Google CloudとAIの活用を通して、各クライアントの問題解決を支援している株式会社Elcamy（エルカミー）。同社は個人情報の取り扱いを重視するクライアントの信頼を得るため、2025年2月にプライバシーマーク（以下、Pマーク）の認証を取得しました。今回、Pマーク取得の背景と効果などについて、代表取締役社長 中川 慎也氏、執行役員 小幡 麻衣氏、コーポレート担当 加藤 李奈氏に話を伺いました。

中川氏：当社の事業領域は主に3つあり、そのひとつはGoogle Cloudを活用したソリューションの提供です。データ基盤構築からデータ活用支援、AI開発や導入後のオペレーション最適化など、Google Cloudのパートナーとしてさまざまなサービスを提供しています。

もうひとつはAIアプリを作成できるオープンソースのプラットフォーム、Difyを活用した生成AIの事業です。業務を効率化するAIアプリの作成はもちろん、社内へのDify導入支援、Difyワークフロー作成支援などを展開。社内向けChatGPTの導入支援も行っています。さらに、生成AI以外のAIもサービスとして提供が可能。例えば、機械学習技術のひとつディープラーニングにも携わってきた実績があるため、AI全般を広範囲に支援することができます。

3つ目は人材リソースを提供する事業です。データ分析やPoC（Proof of Concept：概念実証）、生成AIシステム開発、DXコンサルティングなどの分野において、クライアントの要望に応じてPM（Project Manager)）やPL（Project Leader）、データサイエンティスト、AIエンジニアといった立場でプロジェクトに参画させていただいています。

中川氏：個人情報の取り扱いを重視されるクライアントが増えてきたことが、Pマークを取得するきっかけです。実際、クライアントからのヒアリング時、PマークあるいはISMS認証取得の有無を問われるケースが多々あり、どちらも取得していなかった私たちは、危機感を持つくらいでした。

自己流ながら情報セキュリティのポリシーを策定し、セキュリティハンドブックやガイドラインという形で公開していました。しかし、クライアントが納得する安心感には届いていませんでした。また、お客様からデータをお預かりする際、個人情報は受け取らないように配慮していますが、まれにマスキングされた状態で個人情報が入っていることもあります。こうした状況を総合的に考慮し、Pマークを取得する決断をしました。

中川氏：ISO27001（情報セキュリティマネジメントシステム／以下、ISMS）も重要という認識はありますが、リソースなどの問題もあるため、同時進行で取得することはできません。どちらを取得するか検討した結果、個人情報を気にされているクライアントが多い点でPマークを選択しました。また、前職でPマークの運用と更新に携わった経験があったことも大きな要因になっています。

中川氏：先ほど申し上げた、前職でのPマーク運用・更新時は、自社のみで行っていたため、苦労した経験があります。さらに、限られたリソースで効率良く取り組んでいくことを考えると、今回の自社での取得にあたってコンサルティング会社は欠かせないと考えました。

加藤氏：Web検索を通じ、Pマークおよびコンサルティング会社の情報収集を行いました。その過程でオプティマ・ソリューションズのセミナーにたどり着き、Pマークの概要や取得のプロセスを学ばせてもらいました。その後、10社ほどのコンサルティング会社を比較・検討し、最終的にオプティマ・ソリューションズを選定させていただきました。

オプティマ・ソリューションズを選定した決め手は2つ。ひとつはセミナーに参加したことが大きな要因です。そもそもセミナーを開催しているコンサルティング会社自体が少ないため、自ずとオプティマ・ソリューションズへの注目度が高まりました。しかも、そのセミナーでPマークを取得するプロセスを理解できたことは、当社にとって自信につながりました。

2つ目は長期に渡るサポートサービスです。オプティマ・ソリューションズのサポートサービスは、取得の取り組み時から取得後1回目の更新までの期間を想定した20カ月で、この間はさまざまなサポートを受けることが可能とのこと。他社の場合、取得後のサポートサービスは別契約となってしまうケースが多く、コストパフォーマンスを考えるとオプティマ・ソリューションズに注目せざるを得ませんでした。

小幡氏：オプティマ・ソリューションズへの依頼は2024年5月、取り組みの開始は6月からです。取り組みに携わったのは、総責任者の代表取締役社長 中川、個人情報保護責任者の小幡、事務局 兼 監査責任者の加藤の3名です。

