株式会社キンセイインテリジェンスシステム 様 – 顧客事例 –

大阪市に本社を置くシステム開発会社・株式会社 キンセイ インテリジェンス システムは、2013年8月、プライバシーマーク（以下、Pマーク）の新規取得に向けて始動しました。
新規取得後の運用・更新は自社で行うことを目指し、コンサルティングはLRMに依頼。その選定の経緯、コンサルティングの成果などについて、担当者の管理部 次長 河田崇氏にお話を伺いました。

（株式会社 キンセイ インテリジェンス システムについて）
企業のOA化と生産性向上に貢献することをミッションに掲げるシステム開発会社。「ソフトウェア開発受託・アウトソーシング」、「客先一括常駐・チーム体制リソース支援」、「IT技術者オンサイト支援」まで、顧客のニーズに合わせ、様々な形態による技術支援サービスを提供している。独立系システムインテグレータとして包括的なハードウェア、ソフトウェア、他様々な製品に携わっており、機種、OS、言語、DB等の種類を問わず、幅広い製品知識を有することが強み。多岐に渡る産業分野・業種に向け、Webアプリケーション開発、インフラ構築、リモート保守、ヘルプデスクなど幅広いソリューションを提供している。
2012年8月の東京営業所拡張、2014年4月の名古屋営業所開設と事業を拡大中。
本社；大阪。設立；1987年5月1日。従業員数；60名（一部契約社員含む）。

— LRMに依頼した業務内容を教えて下さい。

弊社（株式会社 キンセイ インテリジェンス システム）は、LRMにPマークの新規取得コンサルティングを依頼しました。コンサルティングを担当してくれたのは金山さんです。

弊社はPマーク取得に最優先に取り組む意向を持っていました。なるべく早く取得したかったため、打ち合わせも短いスパンで進めてもらいました。LRMはそのような弊社の希望を汲んで、迅速に対応してくれました。2013年10月からスタートして2014年2月14日にPマークを取得することが出来ました。

— Pマークを取得した理由を教えて下さい。

弊社がPマーク取得を決めたのは、2013年8月の営業会議でのことでした。営業担当者からの要望がきっかけです。

弊社ではPマーク取得の議論は、以前からありました。Pマークの制度がスタートした際も検討しましたが、その時は取得を見送りました。しかし最近は、システム開発業界ではPマーク取得は当たり前の状況となり、特に東京では未取得が理由で成約に至らないケースも発生していました。東京営業所の業績が軌道に乗り、今後さらに成長の見込みがあることから、機会損失の種を無くすとともに、社員の情報セキュリティ意識を向上させるために、Pマーク取得を決定しました。

— 河田様がご担当者に選任された経緯を教えていただけますか。

私は、社内で行う受託開発業務や管理部門の業務、客先常駐社員の管理などを兼務しており、部門横断的なコミュニケーションが取りやすい立場にいます。そのためPマーク担当者に選任されました。

ただ、Pマーク取得に関する予備知識がなかったので、新規取得にあたってはコンサルティングサービスを導入しました。

— コンサルティング会社選定の経緯を教えて下さい。

まず、インターネット検索で調べました。タイミング良くLRMが大阪でセミナーを開催していたので、参加しました。並行して他社のホームページや請求した資料を読み、各社のコンサルティング実績、料金表などを吟味しました。
そして実際に3社と面談して、最終的にLRMを含む2社に絞り込みました。

— LRMを選定する決め手となったポイントを教えて下さい。

一番の決め手となったのはセミナーです。セミナー講師の話がわかりやすく、納得して帰ったことを覚えています。
また、SE出身のコンサルタントが在籍するため、システム開発業界に詳しいのではないかという期待が持てたことも、大きな要因でした。弊社を担当した金山さんもその一人です。セミナー後、面会して話を聞いた際に安心して相談できる印象を受けました。それは金山さんの物腰の柔らかさも影響しました。Pマーク取得というプロジェクトをリードするコンサルタントに何でも話せることは進行スピードや構築するマネジメントシステムの精度にも関わります。見積もり金額も予算内に収まっていたので正式発注しました。

