株式会社サクヤ様 – 顧客事例 –

— LRMへのご依頼内容をお話し下さい。

2020年8月、株式会社サクヤは、LRM株式会社に、Pマーク新規取得コンサルティングを依頼しました。川島さんと金子さんのサポートを受けながら準備を進め、12月に審査を受け、翌年2月にPマークの認証を取得しました。

— 山村さんと笹井さんについて教えて下さい。

山村と笹井はいずれも人事総務に属し、Pマークの事務局を務めています。山村はエンジニアとして自社サービスの開発にも携わっています。Pマーク取得に取り組み始めた当時、二人とも入社2年目でした。そのため社内の事情を把握できていなかった点もありましたが、社内の協力とLRMのサポートでやりきることが出来ました。

— Pマーク取得の理由をお話し下さい。

弊社がPマークを取得した理由は、自社サービスの本格展開に向けた体制整備の一環です。現在、弊社はSES事業を展開している企業に向け、『請求ナビ』というクラウドサービスを展開しています。しかし体制整備が追いつかず、Webサイトからお問い合わせのあったお客様にだけデモンストレーションをするぐらいでした。
そういった状況でも成約率が30％ぐらいありましたし、導入していただいたお客様からはご好評をいただき、解約に至ることもほとんどありません。そのためきちんと営業出来る体制を作ることが出来れば、成長のスピードも速まると考えました。その一方で、お客様から情報セキュリティ体制に関するお問い合わせも増えていましたので、今後本格的な営業活動を展開していくには、Pマーク取得は欠かせないと考えました。

— 当時、個人情報の管理体制に関して、ご不安や課題などはございませんでしたか。

弊社の代表自身がエンジニアでもあり、情報の取扱には慣れています。そのため、特別問題になるようなこともありませんでした。ただ、その一方では全従業員の約1/3が非エンジニアですし、新卒が多い会社でもありますので、個々の意識や知識は一律ではありませんでした。そういった意味で、Pマーク取得を会社全体の意識レベルを揃えるきっかけにしたいという考えもありました。代表自身、「情報セキュリティ事故は事業を潰すことになるので、細心の注意を払わなければいけない」と言っていますが、ワンミスで事業が継続できなくなるほどセキュリティ事故は重いということを、全従業員が学ぶ機会となりました。

— Pマークを取るにあたり、目指していたことはありますか。

会社としては半年以内の取得を目指していました。取引先から期限を定められたわけではありませんが、時間をかけても仕方がありませんので、一般的な目安と言われている6ヶ月間での取得を目指しました。5ヶ月で現地審査まで終えることができましたので、ほぼ計画通りです。

— 反対にご心配されていたこと、不安を感じていたことはございませんでしたか。

社長は本当に取れるかどうか半信半疑だったようです。理由は、バックオフィス部門の実務経験者がいないことです。特に事務局の山村、笹井は2人とも2019年入社と社歴も浅く社内事情に詳しくありませんので、難航すると思われていたようです。

— 担当者のお二人にとってご不安はございませんでしたか。

もちろん取るまでの経緯で、どのような苦労があるかは未知数でしたし、こなさなければいけないタスクも沢山あるだろうとは思っていました。ただ、コンサルティング会社を選定する中、各社の担当者から、Pマーク取得は合否を問うような性質のものではないと伺っていましたので、「取れなかったらどうしよう」といった不安はありませんでした。

— コンサルティング会社の選定経緯をお話し下さい。

インターネット検索で、3社ほどピックアップして、価格や実績、担当者の誠実さなどを総合的に評価した結果、LRMに依頼しました。

— LRMにご依頼された決め手をお話し下さい。

消去法的ではありますが、特に粗が見つからなかったので依頼しました。また弊社の同業に対するサポート実績が豊富だったことも評価のポイントでした。

3社比較した中には、システムに沿って進めて行けば簡単に取れるということを謳った会社もありました。
しかし最初からシステムに頼ってしまうと、自分達が何をやっているか把握できなくなってしまいますし、取得後も依存せざるを得ないという弊害があると感じました。LRMにも『セキュリオ』がありますが、前面に押し出していたわけではありません。営業窓口の金子さんも誠実そうでしたので、しっかりサポートしていただけると感じてLRMに依頼しました。

— 取り組みの成果について伺います。Pマークの認証自体はスケジュール通りに取得が出来たということですが、会社全体の意識レベルを揃えるという目標は達成出来ましたか。

そのためのベース作りまでは出来ました。まず、現在在籍している従業員の意識レベルは揃えることが出来ました。しかし、新しく採用する新入社員の意識付けに関しては、まだ仕組み作りができていません。今回構築したマネジメントシステムをベースに、これから作って行きたいと考えています。

