クレシード株式会社様 – 顧客事例 –
クレシード株式会社は、LRMのサポートを受け、2022年4月にプライバシーマーク(以下、Pマーク)を取得しました。取り組むにあたってのご不安、LRMに依頼した理由、ルール構築において意識したこととその成果などについて、酒井氏と後藤氏のおふたりにお話をお伺いしました。
記事index
(クレシード株式会社について)
ユーザーイン型の情報システム開発・サポートサービス事業を展開している。情報システム部門代行事業は、情報システム部門が不足しやすい中小企業などを中心に、現在100社以上から引き合いがある。また、ホームページ制作・運営も請け負っており、50社以上のホームページ管理に加え、メールアドレスのドメインを管理。その他、クラウド上で動作する自社アプリケーションが作成できる「CRE-FIT@WEB」や、業務効率化と現場の見える化を考慮した生販一体型システムである「CRE-FIT Hybrid」、チャットボットサービスの「CRE-Chat」など、さまざまなサービスを提供。
を掲げ、システム開発やインフラ整備などを通じて、顧客が抱えるITに関する課題を、顧客の立場に寄り添って、情報戦略の立案から実施、運用保守まであらゆるサポートをおこなっている。
本社:東京都台東区。設立:1990年5月。従業員数:50名。(2022年8月現在)
LRMへのご依頼内容:Pマーク新規取得コンサルティング
— LRMへのご依頼内容をお話しください。
クレシード株式会社は、2021年7月にPマークの新規取得コンサルティングを依頼しました。担当者の川島さんとルール構築、文書作成などの準備を進め、2022年2月に審査機関による現地審査を受けて、同年4月にPマークを取得しました。
従業員のITレベルは高い。意識統一と仕組み作りのための取得
— 今回のお取り組みのご担当者についてお聞かせください。
主に下記2名で取り組みました。
酒井氏:
Pマーク事務局の責任者を担当。本業としては取締役に加え、経営企画本部の部長、企画部の部長も担当。
後藤氏:
Pマーク事務局として実作業などを担当。本業としては経営企画本部の財務経理部に所属し、企画部も兼任。
経営企画本部は、企業における管理部門にあたります。本部署は、さらに財務経理部と企画部に分かれており、企画部が総務や採用、内部統制などを担っています。
当社は、情報システム室を現状設けていません。現状は、後藤が情報システムに関して統括していますが、事業として情報システム部門代行をおこなっており、従業員それぞれのITレベルが高いため、実作業は各部門の各担当者に対応してもらっています。そのため、情報セキュリティに関しても、現在は経営企画本部が主導して運用している状況です。
— 取得を検討されていた当時のご状況はいかがでしたか。
当社は、1990年に油を取り扱う商社の情報システム部門がスピンアウトして設立された会社でしたが、2021年の3月末にテリロジーグループに参入しました。テリロジーグループがセキュリティをメインに事業展開していたこともあり、当社としてもセキュリティをより強化すべきという声が挙がりました。実は、当社が顧客情報を取得することはあまり多くありません。テストデータなど、個人情報を含まないような情報がほとんどです。ただ、ホームページ作成・運用事業において、メールアドレスをはじめとしたお客様の個人情報をお預かりするため、今回Pマークを取得する運びとなりました。
また、取得を検討していた時期に、グループ会社である株式会社テリロジーサービスウェアでもPマーク取得をすることになり、LRMさんにコンサルを依頼していた状況でした。グループ会社として、同じコンサル会社に依頼した方が利点があるのではないかと考え、検討の上、当社もLRMさんに依頼いたしました。
— ホームページ作成の際に個人情報をお預かりするとは、具体的にどのような状況でしょうか。
ホームページ作成には、ドメインが必要です。企業様の中には、複数のドメインを管理されているところもありますが、ひとつのドメインを利用されている企業様も多くいらっしゃいます。また、ホームページのドメインとメールアドレスは同一である場合が多いです。そのため、ホームページとメールアドレスを同じサーバ上で管理する企業様も少なくありません。
実際に、弊社がホームページを管理する際には、あわせてメールアドレスの管理も代行させていただくことがあります。その際に、顧客企業の従業員の方の個人情報をお預かりしている状況です。
