株式会社テリロジーサービスウェア様 – 顧客事例 –
株式会社テリロジーサービスウェアでは、多言語リアルタイム映像通訳『みえる通訳』等の自社サービスを提供しており、官公庁においてプライバシーマーク(以下、Pマーク)取得が重要視されていることに課題感をお持ちでした。
コロナを契機に各自治体へのアプローチに取り組むこととなり、かねてからお考えだったPマーク取得へ動き出されました。飯田 道弘氏と小澤 佳和氏に、Pマーク取得の背景や審査までの経緯、そしてコンサルティングを担当したLRMへのご評価などを伺いました。
記事index
(株式会社テリロジーサービスウェアについて)
株式会社テリロジーのグループ会社として、ネットワークとソリューションをキーワードとして事業を展開している。ネットワークにおいてはビジュアルコミュニケーションに着目し、15年以上にわたりWEB会議を取り扱い、昨今では『Zoom』や映像音響機器などの引き合いが高い。また、拠点間VPNサービスである『MORA VPN Zero-Con』の提供も行っており、Zero-Conは累計5,000ユーザーを突破している。
ソリューションにおいては多言語に着目し、多言語通訳・翻訳サービスを提供しており、自社サービスとなる『みえる通訳』は業界で契約数No.1となっている。みえる通訳は、タブレットやスマートフォンを利用し、
ワンタッチで日本語と外国語が話せる専門の通訳スタッフが画面上に現れ、お客様とFace To Face でコミュニケーションの壁を解決できる映像通訳サービス。小売店や宿泊施設での利用に加え、全国72自治体のコロナワクチン会場にも採用された。テリロジーサービスウェアは、ネットワーク・ソリューションサービスを幅広く揃え、中小企業から大企業までさまざまなお客様へ、それぞれの企業規模や業態・コスト、課題等にあわせてよりよいかたちでサービス提供していくことを目指す。
設立:2017年10月。本社:東京都千代田区。従業員数:41名。
Pマーク取得の目的と背景;自治体へのアプローチのために
— Pマーク取得の理由をお聞かせください。
弊社は2017年に株式会社テリロジーの子会社として設立、前身の会社ではISMSを取得しており、メンバーは事業部の運用担当者として長らく関わっておりました。また、テリロジーサービスウェアとなってからもISMSを取得しております。
ですが、コールセンター事業の拡大に伴い、官公庁や自治体へ参入していく過程で、入札条件としてPマークの取得も求められるところが多くありました。これまではISMSだけ求められるところが大半でしたが、あわせてPマークもということで敷居があがったため、Pマーク取得を目指しました。
— 官公庁でPマークを求められるようになったのはコロナ以降からでしょうか。
コロナとは関係なく、だんだんと高まっていったように思います。今でもISMSかPマークどちらかでよいというところはあります。ただ、弊社が参入したかった分野はPマークを持っていて欲しいというところが多かったので、「それであればぜひ取ろう」ということになりました。
— 取得を目指される中で、コロナの影響はございましたか。
『みえる通訳』は、インバウンドユーザーが来訪する機会の多い小売店やホテルや公共施設等で利用されることが多かったのですが、コロナ禍の影響でインバウントユースは減少しました。反面、在留外国人に対するコミュニケーションの壁を解消したいと要望する自治体や教育機関等からの引き合いが増え、Pマークをより求められるようになり、取得へ踏み切ったという側面もありました。
— Pマーク取得にあたってご懸念・ご不安な点はございましたか。
いや、不安だらけでした。すごく単純なところですが、「個人情報の本質って何だろう」というところが一番の不安でした。個人情報の明確な定義や弊社の保有する個人情報の量がどの程度かが想像できなかったため、どれくらいの負荷がかかるのか不安でした。
LRMにご依頼いただいた経緯;コストと信頼感の観点から
— コンサル会社を導入することになった経緯をお聞かせください。
個人情報保護に関する法的な根拠なども含め理解が出来ていない状況で、自社で取得を目指すには、多大なるリスクと労力がかかると会社で考えました。