— 何を持ってベース作りが出来たということになるのでしょうか。

Pマークの規格に沿ったルール作りが出来たこと自体がそうです。特に鍵付きのロッカーを用意したり、PCをワイヤーで連繋したり、物理的な変化を伴う環境整備を行ったことが大きいと思います。PCの連繋はPマーク取得を意思決定した際、社長の指示で、先回りして実施していました。Pマークの規格ではデスクトップの連繋はマストではないはずですが、目に見える形で整備したことが「きちんとやらないといけないのだな」という注意喚起になっています。パスワードポリシーも同様です。英数記号含む8文字以上などのわかりやすいルールが存在することで、情報セキュリティ意識を保つ要因になっていると思います。

— Pマークのルールを整備したことで仕事がしづらくなっていませんか。

仕事がしづらいということはありません。例えば採用に関連して、応募者から個人情報を預かる際に同意書を取ることになっていますが、それによって採用時の手続や管理工数が増えることは確かです。ただ、負担が重くなるというほどではありません。実際、しっかり運用もできています。

— Pマークのマネジメントシステム構築において最も重要なポイントは、ハード的な管理ですか。

そうですね。ハード面が印象に残りやすいという面はあります。ソフトのところは各自が従来からやっていたことを、必要に応じてルール化しただけなので、大きな変化はありませんでした。メールの添付ファイルは圧縮してパスワードをかけるなど、個々にやっていなかった人はやらなくちゃいけなかったこともありますが、会社全体としては大きな影響は受けていません。

— Pマーク取得に向けた準備の中で、ご苦労されたことはございましたか。

根本的に事務局のメンバーが二人とも社歴が浅いことで苦労した部分はありました。SES事業の営業業務はもちろん、社内システムに関しても完全に把握しているとは言えませんでした。その状況で業務を洗い出したり、リスクを洗い出したりする作業は、荷が重いところがありました。結果的には各部署の力を借りて何とかなりましたが、当初は業務理解の浅さを痛感しました。

— 持ち帰った宿題もあったということですね。

はい。ただ、宿題の量そのものはそんなに多くはありませんでした。自分達が理解出来ていないことで、現場の方に1時間程度割いて教えてもらうことが2回か3回あったぐらいです。その他に頑張ったことと言えば、PCやロッカーなど物理的な整備だけです。ルール構築やドキュメントの作成は、LRMに雛形や参考事例をご用意いただきましたので、さほど工数はかかっていません。

— ルール構築やドキュメント作成は、LRMとのミーティングの中でほとんど出来上がったようなイメージでしょうか。

個人情報の特定とリスクの洗い出しは我々が行いましたが、それ以外に宿題はほとんどありませんでした。
8月から10月まで、月二回のミーティングで読み合わせをしながらマニュアルを完成させて行きました。

— 読み合わせというのは具体的にはどのような手順で行うのですか。

マニュアルの叩き台となる雛形をもとに、一項目ずつ、弊社が実際にどうしているかを話して、それをもとにマニュアルをカスタマイズしていきました。その際、Pマークの要求は満たしつつ、できるだけ負担が軽くなる方法を、LRMにアドバイスをしていただきました。

例えば、来客管理に関しては、紙による管理ではなく、『Googleカレンダー』を使った従来の管理方法をそのまま反映しました。具体的には、応接した担当者が『Googleカレンダー』に、誰が来て、どの部屋で応接したかを入力しています。また、オフィスの入り口の入退室管理も必要です。もともとオフィスの入り口は、朝一番に来た人が解錠し、夜は最後に帰る人が施錠するルールになっています。それを紙に記録する方法もありますが、記入漏れが発生するリスクがありますし、管理も煩雑になりますので、ビルの管理会社に残っている履歴を活用することにしました。

— ミーティングは訪問ですか。

文書の読み合わせはオフィスに来て頂いて実施しました。その他、審査前に『Zoom』によるオンライミーティングを2回か3回実施しました。

— 審査前の打ち合わせはどのような内容ですか。

構築したルールを、具体的に実際の業務に落とし込む際の相談をしました。委託先管理に関して、SES事業の協力会社が委託先の対象になるかどうかですね。結果的には対象から外すことにしました。

— 委託先管理の対象にはどのようなところがありますか。

社労士や税理士の他、自社サービスの開発を委託しているフリーランスのエンジニアの方々です。

— 今回の取り組みでは、LRMの情報セキュリティ教育クラウド『セキュリオ』はご利用になられましたか。

eラーニングと委託先管理、法令管理の機能を活用しました。

— 『セキュリオ』を使ったご感想をお話し下さい。

特別にクラウドサービスを使い慣れていない人でも、直感的に使える使いやすいツールだと思います。

— Pマークの運用において、従業員教育にeラーニングを活用するメリットはどのように感じましたか。

弊社の社員のうち、エンジニアの30名近くはSESでクライアントのもとに常駐しています。もともと帰社日はありましたが、今はコロナ禍の影響で帰社する機会はほとんどありません。
Pマークの従業員教育を受けるためだけに帰社するのは無駄が多いので、Web上で完結する点は良いと思いました。