従業員の方のお名前、メールアドレス、アカウント、パスワードなどが含まれたリストを顧客企業ごとに作成しますので、そのような個人情報を管理している以上は、情報セキュリティをきちんとルール化して運用する必要があると考えました。
— 当時の従業員の方のセキュリティ意識はいかがでしたか。
決して低くはなかったと思います。一方で、だからこそセキュリティは従業員それぞれのリテラシーに頼っている側面もありました。セキュリティ規程についても、整備している途中で、まだ不十分であった印象です。
リモートワークの導入なども含めて、これから働き方が変容していく中で、仕組みを構築していく必要性は感じていました。そういったさまざまな仕組み作りを今も取り組んでいる最中ですが、セキュリティ管理・評価における仕組み作りのひとつとして今回のPマークがありました。
— 当時からリモートワークも導入されていましたか。
導入はしていました。ただ、お客様の情報システム部門のサポートをする上で、お客様が実際に作業されているエリアでネットワークの確認やパソコン1台1台のメンテナンスをさせていただくこともあります。
そのため、どうしてもお客様のもとに訪問する必要がある場合もあります。
— 他の認証などは検討されましたか。
当社は、品質管理マネジメントシステムの規格であるISO9001を取得しており、情報セキュリティについても考慮しつつ運用しています。情報セキュリティに関するISO規格としてはISMS/ISO27001がありますが、こちらは親会社の株式会社テリロジーが取得しています。当社もグループ会社として、いずれは同じルールのもとISMSを運用する可能性もあるとは思います。ただ、まずは、お預かりしている顧客の個人情報の取り扱いについて、きちんとルール化して管理すべきとの想いがあったため、今回はPマーク取得に向けて取り組みました。
形式的なルールにしたくない。グループ会社と同様にLRMに依頼
— LRMの他にコンサル会社は検討されましたか。
今回の取り組み開始時に限っては、LRMさん以外のコンサル会社と商談は行いませんでした。
もちろん、株式会社テリロジーサービスウェアの担当者に、他コンサル会社の情報やLRMさんを選んだ経緯はしっかりとお伺いしました。
実は、6年ほど前に、Pマーク取得を検討していたことがありました。
その際に、LRMさん以外のコンサル会社のお話もお伺いしましたが、「これはこうしてください」など、当社の実情に即さないような形式的なルールを作らなければならない印象を受けてしまいました。ISO9001で情報セキュリティもある程度取り組んでいたこともあり、当時は取得を断念しました。
今回LRMさんのお話をお伺いして、比較的柔軟なルール構築が可能なイメージを持つことができました。
また、グループ会社として同様のルール構築・運用が望ましいのではないかという考えもありました。
今後、グループ内で人事異動が発生することもあると思います。その際に、あまりにもバラバラなルールであると従業員が混乱する恐れがあります。できる限り同様のルール構築をすることで、スムーズにグループ間で協力できるのではないかと考えました。
以上の点を複合的に考慮し、LRMさんに依頼しました。
— 取得における優先事項はございましたか。
お客様からの要望ではなく、あくまで社内から取得の声が挙がったので、明確な取得期限などはありませんでしたが、2021年度内の取得を目指していました。
また、Pマークを導入することで、これまで曖昧だった部分を明確にルール化し、社内体制が整備できるという期待は多分にありました。
必要以上に縛らない、自社の実態にあわせた柔軟なルールを構築
— お取り組み全体を振り返っていかがですか。
個人情報の管理体制を整えるという主目的は達成できたと思います。
ただ、Pマークやセキュリティに関する認証は、取得してから事業にあわせてルールを最適化していくことが重要だと考えています。今回の取り組みで、今後改善すべき点についても、ある程度見えてきましたので、非常に良かったと感じています。
— Pマークを取得して社内外で変化はございますか。
業務上、顧客に直接お話しをお伺いする機会はあまりないのですが、名刺に記載しておりますので、営業において良い影響は出ているかと思います。
