株式会社Kirala様 – 顧客事例 –

— LRMへのご依頼内容をお話しください。

株式会社Kiralaは、2020年8月にPマークの新規取得コンサルティングを依頼しました。担当コンサルタントは、宮崎さんです。

2022年9月に現地審査を終え、2022年11月に取得しました。

— まずは御社の事業についてお聞かせください。

Kiralaは、ウォーターサーバや空気清浄機、美容機器などを企画販売している企業です。生活において”ちょっといいもの”を手軽な値段で提供させていただいています。

ウォーターサーバ事業については、富士山の高い標高に採水工場があり、クリーンな天然水をウォーターパックでお届けする従来のウォーターサーバのサービスと、POUサーバという水道直結式のサービスを展開しています。空気清浄機は、オゾンを利用して空気中の菌を除去することができます。家庭用の空気清浄機において、オゾンを利用しているのは弊社を含めて数社です。これらの商品は、ご家庭でご利用いただくことも多いですが、法人や病院などにご導入いただくケースもあります。こうしたウォーターサーバや空気清浄機に留まらず、生活に欠かせない部分に密着した商品を展開していこうと考えています。

— Pマーク取得の経緯をお聞かせください。

空気清浄機などのレンタル事業において、アライアンス先のお客様に対して弊社の商品を展開するというBtoBtoCビジネスのお話が立ち上がったことがありました。弊社がコールセンターを持っていたため、お客様への架電業務を委託したいと先方からご相談いただきまして、同時にPマークを取得してほしいという要望をいただきました。先方は上場もされていたので、個人情報の取り扱いについて気にされていたのだと思います。

それまで弊社には、Pマークに関する知見はありませんでした。先方からの要望をきっかけに、一度社内体制を見直して、Pマーク取得に向けて動き出すことにしました。

— お取り組み体制をお聞かせください。

今回のPマーク取得については、システム部門が主導して取り組みを進めました。

弊社におけるPマークの位置づけとしては、情報セキュリティを強化するための一つの要素として個人情報保護の体制構築があり、その体制構築のひとつの成果としてPマーク取得がありました。

— Pマーク取得前の従業員の皆様のセキュリティ意識はいかがでしたか。

業務においてセキュリティはあまり意識できていなかったと思います。履歴書がきちんと整理されていなかったり、個人情報を含んだファイルをパスワード無しでやり取りしてし まっていたり、ということが一部でありました。セキュリティに関するリテラシーが高いとは言いづらかったです。セキュリティに関する規定なども無かったので、今回のPマーク取得をきっかけにイチから作成していきました。

— ISMSなど、他の情報セキュリティ認証もご検討されたことはございましたか。

取引先様から今回要請いただいたのは、Pマークでした。BtoBtoCビジネスにおいて、取引先様のお客様に弊社が代理で営業展開をするという特殊な個人情報の取り扱いを行うため、Pマークを求められたのだと思います。

ただ、Pマークにこだわっているわけではありません。今後、セキュリティの水準を上げていく中で、ISMSなどの他の第三者認証を取得する可能性は十分にあります。

— Pマーク取得においてご不安に感じられていた点はございますか。

知識がある人間がいないのは不安でした。Pマーク取得・運用について、部分的に経験していた人間はいましたが、取得の取り組みを初めから最後まで経験した人間はいませんでした。
また、従業員のセキュリティ意識も決して高いとは言えなかったので、教育をして意識を持ってもらえるのかが不安でした。実際に、セキュリティは重要だと分かっていても、業務の効率性を優先してしまうという場面もあったので、従業員へのセキュリティの意識づけは大変でした。

また、セキュリティの仕組みが無かったので、本当に不安で、最初のうちはLRMさんにどうしたらいいかを全てお伺いしていました。取り組みを進める中で、まずはシステム面の仕組みを整備してから無理のない運用をしていかないと、維持できないと判断しました。そのため、一度取り組みを中断させていただきました。
しっかりと社内環境を整える時間を設けてから、取り組みを再開して、無事に取得に至りました。

— 知識のある人間がいなかったとのことですが、自社だけでの取得を検討されたことはございましたか。

全くありませんでした。自社だけの取得は厳しいと思っていたので、初めからコンサルティング会社を探しました。インターネットで、実績や導入事例、金額、サポート内容などを比較して、4社ほどはお打合せで直接お話をお伺いしました。電話やメールでのやり取りも含めると、7～8社ほどになります。

