SalesforceおよびOracleのパートナー企業として顧客のDX(デジタルトランスフォーメーション)を支援している株式会社ベンチャーネット。今回、SIerからプライバシーマーク(以下、Pマーク)認証の取得を要望され、2021年6月に取得しました。そのPマーク認証の取得にあたり、オプティマ・ソリューションズのコンサルティングを利用した背景と効果について、代表取締役 持田 卓臣氏、筒井 のぞ美氏に詳しくお聞きしました。
――Pマークの認証を取得するに至った背景をお聞かせください。
お付き合いのあるSIerからPマーク取得の要望があったのがきっかけです。基本的に当社はSalesforce社やOracle社のツールの導入・運用コンサルティング業務がメインですが、その中で課題としてあがることが多いのが、ツール間の連携部分です。そこで、各種ツールを連携するアプリケーションの開発を進めてきました。
とはいえ、当社のリソースが不足していることもあって、開発自体が進んでも、製品化までなかなか手が回らない状態でした。そうしたなか昨年、懇意にしているSIerから「我々が総代理店になって既存顧客を中心に売っていきたい」というオファーをいただき、本格的にアプリケーションの販売に力を入れていくことになりました。
具体的な話を進めていくと、そのSIerの既存顧客の多くが大手企業のため、セキュリティ対策は避けて通れないとのこと。「Pマークを取得すれば提案しやすい」という話だったので、今回のPマーク取得に至った次第です。もちろん、これまでの業務のなかでも個人情報を扱う機会はあり、当社も個人情報の取扱いについて整備する必要性は認識していました。ただ、比較的機会が少なかったこと、機会があってもBtoBの名刺情報がメインだったことから、頭の片隅に置いたままでした。そういう意味では、今回のPマーク取得の取り組みは良い機会だとむしろ前向きに捉えました。
――当初からコンサルティング会社を入れる予定でしたか。
SIerから「なるべく早めに取得してほしい」という依頼があり、急いで取得する必要がありました。しかし、前述した通り、リソース不足のため、自社のみで取得するのは不可能。当初から自力での取得は頭になく、コンサルティング会社探しがPマーク取得の第一歩でした。
――コンサルティング会社を選定するうえでの要件をお聞かせください。
まずはHPを見て比較・検討し、サービス内容や対応範囲、価格などで絞っていきました。そのなから3社をピックアップし、最終的には価格よりも、コミュニケーション力や作業の進めやすさを重視したいと考えました。簡単に言うと、当社と「ウマがあうかどうか」を見極めたいと思いました。
――オプティマ・ソリューションズを選定した理由をお聞かせください。
問い合わせした3社のうちの1社はプレゼン自体がキャンセルになったため、オプティマ・ソリューションズともう1社で比較・検討することにしました。
まず、もう1社のコンサルティング会社は作業を代行してくれるとのことで、かなり惹きつけられました。すべてお任せということであれば、お願いしても良かったのかもしません。しかし当社としては、ある程度は自分たちでも理解しながら進めていきたいという考えでしかたら、ウマがあうかどうかという点では疑問が残りました。
一方、オプティマ・ソリューションズの提案には柔軟性がありました。特に取得にあってさまざまな情報や選択肢を提示していただくなど、当社で選べるスタイルには共感を覚えました。例えば、審査機関にしてもひとつに限定するのではなく、いくつかの選択肢を提示。それぞれの特徴をご教示いただいたうえで、当社に合った審査機関を自身で選ぶことができました。また、検討段階での問い合わせに対するレスポンスも速く、スピードを重視したい当社としてはやりやすさも感じました。そこで今回は、オプティマ・ソリューションズにPマーク取得のコンサルティングをお願いすることにしました。
――Pマーク取得までの進捗状況を教えてください。
2020年末にPマーク取得の話が出て、2021年1月からコンサルティング会社の選定に着手。1月末にオプティマ・ソリューションズと契約を交わし、2月にはPマーク取得に向けた取り組みがスタートしました。4月末に審査書類を提出し、6月8日には現地審査を実施。6月22日にはPマークを取得することができました。
――約半年というスピードでPマークを取得できた要因をお聞かせください。
当社としては以下の3つが大きな要因と考えています。
<リモート会議を活用した密なコミュニケーション>
担当していただいたコンサルタントの漆原さんと2週間に1回程度のペースでリモート会議を実施し、「宿題の確認」「次のステップでやるべきこと」などを打ち合わせました。もちろん、その合間にも作業で分からないことがあれば、その都度メールで確認させていただきました。メールで問い合わせした際のレスポンスも速く、作業が止まることはありませんでした。