社内の変化としては、ルールを明確化したので、机に名刺を置かない、離席時には画面をロックするなど、各従業員でバラバラな対応になってしまっていたところが、かなり統一がとれてきた印象があります。
— 情報セキュリティ業務と本業の兼ね合いはいかがですか。
経理業務では、マイナンバーも扱っています。もともと業務に専用のパソコンを利用するなど、情報セキュリティについては厳しく対応していたので、今回Pマークを導入したことで、業務内容が大きく変わるようなことはなかったです。
事務局としての業務についても、内部監査など毎年実施すべき事項はもちろんありますが、その他は、新しく従業員が入社してきた際にeラーニングや社内アンケートを実施するといったことくらいです。初年度に一度経験していることもあり、大きな不安はありません。
— 体制構築において重要視された部分はございますか。
先述した通り、当社はISO9001も取得していますが、形式的なルールではなく、マニュアルも必要最小限にとどめて運用しています。
そのため、Pマークについても必要以上にルールで縛るような体制にはしたくないという想いがありました。
法令に関わる部分など対応事項が決められているようなところはもちろんありますが、それ以外については、当社の事業などにあわせた柔軟なルール構築を目指しました。
ルール構築は川島さんにもかなりご協力いただいて、「絶対にこのタイミングで実施すべきなのか」「当社はこういうやり方をしているから代替できないか」など、細かい質問にお答えいただきながら、なるべく必要最小限で運用できるルールになったと思います。
社内の暗黙のルールで行っていたことを明文化したことでスムーズな周知
— 体制構築では、既存の業務フローをなるべく変更せずにすむよう意識されたということでしょうか。
そうですね。従業員全員に関係するような新しいルールを作成してしまうと、ルールの浸透にパワーが必要ですし、実際にルールを順守する各従業員にもパワーが必要になってしまします。なるべく、社内の暗黙のルールとして実施しているようなことを明文化することで、ルールに適用できないか検討していきました。
— ルールの周知などもスムーズだったのでしょうか。
反発などはありませんでした。当社の従業員は、Pマークの概要については理解していましたし、会社としてPマークを取得することも認識していたので、ルール化への心構えができていたのかなと思います。実際には、想定よりも楽だったと感じている従業員も多いのではないでしょうか。
具体的な周知方法としては、社内掲示板に掲載したり、川島さんに全従業員への社内説明会を実施していただいたり、部門長などと面談を実施したりしました。部門長から各従業員へさらに共有してもらったり、不明点がある従業員は直接質問してもらったりする中できちんと周知されていきましたので、特段大きな心配も負担もありませんでした。
ただ、周知したての頃は、クリアデスクが徹底できていないなど、どうしてもルールが抜けてしまうような場面も少しありましたので、その都度声をかけるなどフォローをしていました。
— 新しく導入したルールはございますか。
離席時のパソコンの画面ロックや、パスワード管理、名刺管理など、各従業員が各人の裁量で行っていたことを明文化したという印象です。今まで対応していなかったことを新しくルールとして策定した箇所はあまりなく、マニュアルも必要最小限で作成しました。
— 従業員教育はどのように実施されましたか。
作成したマニュアルを見てもらったり、セキュリティ教育クラウド「セキュリオ」を利用したeラーニングを受講してもらったりしました。
全従業員に個別にじっくりとレクチャーをするのはなかなか難しいので、ポイントを説明し、基本的には各従業員で学んでもらう形で実施しました。一度に多くの情報を伝えても理解しづらい側面もあると思いますので、マニュアルやeラーニングで学んでもらい、不明点があったら質問してもらうようにしました。
— ルールや教育の従業員への浸透度を確認することはございましたか。
「セキュリオ」の社内アンケート機能を利用して、従業員がきちんとセキュリティルールを守っているのかの確認を行っています。アンケート内容は、「セキュリオ」にあるテンプレートを一部変更し、まずは、eラーニングを受講してもらってから1か月後に実施しました。