— 他社との比較では、どのようなところに違いがありましたか。

比較した1社も実績、費用の面では魅力的でしたが、取得後の運用・更新に不安がありました。理由は、新規取得に至る過程が、コンサルタントへの丸投げだからです。弊社としては、Pマークを取得するだけならその方が楽ですが、新規取得の過程を丸投げして、運用・更新を自社できちんと出来るようになるのか、不安がありました。また、弊社の業務と無関係のルールを構築されることも心配しました。自社でPDCAを回せるようにすることが命題だったので、新規取得段階における多少の苦労は覚悟の上で、丸投げのコンサル会社は回避し、総合的な印象が良かったLRMに依頼しました。

— 実際にPマークの取得を振り返って、ご担当者としての業務はいかがでしたか。

通常業務をこなしながらPマークを取得する作業は楽ではありませんし、PマークはJIS Q 15001の規格に縛られる部分が多いため「ここは弊社の業務には合わないな」と思いながら作業する部分はありました。
しかし、LRMの金山さんが弊社の業務内容をしっかり把握しサポートしてくれたおかげで、最適化されたマネジメントシステムが構築できたと考えています。

— 取得までの大まかな経緯を教えて下さい。

10月からスタートして、年内までに現地審査指摘事項対応が終わっていました。
特に申請までかかった期間は2か月間です。10～11月にLRMと5回の打ち合わせを行い、個人情報の特定からリスクアセスメント、文書作成まで行いました。その後、従業員教育、内部監査を経て11月末に申請しました。
従業員教育に向けては、LRMから教育資料とテストを提供していただきました。また、内部監査に向けては、LRMに社内の内部監査員に対する内部監査員教育をしてもらいました。

12月に入り、初旬に文書審査、中旬に現地審査、26日に現地審査の指摘事項対応を行いました。そして、2月の取得へと至りました。

— ご担当者として作業されたことはどんなことですか。

基本的にマネジメントシステムのルールを決めるのは弊社側のタスクです。LRMにはそのルールを決めるためのサポートをしてもらいました。
打ち合わせでは、個人情報の特定、個人情報のリスクの洗い出し、さらにルール作りなどを金山さんのヒアリングに応えながら行いましたが、その場で判断できないことは、次回までの宿題となりました。
当時は大阪本社と東京営業所の2拠点体制でしたが、大阪本社に適用できるルールが東京営業所では適用できないなど調整が難しい時や、わからないことがある時は、金山さんにメールで相談しながら進めました。

また、これまで社内システムのログの保管期間は明確に決めていませんでしたが、今回は明確にルール化して設定をしました。

— 新たに設けたルールにはどのようなものがありますか。

従業員や面接時における採用応募者からの同意書取得、入退管理など、Pマークを取得するために絶対に必要なルールを決めました。パソコンのログインパスワードの桁数や変更頻度の統一、個人情報が載った機密文書類の保管や廃棄に関するルール決めも行いました。それによって、普段何気なくやっていたことが、明確なルールとして整理することが出来ました。

— 自社で運用や更新を行うためのマネジメントシステム構築に関してはいかがですか。

弊社の業務に最適化されたマネジメントシステムが構築できましたので、我々が意識的に取り組めば、PDCAサイクルをしっかり回して、更新に備えることは十分可能だと考えています。そのために（１）社内における役割分担を決めました。また、（２）運用確認表の管理を行っています。

（１）社内における役割分担
取得後の運用は私一人で行うのではなく、複数のメンバーでセキュリティ責任者やシステム管理者などの役割分担を決めました。本来の業務を兼ねているため、一人で全てを行うことは困難です。運用にあたっては複数のメンバーで役割分担するのが賢明だと考えています。