2025年2月には取得することができましたが、それほど急いでいたわけではありません。というのも、2024年10月のPマーク改訂にともない、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」（以下、「構築・運用指針」）も変わると、オプティマ・ソリューションズからレクチャーを受けていたからです。新しいバージョンになってから申請した方が得策と伺っていたため、10月までにドキュメント作成を終わらせ、11月に申請する体制を整えていました。

取り組みの最中は、オプティマ・ソリューションズと月1回の定期的なオンラインでの打ち合わせを行い、急ぎのときはメールやGoogle Driveで情報共有しながら対応。取得後の現在は、オンラインでの打ち合わせは行っていませんが、必要に応じてメールで伺っている状況です。

社員に対する周知については、取得の取り組み中にオプティマ・ソリューションズから提供いただいた教材をもとにオンライン研修を実施。さらに、社内ポータルにはPマークのドキュメントフォルダを設け、アクセスすればいつでも確認できるようにしています。

小幡氏：やはりドキュメント作成ですね。何をすればいのか、何が必要なのか、どういったものが個人情報に相当し、どう管理していくのかなどがまったく理解できていなかったため、それらを精査してドキュメントに落とし込んでいく作業が本当に大変でした。

個人情報の管理という点では、弊社のサービスに関しては個人情報を受け取らないように気をつけていますから、それほど神経質になることはありません。ただ、当社から依頼する業務のなかで、知らず知らずのうちに個人情報が渡っていることに気づかされました。

具体的には名刺作成を依頼する際がそれに該当します。名刺作成を依頼するサイトでは名刺をデザインする際、名前を入力しなければなりません。また、当社はフルリモートワークですから、作成した名刺を個人宅に届けるため、住所を入力する必要があります。こうした個人情報は徹底して守る必要がありますから、ひとつずつ洗い出してルール化していきました。

また、リモートワークならでは情報管理もルール化する必要がありました。とくに重要だったのは、在宅勤務での入退室に関する規定です。利用していないときや外出時のパソコンの状態など、物理的な管理の仕方をしっかりとドキュメントに落とし込み、ルール化していきました。

小幡氏：取得前は漠然としていたため、個人情報に関する規定というざっくりとした印象しかありませんでした。実際に取り組んでPマークを取得してみると、かなり細かく、拘ればキリがないことが分かりました。また、取得後は常に個人情報やセキュリティ面に気を配るようになるなど、意識が大きく変わったと思います。

加藤氏：まず、今回の取り組みにご協力いただき、ありがとうございました。おかげさまで、直近のクライアントのチェックシートで「取得済み・取得する予定」にチェックすることができました。これからは、より円滑にビジネスを進めることができそうです。

小幡氏：私も加藤も疑問に思ったことは納得しないと先に進めない性格のため、オプティマ・ソリューションズのコンサルタント、佐々木さんには面倒な質問をたくさんしてしまいました。とくに当社はフルリモートワークですから、「構築・運用指針」との整合性が難しく、どうドキュメントに落とし込むかを悩み、佐々木さんにしつこく質問した記憶がります。そういった質問に対して佐々木さんは誠実に回答していただき、大変助かりました。

また、「構築・運用指針」に対する具体的な対応については、オプティマ・ソリューションズのテンプレートに記されており、どういったドキュメントが必要になるかまで理解することができました。やはりドキュメントをゼロから作成するのは非常に手間ですから、オプティマ・ソリューションズのテンプレートは有り難かったですね。

小幡氏：情報漏えいを防ぐ第一歩は、社員一人ひとりが情報セキュリティの意識を持つこと。それを今回のPマーク取得を通じ、再確認することができました。まずは、Pマークのようなオフィシャルの認証を取得することが鍵になってきますが、その際はオプティマ・ソリューションズのように伴走支援してくれるコンサルティング会社への依頼をおすすめします。オプティマ・ソリューションズなら資料も充実しており、質問にも的確に回答してくれますから安心できると思います。

小幡氏：当社は認証を取得すれば終わりという認識はありません。実態をともなう形で個人情報に対して適切な運用を行っていきたいと考えています。また、具体的なロードマップはありませんが、今後はISMSやISO42001（AIマネジメントシステム：AIMS）の取得についても視野に入れながら情報セキュリティを強化していくつもりです。そのためには、オプティマ・ソリューションズの支援が必要不可欠となりますから、引き続きよろしくお願いいたします。