また、社内のセキュリティルールは定期的に見直すため、社会情勢や事業の変化に伴い、変わることがあります。実際に、当社ではメールやり取りにおける添付ファイルを禁止にしました。ルールを構築した当時は、社内アンケートで「メール送信の際にパスワードをかけていますか」と確認していましたが、現在は「クラウドストレージサービスを利用しURLを共有するようにしていますか」など、変化に合わせて社内への運用状況の確認事項も修正し、定期的にアンケートを実施しています。
— 委託先管理は以前から実施されていましたか。
今回のPマーク取得にあわせて、あらためて委託先を整理しました。委託先の評価については、「セキュリオ」のサプライチェーンセキュリティ機能を利用して、委託先にセキュリティ対応状況を確認するアンケートを実施しました。委託先からのレスポンスも比較的早くいただけた印象です。
— 内部監査は初年度はLRMが代行したと思いますが、今後は自社で運用されていくのでしょうか。
そうですね、当社には、ISO9001の内部監査員も複数いますし、内部監査についてはある程度は知見もありますので、ISO9001の内部監査と同時期に行っていきたいと思っています。
想定よりも早い審査。審査員から報告書の記載意図まで丁寧に説明してもらえた
— お取り組みのスケジュールに想定外の遅れなどはありましたか。
なかったです。事前に川島さんから、審査機関が忙しく、申請から審査まで3~4か月ほどかかる可能性があると共有いただいていたので、年度中の取得は難しいのではないかと思っていたのですが、実際には、想定よりも早く審査をしていただくことができました。
— 審査日程が早まったのは、どのような経緯ですか。
もともと2つの審査機関をLRMさんにご提案していただいて、その時点でより早く審査が受けられる可能性の高い日本データ通信協会さんにお願いしました。
ただ、11月頃に審査機関と連絡していた際は「現地審査は4月くらい」と伺っていたのですが、急に連絡をいただいて、2月に審査していただけることになったので、準備に少し焦りました。結果として、目標にしていた年度内での取得ができたので良かったと思っています。
— 審査を受けられたご感想をお聞かせください。
審査当日は、想定していたよりも優しかった印象です。審査員の方は2名でいらっしゃって、温かい雰囲気の方たちでした。審査中もアドバイスをいただけたり、審査結果の報告書における記載意図も丁寧にご説明いただきました。事前に川島さんから、「このような確認を受けることもありますが、その場合はこのように対応してください」と共有いただいていたこともあり、特段大きな指摘事項もなく、無事にPマークを取得できました。
新たなリスクがないか見直しつつPマークを運用していく。今後はISMSやDXも視野に
— LRMコンサルはいかがでしたか。
担当コンサルの川島さんは、株式会社テリロジーサービスウェアも担当してくださっていたので、当社のコンサルティングもぜひお願いしますと依頼させていただきました。最初から当社について理解いただいていましたし、ルール構築における要望にも臨機応変に対応していただき、とても満足しております。
また、川島さんだけではなく、他のLRMの社員の方にも丁寧にご対応いただけました。
確認事項があり、LRMさんに何度か電話をかけたことがありますが、皆さん対応が良くて驚きました。
— 今後の展望をお聞かせください。
コロナの影響もあってリモートワークが普及したり、終身雇用という考え方が変わり複数の企業を経験することが当たり前になったり、働き方はさまざまに変化しています。人の入れ替わりがある中で、セキュリティに関して企業文化により統制を取るのは難しく、会社としてルールを構築し運用することは非常に重要だと考えています。今回取得したPマークはもちろんのこと、今後はISMSやDX推進も視野に入れて、社内体制を整備していきたいと思います。
また、現時点ではPマークはあくまで取得しただけですので、今後はより社内に定着させる必要があると思いますし、新たなリスクがないか調査して体制を見直ししつつ運用していければと思っています。
運用において、「セキュリオ」は引き続き活用させていただきますし、何かあればLRMさんにご相談したいと思っています。
クレシード株式会社様、お忙しい中ありがとうございました。
今後ともどうぞよろしくお願いいたします。
※ クレシード株式会社様のWEBサイト
※ 取材日時 2022年8月