（２）運用確認表の管理
運用確認表はルールが守れているかどうかを確認するためのチェックシートです。クリアデスク、入退室記録、同意書など、特に定期的に1か月に１度はチェックした方が良いものを表にまとめて台帳管理しています。
これはLRMに提供してもらったエクセルの表を、規格の適用範囲で自社の運用に合わせたアレンジを加えて使っています。ご提供された表は、会社全体で出来ているか、出来ていないかをチェックするものでした。それを、例えば同意書の場合では、何人面接して何枚もらえたかという数値を書くようにするなど、より具体的に記録するように変えました。また、個人単位で評価して全員が出来ていたらチェックするシステムにしました。

「出来るだけ早く取得したい。金山さんにはその意向を汲んでいただきました。
迅速な対応、明快な回答に助けられました」（左；河田氏）※右は弊社・金山

— LRMへのご評価をお願いいたします。

2014年3月末までの取得と、自社で運用・更新を行うことが可能なマネジメントシステムの構築という2つの目的は、達成できたので、満足しています。その経緯において、私が特に助かったことは、レスポンスの早さです。

宿題をこなす上で不明な点などがあった際にはメールで質問しました。金山さんは、夜中や休日などでも返信をしてくれました。私自身、日常業務と並行しての取得作業だったので、スケジュールの調整に苦慮する場面は沢山ありました。その中でレスポンスの早さは、1つのタスクに縛られる時間を短くするため非常に助かりました。また、その際の説明も非常に分かりやすいと感じました。

— Pマーク取得を検討している企業様やご担当者様にアドバイスがあればお願いいたします。

2点あります。

（１）納得できる説明をしてくれるコンサルティング会社と組む
Pマークの取得をためらっている企業や担当者の方もいらっしゃると思います。実は私自身も、担当者に任命された当初は、Pマークの必要性や重要性を認識する一方で、Pマークの運用が業務にどのような影響を与えるのかという不安感はありました。もし同じように考えて、踏みとどまっているとすれば、ぜひコンサルティング会社に相談してみることをおすすめします。そこで納得できる説明をしてくれる会社と組めばきっとうまく行きます。

（２）相性の良いコンサルタントが在籍する会社を選ぶ
コンサルティング会社を選ぶ際には、担当するコンサルタントとの相性を見極めることもお勧めします。Pマーク取得は半年以上の期間がかかるプロジェクトです。日常業務と平行する作業で、なおかつ個人情報保護法という法律が絡むテーマと向き合うため、必ずしも作業がスムーズに進むとは限りません。その時に、気軽に質問や相談ができる相手がいるかいないかで、進捗度が大幅に変わります。従って担当者同士の相性は非常に大事です。
そして、その選定は担当者個人の判断で決めて良いと考えます。私も、費用など会社が求める要件を満たせることを確認した上で、担当する金山さんとの相性の良さに期待してLRMに依頼しました。金山さんには、その期待に応えていただけました。「こんな基本的なことを質問しても良いだろうか？」「自分で一度調べてから聞くべきだろうか？」と思うようなことでも、面倒がらずに即答してくれました。しかもその説明もわかりやすい。それが早期取得につながったと考えています。

— Pマークの運用に関する今後のビジョンをお話しください。

今後は、個人情報に限らず情報セキュリティの全社的な意識向上に努めていきたいと考えています。社員一人ひとりが意識を持つことで、業務の質は変わります。特にシステム開発の業務では有効に働くはずです。私は担当者としての業務を通して、Pマークは情報セキュリティに関する社員の意識を向上させるきっかけだと考えるようになりました。
今後は会社全体にその意識を広めていきたいと考えています。

株式会社 キンセイ インテリジェンス システム 様、お忙しい中、有り難うございました。
※左は弊社金山

株式会社 キンセイ インテリジェンス システム 様のサイト
※取材日時 2014年3月

他のコンサル導入事例を見る