LRMさんのサービス内容や金額感は、当時立ち上がってすぐだった弊社のニーズに非常に合っていました。
一方で、他の会社は手厚いサポートがあるとは思うのですが、非常に金額が高かったです。
また、サポート期間が決まっているところもありました。例えば、半年までに取得を目指しましょう、半年を過ぎると別料金を頂きますといったイメージで、本当に期限内に対応できるか不安を感じました。
そのため、金額感がちょうど良く明確で、取得までしっかりサポートしてくれるLRMに決めました。

— Pマーク取得において大切にされていたことはございますか。

Pマークは保持し続けることが重要だと思っています。1回取得したけれど、数年経って手放さなくてはならなくなったというのでは、意味がありません。そのため、システムなども整備した上で、無理せずに運用していける環境づくりを重視しました。

— お取り組み全体を振り返ってみていかがでしょうか。

セキュリティのシステムの導入は、何もない状態だったのがある程度は整備が出来ました。
ただ、システムだけが整っていても、セキュリティは保たれません。
これからPマークを保持していくために、従業員の意識を保ちながら運用を続けていく必要があります。
従業員の意識を保ち続けるために、教育は今後も継続して行っていかなければならないと考えています。

— お取り組みはどのように進められましたか。

基本的にはメールでやりとりをしつつ、資料は弊社が利用しているダイレクトクラウドで共有しました。
取り組みの最初はLRMさんに用意してもらったストレージサービスを利用していましたが、取り組みの途中で、社内でダイレクトクラウドを共通して利用する環境が整備できたため移行しました。

— お取り組みにおいて、想定外の事態などはございましたか。

すでにPマークを取得された会社さんから、マニュアル等は、細かい作業手順なども含めて用意する必要があると聞いていたので、かなり細かく書類を整理していく必要があると身構えていました。
実際は、そこまで細かいマニュアル等は作成する必要が無く、想像よりも少ない工数で対応できました。
作成するマニュアルが絞られていたからこそ、一つ一つに対してきちんと時間をかけることが出来ました。LRMさんから素案をいただいて作成できたのも、効率的に作業を進められて良かったです。

— Pマークを取得してみて社内外で変化はございますか。

社内においては、Pマーク取得以前は、セキュリティの観点からこういうことをやらないでくださいと案内をすると、「なぜですか」と反論がくることがありました。今回、Pマークを取得するにあたり、従業員に説明や教育を行ってから案内を出すことで、みなまで言わずとも納得して対応してもらえるようになりました。
Pマークを取得したことで、社内に置いてセキュリティ対策を実行してもらえる大義名分ができましたし、せっかく取得したからちゃんとやろうという雰囲気が作られたと思います。

対外的には、名刺にPマークのロゴが入りました。Pマークは、持っていて当然という認知度だと思います。
取得以前は、まだ持っていないの？と、不安を抱かせてしまっていたのが、取得したことで、社会的信頼性を持てたのではないかと感じています。

— 体制構築において大切にされていたことはございますか。

仕組みでカバーできるところは、システム導入も含めて仕組みでカバーするようにしました。

例えば、MicrosoftのAzure ADを導入することで、アカウント保護を強化しました。
業務上、クラウドサービスを利用することがありますが、Microsoft Azureで連携するものを中心に導入することで、できるだけセキュリティ面をカバーしました。また、メールセキュリティも導入しました。

今までは、気づかないうちに個人情報をそのまま送ってしまうというケースもあったと思います。
システムを導入したことで、自動でパスワードがかかるようになりました。
データはサーバにアップされて、ダウンロードするにはパスワードが必要になるという形式なので、送付データが間違っていた場合もこちらでサーバ上のデータを削除することが出来ます。

Pマーク取得をきっかけに社内体制を見直して、必要に応じてツールを導入したことで、情報セキュリティの仕組みが整いました。

— 工数をかけたところはございますか。

審査の際に必要な証跡資料を取りまとめる際は、きちんと整合性が取れるように時間をかけて確認しました。
個人情報管理台帳や委託先管理台帳など、Pマーク取得前は管理していなかったので、LRMさんからひな形をいただいてイチから作成しました。まったく知識が無かったので、ひとつひとつLRMさんにお伺いしながら作成した形です。

また、勉強会はかなり丁寧に実施しました。仕組みだけではカバーできない、従業員の意識の部分もセキュリティにおいては重要です。マネージャー層なども含めて、個人情報保護の重要性を分かってもらうために教育はしっかり時間をかけて対応しました。