— 委託先管理というのはどのような機能ですか。

登録した委託先に対して、セキュリティチェックを目的としたアンケートを実施して評価する機能です。
オフィスソフトでアンケート票を作成し、メールで一件ずつ送るより手間は省けます。進捗管理も一括で出来るため抜け漏れがなくなりますし、回答者側も回答や返信にかかる手間や労力が軽減されます。

— 法令管理はいかがですか。

予め用意されたリストの中から、Pマークに関連した法令や規制を選んで登録し、それぞれの詳細や改定内容・履歴を管理する機能です。JIS Q 15001や個人情報保護法、マイナンバー法などPマーク取得事業者向けのパッケージがありますので、それをチェックしました。わざわざ自分でチェックするよりも格段に効率的です。

— 内部監査員代行もご利用になられましたか。

はい。内部監査で問題点をしっかり指摘していただいたおかげで、実際の現地審査のハードルが下がりました。LRMのお二人に細かくチェックしていただいたおかげで、しっかり対策を打つことが出来ました。指摘事項も軽微なものばかりで、特に対応に困るものはありませんでした。

— LRMの内部監査では、どのような指摘がありましたか。

印象に残ったのが以下2つの指摘です。

（1）記録用iPhoneの管理
弊社では、全社会のような場における代表の話や様々なノウハウを動画に残し、社内のファイルサーバーに保管して全員が閲覧出来るようにしています。そのためのiPhoneをオフィスの一角に固定して設置していました。
内部監査で何のためにここに放置してあるのかと問われました。そこで初めて意識したのですが、記録したデータには外に漏れるとまずいものもあるかも知れません。そこでリスクとして特定し、ロックをかけてカギのかかるロッカーに保管することになりました。

（2）ロッカーの中の整理整頓
ロッカーの中を見せて下さいと言われて開けてみたら、ラベルとは全く関係ないものが沢山入っていたり、重要な書類が本来の場所になかったりしましたので、整理しなおしました。

こういった指摘をいただいたことで課題が浮き彫りになりましたので、自分達でも改めてチェックし直して審査に備えることも出来ました。実際に現地で見て頂いた時間は二時間ぐらいなので、その範囲で見えなかった所にもリスクはあるかも知れないと予測を立てて、審査を迎える日まで目を光らせて社内をチェックして歩きました。

— どのような視点でチェックされましたか。

整理整頓が徹底出来ているかどうかです。整理整頓が出来ていないオフィスは印象も良くありません。オフィス中を歩き回って、目に映る物品を「ここにこういうものが置いてあるけど、それは本当に正しいのか」とチェックしながら徹底的に整理していきました。

— 現地審査は不安なく迎えられましたか。

我々が思いつく重要な部分はしっかり直したつもりですが、審査員によっては視点がずれることもあるという話を伺っていましたので、多少不安はありました。結果的には我々が目を光らせた部分を含めて厳しく指摘された箇所はありませんでしたので安心しました。

— 取り組みを振り返ったご感想をお話し下さい。

LRMのサポートにより、必要最小限の労力で有効な対策を打つことが出来ました。今のところ運用面で困ったことはありません。

–LRMのコンサルタントはいかがでしたか。

第一印象通り、川島さんも金子さんも誠実でした。わからないことを質問した際は、理解出来るまで丁寧に教えて頂きました。特に審査前は不安がありましたが、オンラインで何度か打ち合わせをさせていただいたことで心が軽くなりました。LRMに依頼して良かったと思っています。

— 今後の課題や展望をお話し下さい。

先ほども触れましたが、今回構築したマネジメントシステムをベースに、新入社員に対する教育の仕組みを構築していくことが当面の課題です。同時に、既存の従業員に対しても、継続的にルールを周知徹底しながら、運用を定着させていきたいと考えています。弊社は自社サービスで大量の個人情報を扱いますので、一つのミスで事業が継続出来なくなる可能性があるということは、社長からも常々言われていますので、しっかり取り組んでいきたいと考えています。

— LRMへのご期待がございましたらお話し下さい。

今後サポートを継続していただくかどうかは現在検討中です。ただし今後、バックオフィス部門を強化していった時に、事務局を引き継ぐ可能性もございます。我々自身完全に理解出来ているとは言いがたい部分がありますので、LRMのサポートが必要になることもあるでしょう。会社と相談しながら考えたいと思います。

株式会社サクヤ様、お忙しい中ありがとうございました。

※ 株式会社サクヤ様のWEBサイト
※ 取材日時 2021年4月

他のコンサル導入事例を見る