なるべく早く、入札に向けてPマークを取得をしたかったという背景もあり、個人情報について精通しているコンサル会社に依頼するのが、最も早いと感じました。
— 9月中の取得を目指されていたのでしょうか。
取得まで5か月、すごく無茶なことを言ってしまったのですが、LRMさんに「大丈夫ですよ」と言ってもらったのを覚えています。
— コンサル会社を選定する基準はどのようなものでしたか。
企業的にはやはりコストは重要です。いわゆる料金が見えにくい業界だったので、より明瞭なところを探していました。LRMさんに決めた理由は、期間とコストと対応いただいた方の質です。そういったところのバランスが最もよかったので、LRMさんに決めました。
いくつか見積りは取りましたが、金額感に懸念を感じたり、専業でないところに任せて本当に大丈夫なのかと不安になるようなところもありました。LRMさんは誠実に対応いただけたので、安心して任せられそうだと思いました。
— 何社くらいご検討されましたか。
3、4社ほど選んでいました。LRMさんが一番安かったわけではなく、LRMさんより安いところもありました。
しかし、任せて大丈夫なのか不安がありました。しっかりとやってくださって、説明も分かりやすく、これならと思えたのがLRMさんでした。
個別の企業の依頼に応えてくれたというのが大きな理由でもあると思います。相談・費用・個別要件の3つを重ねた時にLRMさんが最も優位でした。
お取り組み後における御社での変化;情報セキュリティ教育の落とし込みが容易に
— 2021年4月にLRMにご依頼いただき、お取り組み目的であった9月中の取得は実現しましたか。
はい、期待に応えていただきました。
— お取り組み終了後、御社内での変化はございますか。
今までのISMSに準拠した研修に加えて、入社時に個人情報保護の研修をeラーニングで行うことをルーティンとして取り入れました。そのため、個人情報の重要性は社員には伝わっていると思いますし、意識して伝えるようにもしています。
また、Pマーク取得を経験したことで、なぜ情報セキュリティに関する研修をしなければならないかのバッグボーンの説明をしやすくなり、落とし込みやすくなったというところはあります。
— 社員の方はISMSを運用経験のあるメンバーとのことでしたが、Pマークに関しては今回のお取り組みで理解を深められたところもございますか。
LRMさんが提供されているセキュリティ教育クラウド「セキュリオで、個人情報保護に関するeラーニングを受けられるのですが、そこで理解を深めることができました。また、「個人情報の本質って何だろう」という疑問について、LRMさんに理路整然と教えてもらったことで、同じように社員に伝えていく事が出来ました。
それによって、個人情報の根幹を理解し、重要性を把握して、遵守するというPDCAをサイクル化させる運用の礎となったと言えます。
情報セキュリティルール構築における方針;5か月でのPマーク取得を目指して
— どのような指針でルール構築をされましたか。
取得目標期間まで時間も短く、「9月中にどうやって取得するのか」を最大優先事項としていました。
そのため、LRMさんから提示されたタスクに従って遅滞なくデータを作成していくことを指針としました。
コンサル会社に依頼はしましたが、実際に取得するのは弊社ですので、LRMさんの努力を無駄にしないようにという想いはありました。
— 文書作成もかなりスピード感をお持ちになって対応されたのでしょうか。
そうですね。LRMさんのバックボーンやローデータを共有していただけたので、そこがコンサル会社に依頼してよかったと思う最大の理由でもあります。おそらく0→1ではできなかったところだと思います。
ISMS基準のフォーマットは弊社にもありましたが、それだけでは間に合わなかったですね。
— Pマーク取得前の従業員の方のセキュリティ意識はいかがでしたか。
ISMSは数年運用しておりましたし、意識はおそらく高かったと思います。ただ個人情報とISMSは似て非なるところで、「個人情報の本質とは何か」というところについて理解できているようで意外と理解できていない部分もあったかと思います。
— テリロジーグループでISMSを取得されていますが、ISMSルールとPマークルールの兼ね合いはどうでしたか。
