株式会社ファーストリンク 様 – 顧客事例 –

きちんと運用できるセキュリティシステムが構築できて、審査も難なく通過。LRMの1dayコンサルティングはお手軽なだけではありませんでした。

フットワークの軽さを武器に成長を遂げる株式会社ファーストリンクは、さらなる事業拡大を目指してプライバシーマークの新規取得に取り組みました。取り組むにあたって導入したのは、LRMの『Pマーク1dayコンサルティング』です。依頼に至るまでの経緯と成果についてASI事業部の事業部長 荒木崇氏と信川明日美氏にお話しを伺いました。

株式会社ファーストリンク

(株式会社ファーストリンクについて)
IT、介護、福祉、健康分野におけるソリューション企業。中核を担うITソリューション事業では、インフラネットワークの設計・構築を主軸としつつ、ソフトウェアも含め、設計・企画から開発・運用・保守までをワンストップで手掛けている。主要顧客は通信事業者などの大手。設立間もない小規模SIerとしての強みを生かしたフットワークの軽さで事業を拡大中だ。ISP事業者向けに、次世代型の認証プロトコルDiameter認証と従来型認証プロトコルRADIUS認証を包含した認証システム『FiLDia(フィルディア)』を提供するなど、自社プロダクトの開発にも積極的に取り組んでいる。
設立;2011年12月。事業拠点;東京本社、大阪支社。従業員数;23名(2014年4月現在)。

LRMに『Pマーク1dayコンサルティング』を依頼

— LRMへのご依頼内容を教えて下さい。

荒木氏 弊社(株式会社ファーストリンク)は、LRMに『Pマーク1dayコンサルティング』を依頼しました。

— 『Pマーク1dayコンサルティング』とは何ですか。

荒木氏 LRMのプライバシーマーク(以下、Pマーク)新規取得コンサルティングサービスの1つで、Pマーク認証取得の準備の中で最も重要なマニュアル作成までの工程を、1日で完了させるサービスです。
全社員へのPマーク導入研修、個人情報の洗い出し・リスク分析、認証取得に必要な文書類(マニュアル、様式)の作成を1日で行います。また、コンサルティング後、申請までに行うべき作業手順の説明もありました。

弊社は2013年8月23日にコンサルティングを受けました。担当者は吉村さんです。予想以上にスムーズに完了し、その後、ご説明いただいた手順に沿って作業を進め、2014年1月、無事にPマークを取得することが出来ました。

プライバシーマークかISMS認証を持つことは、ITソリューション企業として当たり前

認証システム『Fildia』

自社製品としてDiameter認証とRADIUS認証を
包含した認証システム『Fildia』を開発

— Pマークを取得した理由を教えて下さい。

荒木氏 弊社は、「ITソリューション企業なら情報セキュリティ系の認証を取得していることが当たり前」という認識に基づき、Pマークを取得しました。取得することを決めたのは2013年5月です。当時、弊社は設立2年目で、事業基盤を確立するためにも必要だと考えました。
特にインフラ系の業務では機密機器を扱うため、クライアントも情報セキュリティに対して高い意識を持っています。大手クライアントの中には、外部委託先に対し、毎年契約更新の際に審査を行う企業があります。そのような際に何等かの認証を持っていれば、手続きが早いという事情もありました。今後、官公庁の入札参加など、積極的な営業展開をしていく上でも活用できます。

情報セキュリティ系の認証には、PマークとISMS/ISO27001(以後、ISMS)がありますが、今回は取得のしやすさを優先してPマークに決めました。

— 今回、大阪支社のお2人が担当された理由を教えていただけますか。

荒木氏 Pマーク取得の必要性が、特に高かったのが大阪支社だったからです。東京本社は派遣中心ですが、大阪支社は請負中心です。クライアントからの要望が多いのも大阪支社でした。
そのような事情があったため、認証取得の準備は大阪支社が担当しました。責任者が荒木、実務担当が信川という体制で、取り組みました。

— お2人はPマークの取得または運用などのご経験はありましたか。

荒木氏 私は以前、Pマークを取得していた企業に在籍していました。担当者ではありませんでしが、取得までの準備を少し手伝い、審査の指摘への対応について相談に乗ることもありました。
当時構築したセキュリティシステムは、完全自主取得だったためか、無駄なルールが多く、過剰なセキュリティとなっていました。そのため社内で「そこまで厳しいルールが必要なのか?」という議論が強まり、結局、ルールは守られなくなり、「ただ認証があるだけ」の形骸化した状態になってしまいました。
このような経験から、Pマーク取得は大変な作業だと感じていました。

— 取得にあたって目標としていたことはありますか。

荒木氏  2つあります。

1つ目は、取得期限です。切良く2014年3月末までの取得を目指しました。

2つ目は、自社できちんと社内の情報が守れる仕組みづくりです。前職ではPマークが形骸化していましたが、その体験を踏まえて、しっかりPDCAを回せるよう、自社の規模や業務内容に応じたマネジメントシステムを構築したいと考えました。
Pマークは、きちんと活用すれば業務の質の向上に役立つはずですが、そのためには自社の規模や業務内容に応じたセキュリティシステムを構築して、きちんと運用することが大切です。取得のきっかけは営業上の理由ですが、取得するならしっかりと運用していくべきだと考えました。