— 勉強会はどのような形式で実施されましたか。

Zoomを使ってオンラインで実施しました。全従業員に向けた研修に加えて、経営層向けやマネージャー層向けの研修も含めて、合計4回ほど実施しました。
各役割で持ってもらいたい意識の内容が異なってくるので、それに合わせて教材を自社で作成して説明しました。こういった教育はこれからも継続していきたいと考えています。

また、オンラインでの勉強会に加えて、セキュリティ教育クラウド「セキュリオ」を利用したeラーニングも実施しました。アルバイトも含めて、約70名の全従業員に対して教材を配信しました。
セキュリオは、eラーニング機能や社内アンケート機能を主に利用していますが、難しいところがなく、誰でも使いやすいサービスです。eラーニング機能については、スライドでセキュリティに関する学習をしてもらえるだけではなく、テストを実施することができます。テストの内容は、弊社仕様に編集することもできるので助かっています。

— オンラインでの勉強会やeラーニングなどの教育は、どのようなタイミングで実施されていますか。

入社される際は、必須で行っています。個人情報保護に関する教材をeラーニングで受講してもらっています。後は、Emotetの被害が増加するなどの社会の事象や会社の状況に合わせて、研修実施を検討しています。

— 委託先管理はどのようにされましたか。

管理簿はセキュリオを使って作成しました。また、委託先選定基準のチェックリストは、LRMさんにひな形をいただいて、委託先にセキュリオを使ってアンケートを実施しました。委託先には、利用しているクラウドサービスの提供会社なども含めることを今回初めて知りました。弊社はクラウドサービスがメインで業務が進んでいるので、それを取りまとめるのは大変でした。

また、委託なのか第三者提供なのかという言葉の定義を理解するのが難しかったです。社内でもなかなか認識が合致しなかったので、何度もLRMさんに質問をしながら、考え方を整理していきました。

— Pマーク取得に向けて作成したルールを周知する際に従業員の方からの反発はございましたか。

大きな反発はありません。ルールを制定した当初は、目を通してください・部署ごとに教育してくださいと伝えていても、意識がまだできていなかったので、なかなか浸透しないという状況はありました。
ただ、ルールは早い段階で策定できていましたし、教育などを実施していく中で浸透していきました。

反発でいうと、Pマーク取得に際して、個人情報だけではなく情報セキュリティ全体におけるルールやツールについても整備しましたが、それらに対して「非効率ではないか」という意見をもらうことはありました。
そういった意見に対しては、現在の環境の中でこう対応するのはどうかという代替案を提示することで解決しています。また、シャドーITなどについては、なぜダメなのかを説明する時間を設けて、納得してもらっています。

— お取り組みを中断されたとお伺いしましたが、どういった経緯で中断されたのでしょうか。

従業員向けのセキュリティルールブックを作る過程で、Pマーク基準のセキュリティを現在の環境で実施するのは無理がありました。例えば、個人情報を送る際に、その都度パスワードをかけて別で送ることを1人1人に対応してもらうのは、手間がかかりすぎてしまいます。

Pマーク取得に合わせて、社内の情報セキュリティ水準の向上も図りたいと考えていたので、とりあえず形を作ってしまうのではなく、土台からきちんと見直すことを選びました。半年以上ほどをかけて環境を整えた上で、Pマーク取得の取り組みを再開しました。

— Pマーク取得において苦労されたところはございますか。

管理簿などの資料を取りまとめるにも、各部署にひとつひとつ確認していくことが必要になります。
そういった各部署への依頼において、忙しい中答えてもらえるように調整していくのが大変でした。

また、Pマーク取得という大義名分があっても、経営層にセキュリティツールを導入してもらえるように説明するのは苦労しました。セキュリティツールはどうしても費用対効果が図りづらいところがあるので、理解してもらうのが大変です。被害があった際のリスクを明確に打ちだした上で、このツールがそのリスクをどうカバーできるかを理解してもらえるように努めました。ただ、現代において個人情報をぞんざいに扱ってはいけないことは一般常識です。企業として、経営層がセキュリティについて検討してきちんと体現していく必要性があることは納得してもらえたので、結果としてはセキュリティツール導入に至りました。

— 複数のツールを導入されていますが、業務上のやりにくさなどはございませんか。

Pマーク取得に対して、前述したAzure ADやメールセキュリティツールに加えて、クラウドプロキシやパスワード管理ツール、多要素認証、入退室管理ツールなどを導入しました。ただ、基本的にはバックグラウンドで機能するものですし、パスワード管理ツールなどは利用した方が楽になる側面が強いので、大きな反発はありませんでした。