それほど難しくはありませんでした。PCの持ち出しに関するルールなどは、ISMSでのルールをPマークのルールとしても利用するなど、流用できる要素がいくつかありました。
— ISMSルールがあったからこそ、早期のルール構築につながったのでしょうか。
ISMSの中での運用を流用できた側面もありますが、早期ルール構築については、LRMさんのひな形があったのも大きい要因です。
— Pマーク取得のために新しく作成したルールなどはありますか。
LRMさんのアドバイスに従って個人情報保護規程を新たに作成し、運用するようにしました。
また委託先一覧の洗い出しについては、事実上の実態のある委託先のみを一覧として洗い出していましたが、
Pマーク取得に際してクラウドサービスなども委託先として追加しました。
— リモートワークも導入されていますが、影響はございましたか。
そこはあまりないかもしれないです。リモートワークのルールについては、ISMSの取り組みの中で既に実施していたこともあり、今回の取り組みとしては影響ありませんでした。
— 不本意ながら導入したルールなどもございませんでしたか。
業務上の影響はあまりないですが、研修などはPマーク取得のために追加で対応する必要がありました。
ただ、あまり負担感は感じていないです。
— 従業員教育や社内周知で苦労したところはございますか。
人数もあまり多くなく、部署も縦割りになっているわけではないため、比較的スムーズにできたように思います。
また、『みえる通訳』などの事業においては、Pマークを以前から取りたかったという想いもあり、期初の会社のキックオフで「Pマークを取得しようと思っているので努力していこう」という共有はありました。
そのため、会社一丸となって取り組んでいく意識は当初からあったと思います。そのおかげでスムーズにいったのかもしれません。
さまざまな業務をこなしながらの体制構築;Web会議の活用によりコンパクトに
— おふたりは普段どのような業務をされているのでしょうか。
飯田様 私は管理部門の責任者をしております。我々は従業員でいうと50名以下の会社ですので、「この業務だけに専念するというよりも各自が複数の業務を効果的に担い、責任をもって進めていく文化となっています。
小澤様 コールセンターで多言語対応するオペレーターの管理・監督を行っております。具体的には、シフトの管理や通訳中の対応サポート、案件の内容確認とオペレーターへの共有などを行っています。各人の持っているスキルと案件のバランスを見ながらシフトを調整するのは難しいところではあります。
— 普段の業務との兼ね合いで苦労されたところはありますか。
『改めて委託先の再確認をしたり、精査したりするのには時間を要しました。また個人情報保護規程などは、LRMさんのひな形を利用させていただいたのですが、弊社の実態にあうように読み合わせをすることには細心の注意を払いました。
従業員からの疑問や質問に対して、我々自身が理解して伝えていく事ができなければPマークを運用していく意味が無くなってしまうので、時間をかけて丁寧に対応しました。
— 個人情報資産台帳などはどのように作成されましたか。
ISMSで管理していた情報資産をベースに作成し、足りない部分を補足していきました。あとは記載方法としてこれでいいのかというところを相談しつつ作成していきました。
初めてのことなので、不慣れであるから時間がかかってしまったのは仕方ないと思っていますが、LRMさんにZoomなどWeb会議でのお打合せを柔軟に対応してもらったおかげで悩みを解消しやすい環境でした。
そのため、ひとりで悩む時間が短く済みましたし、判断を誤らずに作成できたので、想定していたよりは負荷がかからなかった印象です。
— お打合せの頻度はどのくらいでしたか。
毎週行いました。早期に取得したいという希望に対して、無理を聞いていただいたところもあるかもしれません。ただZoomなどを適宜利用していただいたのでコンパクトにすみました。対面の打合せであればスケジュール調整をはじめ、もっと時間がかかっていたと思います。
— 持ち帰り作業はどのくらい発生しましたか。
