーロックをかけて、オフィスにいる誰もがPCを持ち出し出来てしまうというリスクに対応しました。

(2)パーテーションで空間を仕切る
コミュニケーションが取りやすいこともあり、特に仕切りを設けずに机を並べていました。PCは違うものを使っていますので、気にする必要はないと思っていました。しかし現地審査を受審した際に「机が並んでいる以上、お互いPCの中身が見えてしまう」という指摘を受けました。合理性があると判断できたため、お互いの机の間にパーテーションを立てて目隠しをしました。

— ファイルサーバーは各社独立したものを使用されているのですか。

ファイルサーバーは、便宜上同じクラウドストレージを利用しています。相互に乗り入れ、共有しているフォルダもあります。このような運用はPマーク取得にあたりなにか不都合があるのではないかと、最初は心配していました。
しかしフォルダの構成をLRMが綺麗に切り分けてくれたため、その状況をルールブックに表記しただけで審査をクリアすることが出来ました。

打ち合わせの時間だけでほとんど全ての準備が終わった

「LRMは決して上から目線で物を言うことがなく、自然体で話すことが出来ました」(有限会社チップス ネット事業部事業部長)

「LRMは決して上から目線で
物を言うことがなく、自然体
で話すことが出来ました」
(有限会社チップス ネット事業部
事業部長)

— 両社間の切り分けに関するところ以外で、業務手順や管理方法の変更、または整備し直したことはありましたか。

細かい決め事としては、例えばクラウド上で管理する個人情報を、クライアントPCにダウンロードすることは管理上好ましくないので禁止しました。これまで考えたことがないことでしたが、LRMに指摘されて確かにそうだなと納得しました。他にはほとんどありません。

今回のルール構築で行ったことは、各社が保有する個人情報やそれらに潜むリスク、または個人情報の取り扱いについて口頭ベースで共有していたような事柄を整理して明文化する作業が中心でした。構築したルールは、従来の業務手順、管理方法を踏襲したものです。

— これまで口頭ベースで共有していたことにはどのようなことがありましたか。

例えば社内連絡における『Slack』の活用です。特にキュリエ社の場合、外出する機会の多いメンバーは、お客様からオフィスへご連絡いただいた場合でも、電話に出ることができないことが多いです。そういった際にお電話をいただいた旨を社内で共有する方法として、従来から『Slack』を活用する運用になっていましたが、実際には紙に書いて机の上に貼っておく、ということもしばしば発生していました。今では、会社名、個人名、携帯電話番号が書かれたメモは個人情報にあたるということを認識した上で、『Slack』上で連絡を取り合うという行動が定着してきました。

また、クリアデスクも同様です。キュリエ社は商社ですので、以前は貿易業務で発生する通関用の書類などが机の上に積み上がっていることがありましたが、今はもうなくなりました。

— ルール作りは大変ではなかったですか。

とても楽でした。LRMのコンサルタントは、アドバイスだけではなく、一緒に手を動かしてくれました。「ここはこういう理由なので、こういう書類を作りますね」と、その場でPCの画面をプロジェクタに映しながらドキュメントを仕上げて行ってくれました。私達はそれを見て「なるほど」と思っているだけで、どんどん書類が出来上がって行きました。もちろん、それを理解する必要はありますが、打ち合わせが終わった後に席に戻って一生懸命書類を作らなければいけないということはありませんでした。

打ち合わせの時間は決して短くはありません。1回の打ち合わせは2時間ぐらいかかりましたが、その打ち合わせの時間だけでPマークを取得するための仕事がほとんど進んでしまうのです。「ここはどうなっていますか」「こういうリスクはありますか」「こういうツールを使っていますか」ということを確認するだけでルールが決まり、ドキュメントが出来上がって行く。「こういう業務をやっているからこの項目は必要です」、逆に「この項目は必要ないから削除しておきます」と、トントン拍子に出来上がって行きました。「ここまでやってくれるのか」というのが率直な感想でした。

— ご期待以上のサポートだったということですか。

そうですね。一般的なコンサルティングのイメージとは異なりました。打ち合わせをして「これがひな形なので、これに合わせて作って下さい、わからないことがあれば聞いて下さい」と言われ、あとは自分たちでやる。それが一般的なコンサルティングだと思っていました。しかし、LRMはそうではなく、弊社用のドキュメント類をその場でどんどん作っていき、できあがったドキュメント類はLRMと弊社のあいだでファイル共有をおこなうために利用したクラウドストレージ『box』の共有フォルダに入れておいてくれたので、こちらはそれを確認するだけでした。