また、ご教示いただく際は、ただ良い・悪いではなく、なぜ良いのか、なぜ悪いのかの説明がありました。おかげさまで、しっかり理解しながら前に進むことができました。
<逆算式ロードマップによるゴール設定>
漆原さんとの最初の打ち合わせのなかでPマーク取得を6月と決め、そこから逆算して審査書類と現地審査を仮設定し、そこに向けた作業スケジュールを設定していきました。最初にゴールを設定したロードマップを提示していただいたことで、当社としてはロードマップに合わせて1歩ずつ作業をするだけでした。今考えても、このロードマップの策定が6カ月という短期間で取得できた大きな要因のひとつだったと思います。
<分かりやすい規程・様式ひな形>
オプティマ・ソリューションズで用意されている規程・様式ひな形がシンプルで分かりやすく、ほぼすべて利用させていただきました。サンプルの入力例も添付していただいたので、入力に手間取ることもありませんでした、審査の方からも特に指摘事項はなく、「綺麗にできています」との言葉をいただくことができました。
――Pマーク取得にあたり、大変だったところはありますか。
今までこうしたドキュメント作成に携わったことがなかったので、手を動かす実作業は大変でした。特に、どこまで厳密にルールに通りに記載すればいいのか、どこまで細かく記載すればいいのかなど、求められる部分の勘所が分からないため、隅々まで要件通りに記載しようとすればキリがないと感じました。その点に関して、漆原さんと一緒に妥協点を探りながら最小限の手間で進めていくことができたと思っています。本当にありがたかったですね。
――オプティマ・ソリューションズへの評価をお聞かせください。
選定時のポイントだった柔軟性、レスポンス、やりやすさはこちらの想定通りで、本当に助かりました。6カ月で取得できたのは、オプティマ・ソリューションズのおかげと言っても過言ではありません。もちろん、SIerも喜んでいました。これで、無事にビジネスを前進させることができます。
――Pマークの取得前後で社内のセキュリティに対する意識は変わりましたか。
従来からも、決してセキュリティに対する意識が低かったわけではないと思いますが、セキュリティの意識を全社的に共有するまでには至っていなかったと思います。しかし、現在はPマークという大義名分のもとに意識は大きく高まりました。特に「トイレに行くときでも空室時は施錠」「名刺をスキャンしたあとはシュレッダー」など、張り紙で周知したこともあって、従業員も理解し始めています。
情報セキュリティの教育としては、オプティマ・ソリューションズからご提供いただいたE-Learningを4月に実施しました。今後も定期的に続けていくことで、さらなるセキュリティの意識や正しい知識を会社全体で蓄積できればと思っています。
――最後、オプティマ・ソリューションズに対する今後の期待をお願いします。
現在は日々の運用を行っている状況ですが、今後の内部監査をはじめ、社内教育、法改正、そして更新などは我々だけでは対応できません。オプティマ・ソリューションズには引き続き、伴走していただきながらのサポートに期待しています。幸い、オプティマ・ソリューションズは取得だけでなく、取得後のサポートや年間スケジュールの作成、随時ドキュメントの見直しなど、継続的な運用サービスがあるので心強いと思っています。今後ともよろしくお願いします。
――担当コンサルタントより
<Pマーク・ISMSコンサルタント漆原史子(うるしはら ふみこ)>
Pマーク取得、おめでとうございます!!コロナでなかなか直接お伺いして説明したり、記録類を拝見することができない状況の中、いつも説明したことをすぐに正確にご理解いただき、新規取得の審査で指摘事項ゼロ、しかも審査員の方が大絶賛!という非常に良好な結果でPマークを取得していただく事ができ、大変嬉しく思います。
きちんとベースを作っていただいたので、今後もしっかりと個人情報保護体制の運用を継続していただき、Pマークを営業ツールとしても活用していただけますと幸いです。
株式会社ベンチャーネット/プロフィール
2005年6月の設立以来「革新による価値創造により、高利益率の知識創造企業」を生み出すことを社会的使命と捉えて事業を展開。現在はSalesforceおよびOracleのパートナー企業として各ツールの最新情報をキャッチアップしつつ、実務での運用からメンテナンス、デジタルマーケティングまで幅広く企業のDXを支援している。強みは組織の成長ステージに合わせた「リード獲得の仕組みづくり」「知識創造経営のインフラ構築」「マーケティングオートメーション」 の3つの側面からの支援。これに加え、最新のテクノロジーを組み合わせ、カスタマイズすることで企業にとって「理想的なビジネスの仕組み」を提供する。