ウエイトとしては、ひとつの項目について3割くらいかと記憶しています。基本的には川島さんと打ち合わせをしていく中で、川島さん主導で追加や修正いただいたものを確認して、弊社としてどうするかという判断をしていきました。その場で対応しきれなかったものについて、持ち帰り作業を行いました。
川島さんが的確にタスク管理をしてくれたおかげで作業に苦労したという印象はありませんでしたし、依頼した早期取得のためには「どんな厳しいスケジュールでも我々は挑まなければ」という意識から入っていたので、負担感はあまりありませんでした。
— 取得のお取り組み前に工数など気にされていたかと思いますが、実際のところどうでしたか。
予想していた工数よりは短かったと思います。以前ISMSを取得した際は分からないことだらけで、資産の洗い出しの守備範囲も広く、ものすごく大変でした。その経験からすごく身構えていたのですが、個人情報に絞って対応していくかたちだったので、あまり苦労したという感じはなかったです。ISMS取得や更新の経験が活きたところもあるかもしれません。
また終始LRMさんのハンドリングがうまかったです。正直なところ、短い期間での依頼が本当に叶うとは思っていませんでした。LRMさんにあるノウハウや、川島さんの人柄、その他お取り組みを支えてくれた方のコミュニケーションが非常によかったです。どちらかというと事前準備より、Pマーク審査当日がすごく不安でした。前日からずっと文書などとにらめっこでした。
Pマーク審査について;ISMSとPマークのスタンスの違いも実感
— 審査に関してご苦労された点はございますか。
審査に先立って、事前に審査機関からの文書審査を行った結果としての指摘事項の一覧が寄せられるのですが、表現も固く文章も長いため、指摘されているポイントについて作成したドキュメントと照らし合わせながら確認するのが大変でした。
自分達で判断しにくいことも多く、川島さんに「ここはこう書いてあるが大丈夫ですか」と丸投げのようなかたちで質問したのですが、「こう書いてあるので大丈夫ですよ」など、私が気づかないところもサポートしていただきました。レスポンスも早かったのでとても助かりました。
— 短期取得とのことでしたが、審査までのスケジュールの見通しが立ったのはいつ頃でしょうか。
初回のお打合せで大枠のスケジュールは見せてもらいました。ただ本音をいうとその時は「これは5か月では難しいな」と思ってしまいました。取り組みが始まってすぐにゴールデンウイークを挟んだこともあり、当初は本当に終わるか心配でした。我々事務局サイドのリソースと個人情報への知見が乏しい事もあり、無茶なことをいってしまったなと感じていましたが、LRMさんを信じて着実に対応していったかたちでした。
— コロナによる審査への影響はありましたか。
審査時期に影響がでていましたので、川島さんに9月末取得ができるように審査機関を選んでもらいました。
審査機関については当初は希望するところはなく、LRMさんにお任せしていました。賢明な判断をしてもらったおかげで今回は希望時期に取得できましたが、自社のみで取り組んでいたらそのような判断は難しかったかもしれませんし、今回以上に長い期間、審査を待たなければならなかったかもしれません。
— 審査機関とのやりとりについて、どのような印象を持たれましたか。
審査をお願いした時から審査を受けるまでの間で弊社の代表者変更があり、文書を提出しなおしたことがありました。その際、審査機関や審査員の方は柔軟に対応方法を教えてくださりました。
— 審査員にどのような印象をお持ちになられましたか。
穏やかな人でしたが、穏やかさの裏には理路整然とした受け答えと、審査企業に対して個人情報を適切に取り扱い、運用して欲しいという想いがあうことを随所に感じました。
— ISMS審査との違いはございましたか。
ISMSは、事業部単位など認証を取りたいところが取得規模の基準となっていますが、Pマークは全社での取り組みであり、個人情報の適切な保護に特化していることが大きく異なるものと感じました。
LRMコンサルを受けたご感想;短期取得を実現させたスケジュール提示とひな形
— LRMコンサルを受けたご感想をお話しください。
ひとえに期待に応えていただきました。コンサルタントとしての業務の質が高かったと思います。