— 新しく決めたルールに対して負荷がかかっているようなことはございますか。

さまざまなツールを導入したことで、中にはうまく使いこなせない従業員もいます。そのため、情シス業務においてツールに関する問い合わせ対応が増えることはありました。

また、インシデント発生時の対応フローは新しく決めたので、そこは今までにはなかった対応が必要になります。ただ、弊社はそれほど大変な手順にしていません。LINEWORKS上にトークルームを設けており、インシデントが起きた際はそこに投稿してもらうようにしています。日常的に対応すべき事項としては、クリアデスクの実施をお願いしていますが、大きな反発などはありませんでした。

— 内部監査はLRMが代行しましたが、いかがでしたか。

取り組みの途中で、拠点が1つ新しく追加されました。Pマークではすべての拠点で内部監査の実施が必要になるので、そちらもLRMさんに代行していただきました。

LRMさんは分からない部分をひとつひとつ丁寧に教えてくださいました。実際に、内部監査で個人情報管理台帳の対応漏れなども指摘いただき、審査までに対応することができました。今後の内部監査についても、自社だけだと不安な部分もあるので、LRMさんのお力をお借りしたいと思っています。

— 審査を受けられてみていかがでしたか。

審査員の方から、初めての割にはよくできていると褒めていただけました（笑）。指摘事項もありましたが、少ない方だったようです。
審査は初めてだったので緊張していたのですが、審査員の方は弊社がPマークを取れるように、どう改善すべきかを親身になって教えてくださいました。すごく硬い方がいらっしゃるのかなと思っていたのですが、非常にやりすかったです。また、プロジェクトの途中で法改正があり、審査前に資料の取りまとめなどにおいて追加の対応が増えて大変でしたが、結果としてはスムーズに取得ができました。

— LRMのサポートはいかがでしたか。

Pマークに関する知識が無かったので、質問も多くなってしまったのですが、ひとつひとつ分かるように丁寧に回答してくださいました。LRM宮崎さんはとても柔らかい雰囲気の方で相談しやすかったです。また、資料もスピーディーに共有していただけましたし、非常に助かりました。

基盤も無ければ知識も無い、まっさらな状態からの取り組みでしたし、半年間休止もさせていただきました。
冒頭で、ここまでに取得できなければ追加料金がかかってしまうコンサル会社さんもあったとお伝えしましたが、他の会社さんに頼んでいたらPマーク取得は難しかったと思います。根気強く最後までお付き合いいただいて、問題なく取得できたことにはとても感謝しています。

— LRMとのお付き合いはこれからも継続されますか。

運用改善サポート「情報セキュリティ倶楽部」と、セキュリティ教育クラウド「セキュリオ」を継続契約しました。セキュリオは、eラーニング機能や社内アンケート機能、サプライチェーンセキュリティ機能など、便利なのでそのまま運用を続けていきたいと思っています。情報セキュリティ俱楽部については、今後も運用を進めていく上で、セキュリティに関する質問事項が増えてくる可能性もあるので、気軽に問い合わせられる先が欲しくて契約しました。
LRMさんは、些細なことも丁寧にご回答いただいていたので、これからもお願いしたいです。

— 今後の展望や課題についてお話しください。

課題はたくさんあるとは思いますが、当面は従業員教育の部分に注力したいと考えています。
また、今回Pマーク取得に取り組んだ情シスのメンバーなどは、リテラシーもどんどん上がってきていますが、それ以外の部署については理解がまだまだ浅いです。情シス部門は、個人情報の取り扱いはそれほどありません。むしろ他部署の方が個人情報に携わることが多い場合もあります。今回、個人情報管理者を経験することですごく勉強になったので、他部署の人も含めて、持ち回りで役割を担うなども視野に入れつつ、会社全体のリテラシーを上げていきたいです。

さらに、現在ISMSの取得も考えています。弊社は、消費者の方に直接サービスを提供させていただいていますし、複数のシステムを活用する会社でもあります。
そういった状況を踏まえて、個人情報だけではなくより広い情報セキュリティ対策の強化をしていきたいです。

株式会社Kirala様、お忙しい中ありがとうございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社Kirala様のWEBサイト
※ 取材日時 2023年1月

他のコンサル導入事例を見る