— 打ち合わせの回数は何回ぐらいですか。

ルールブックを作るまでの打ち合わせが4回です。5回目に訪問していただいた時に内部監査を実施していただきました。

— 御社側で持ち帰って行う宿題はありませんでしたか。

多少はありました。各社が社内で話し合って決めなければいけないことは、一旦持ち帰りました。ただその場合でもドキュメント化する際の表現の仕方などで、わからないことがあった時は、電話やメールで問い合わせれば、細かく教えていただけました。おそらく同じことを何度か聞いたこともあったと思いますが、常に丁寧に対応していただきました。また、お互いにドキュメントを開いて、電話で話ながらリアルタイムで修正することもありました。さらにLRMでは問い合わせに対応できるのが大谷さんだけではないことにも驚きました。アシスタントの間野さんなど社内にいる方も、我々の状況を把握してくれていて、大谷さんが不在の時は代わりに対応して下さいました。

従業員の意識が向上。ボトムアップからの改善も

— Pマーク取得による社内の変化はございますか。

両社ともに個人情報保護の意識が向上しました。今回作成したルールブックは各社とも『Dropbox』で保管しています。それらを各社従業員は自由に閲覧することが出来ます。それによってリスクを意識しやすく、ルールを徹底しやすくなりました。意識の高まりはその成果です。

意識の向上は一般社員間の日常会話に表れています。Pマーク取得後、個人情報の取り扱いに関して「これ大丈夫かな」という会話が日常的に交わされるようになりました。

ボトムアップで運用を改善した事例も生まれています。例えばチップス社がキュリエ社に業務委託している中で、お客様の個人情報を両者間で受け渡しすることがあるのですが、従来は透明のクリアファイルに挟んで受け渡ししていました。それを現場からの意見によって、中身が見えないファイルに変えました。また荷物が届いた際に個人情報が表示されていた場合は、裏返して置いておくなど、むやみに人の目につかないように配慮しています。このような意識付けが出来たということは大きな成果だと考えています。

— ITリテラシーの向上というPマーク取得の目的は果たせましたか。

リテラシー向上という課題は一足飛びに解決できませんが、クラウドツールの使い方、PCやデータの扱い方をルールとして明文化し、それを徹底させることで、個人の経験の違いによるばらつきをなくすことは出来ます。今回はその土台作りが出来たと考えています。

— 今後の課題をお話し下さい。

Pマークは取得した以上維持していかなければいけません。新しいツールを入れたり、事業環境が変わったりすることもありますので、その状況の変化に合わせた運用を考えていく必要があります。実際Pマーク取得後、キュリエ社は大阪事務所を立ち上げましたので、次の更新に向けて整備していく必要があります。また、キュリエ社ではここ数年従業員数が毎年着々と増えて来ています。今後もしばらくはその状況が続きますので、新人教育もしっかりやっていきたいと考えています。

「日常会話でPマークを意識した会話が生まれたことが大きな成果です」(株式会社キュリエ、有限会社チップスのプライバシーマークご担当者様) ※手前右は弊社・大谷

「日常会話でPマークを意識した会話が生まれたことが大きな成果です」
(株式会社キュリエ、有限会社チップスのプライバシーマークご担当者様) ※手前右は弊社・大谷

LRMの豊富なサポート実績とノウハウの蓄積を実感

— Pマーク取得の取り組み全体を振り返られたご感想をお話し下さい。

全体を通して思った以上に楽に取り組むことが出来ました。それはLRMに道筋を作っていただけたからこその結果です。自分達でやっていたら出来なかったでしょう。

同居している2つの会社がPマークを同時に取得するということは、我々にとっては特別大変なことに思えました。
しかしLRMは、豊富なサポート実績とノウハウの蓄積をもとに、先ほどのファイルサーバーの件など一見ややこしそうなことも、うまい落とし所を見つけて下さいました。

— コンサルタントの人柄はいかがでしたか。

大谷さんは上から目線で物を言うことがありませんでした。宿題が出来ていない時も「そうですよね。お忙しいですよね。」と、理解を示していただけますので、我々も隠し事をせずに自然体で話が出来ました。基本的に否定されるということがないので、却って自覚を促され、気持ちを切らさずにやりきることが出来ました。

— LRMへのご期待があればお話し下さい。

今後のPマーク運用に関しては不安材料が沢山ありますので、継続してサポートしていただきたいと考えて『情報セキュリティ倶楽部』を契約しました。サポートなしでも出来ることはあると思いますが、セカンドオピニオン的に相談出来る相手がいれば心強いです。

サポート内容は年2回の訪問つき。年間計画の立案と内部監査員代行をしていただく予定です。内部だけの取り組みだとスケジュール管理を含め、有耶無耶にしてしまう可能性があります。LRMに関与していただくことで、緊張感を持った取り組みを維持していきたいと考えています。

株式会社キュリエ様、有限会社チップス様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社キュリエ様のWEBサイト
※ 有限会社チップス様のEC本店サイト
※ 取材日時 2019年8月

他のコンサル導入事例を見る

プライバシーマークコンサルティングに関するお問い合わせ

プライバシーマークを取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

プライバシーマーク(Pマーク)取得支援コンサルティング|LRM株式会社へのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

プライバシーマーク(Pマーク)取得支援コンサルティング|LRM株式会社へのお問い合わせフォームはこちら

ページ先頭へ