我々と同じ目線で、細かい質問にも丁寧に説明してくださった川島さんあっての今の取得かと思っています。
— お取り組みスケジュールに関するご感想はございますか。
やらなければならないことをガントチャートでビジュアル的に説明してくださったのが、イメージしやすかったです。そのスケジュール通りに対応していけば良いと認識できたことで、5か月間での早期取得につながったと思います。
いつまでに何をすべきかが明確だったことに加え、打合せも比較的毎週おこなっていただいたことで、タスクのつながりを忘れにくくなったというのもよかったです。今振り返ると、逆に短期取得でよかったのかなとも思います。
— 文書作成に関するご感想はございますか。
シンプルで、いろんな業種・企業規模を問わずミートするものだったと思います。
アレンジをする箇所が決まっていて、アレンジの度合いも難易度が高くないので、使いやすかった印象です。
— 従業員教育は「セキュリオ」のeラーニング機能をご利用されたのでしょうか。
はい。シンプルで使いやすく、すんなり受け入れてもらえました。
— 内部監査はLRMコンサルタントが実施したのでしょうか。
はい。初めての事だったため、客観的に判断いただける川島さんにお願いできたのは、我々も非常に心強かったです。
監査といいつつも、川島さんはある意味「味方」なので、指摘とともに適切なアドバイスをもって対応してくださいました。そのため、その後の対応もスムーズでした。
— 今後は自社で内部監査も実施されるのでしょうか。
そうですね、今後は自社で対応していきたいと思っています。
— Pマークの申請に関するご感想はございますか。
あまり大変だったという印象はないかもしれません。作業に対してボリュームは感じましたが、事前にタスクは決まっていました。見えているタスクに対してどこまでに何をやるという指示が明確だったので、あまり苦労した経験がなかったです。
「この台帳はここまでに必要で、その理由はこうで、なので先にここを対応してほしい」など、期日と対応理由をLRMさんから提示してもらって明確にしてもらっていました。
今後の展望;自社の更新審査・グループ会社での取得に向けて
— 情報セキュリティに関して、現状における課題等はございますか。
Pマークを初めて取得しましたので、更新審査については未経験です。不安であるのと同時に更新審査への対応も重要視しています。あわせて、2022年の4月に個人情報保護法の改正もありますので、そちらについても取り組んでいきたいと思っています。
ただ、どのように対応していくかは検討している段階で、初めての更新審査なのでLRMに依頼すべきなのか、更新審査へのノウハウを社内で溜めていくべきなのかなど、今後の取り組みの中で考慮していきたいです。
— 基本的には自社でしっかりと運用されていくことを想定されていますか。
「回せるようになりたい」というところです。経験値がないことですので、まずはやってみないとと思っています。また、弊社の取り組みを見てグループ会社でも、Pマークを取得していきたいという声があがり、LRMさんをご紹介させていただき、運用に取り組んでいる最中です。
— 「セキュリオ」を継続してご契約いただけるとのことですが、理由をお聞かせださい。
コンサルティング中にeラーニング機能を利用させていただきましたが、教材が分かりやすく、受講者管理や実績等の把握もしやすかったので引き続き利用することを選びました。また今後、改正があったとき等の情報源としても利用していきたいと思っています。利用していく中で、ほかの機能についてもみてみつつ、利用できるところがあれば使っていきたいと思っています。
— LRMへのご期待やご意見がございましたら、お願いいたします。
半年間いろいろとお世話になりました。無事取得に至ったのもLRMさんのおかげだと思います。
来期に向けた入札案件に関する予算取りにも安心して取り組めています。弊社のまわりに情報セキュリティの向上やPマーク取得に悩まれている企業があればLRMさんをお勧めしていきたいと思っています。
株式会社テリロジーサービスウェア様、お忙しい中ありがとうございました。
今後ともどうぞよろしくお願いいたします。
※ 株式会社テリロジーサービスウェア様のWEBサイト
※ 取材日時 2021年12月