手軽だが丸投げではない『Pマーク1dayコンサルティング』

信川明日美

「Pマークの基礎をわかりやすく
説明してもらえたため、準備
作業もスムーズに進みました」
(ASI事業部 信川 明日美 氏)

— LRMの『Pマーク1dayコンサルティング』を知ったきっかけを教えて下さい。

荒木氏 LRMのセミナーに参加したことがきっかけです。当初は、自主取得を目指していたのですが、たまたまLRMのセミナーを見つけて参加しました。そこで『Pマーク1dayコンサルティング』のチラシが配られていました。セミナーが良かったこともあって、興味を持ちました。

— セミナーはどんなところが良かったですか。

信川氏 私の場合は、Pマークに対する知識や経験が全くありませんでしたので大変有意義でした。Pマークの基礎が大変わかりやすく解説されていたため、理解が深まりました。

荒木氏 私は、セキュリティシステムをいかに構築するかがいかに重要かを再認識しました。
特に印象体だったのは「Pマークを取得していれば本当に安心か?」という話でした。車の運転免許を持っていても交通事故を起こしたり違反したりする人はいます。同様に、多くの企業がPマークを取得していますが、それらの企業でも個人情報の漏えいは発生しています。個人情報漏えいが発生すると、情報を漏らした企業には漏らした件数に比例して、莫大な賠償コストがかかります。そうならないためにどうすれば良いのかなど、具体的な話を聞くことができました。
講師を務めていた幸松さんはIT業界の出身で、私と同年代ということもあり、親近感も湧きました。

— 『Pマーク1dayコンサルティング』はどんなところが魅力でしたか。

荒木氏 まずは手軽さです。15万円という価格に加え、たった1日の打ち合わせで、認証取得に必要な文書類(マニュアル、様式類)が完成します。その後の段取りまで教えてもらえます。一般的なコンサルティングサービスは50万円から60万円はかかることを考えれば破格ですし、最も大変なマニュアルの作成が1日で出来るので、大幅に作業が軽減されます。

一方では、丸投げではないということも、興味を持った理由の1つです。Pマークを形骸化させないためには、我々自身が主体となって取り組む必要があります。認証取得の準備の中で最も大変なマニュアル作成をサポートしてもらい、その後は自分たちで考えながら作業をすることで、しっかりPDCAサイクルを回せる体制を作っていこうと考えました。

設立間もない成長期の弊社にとって『Pマーク1dayコンサルティング』はちょうど良いサービスでした。同種のサービスを提供している会社は全国を探しても見つからなかったので、LRMに依頼しました。

『Pマーク1dayコンサルティング』当日の流れ

— 『Pマーク1dayコンサルティング』は、どのように進みましたか。

荒木氏 『Pマーク1dayコンサルティング』は、下記タイムスケジュールのとおりに進みました。

<当日のタイムスケジュール>

9:30~10:00 Pマーク導入研修
10:00~12:00 個人情報の洗い出し / リスクアセスメント
(休憩)
13:00~13:30 個人情報の洗い出し / リスクアセスメント
13:30~15:00 マニュアル作成(LRM作業)
15:00~17:00 マニュアル読み合わせ
17:00~17:30 今後の進め方の説明

Pマーク導入研修

社長を含め、大阪支社に勤務する社員全員が参加し、Pマークについてコンサルタントの吉村さんから説明していただきました。
このPマーク導入研修は、申請の条件である従業員教育の実施に充当させることが出来るものです(東京本社の社員については、後日、教えてもらった手順に沿って行いました)。

その後のメニューは、担当者2名のみが参加しました。

個人情報の洗い出し / リスクアセスメント

吉村さんのヒアリングに沿って、弊社の各事業の業務の流れを説明し、個人情報の種類と現状の扱い方、それに対する考えられるリスクなどをリストアップしていきました。

マニュアル作成

個人情報の洗い出し / リスクアセスメントに基づいて吉村さんが作成しました。

マニュアルの読み合わせ

完成したマニュアルを、吉村さんに説明してもらいながら読み通し、理解していきました。

今後の進め方の説明

申請に向けて自社で行うべき作業の説明を受けました。コンサルティング終了後に行うべき作業内容は以下の通りです。

<コンサルティング終了後に行うべき作業>

(1)全従業員から個人情報の取り扱いに関する同意書・誓約書を取得する
(2)ホームページのPマーク対応
(3)委託先の選定評価及び秘密保持契約書の締結
(4)教育の未受講者への実施
(5)内部監査の実施
(6)マネジメントレビュー
(7)申請書作成

修正せずにそのまま使えるマニュアルが完成

「大変だと思っていたマニュアルの作成や審査を、予想以上にスムーズに終えることができました」(ASI事業部 事業部長 荒木 崇 氏)

「大変だと思っていたマニュアルの
作成や審査を、予想以上に
スムーズに終えることができました」
(ASI事業部 事業部長 荒木 崇 氏)

— 『Pマーク1dayコンサルティング』のご感想をお話ください。

荒木氏 私は、予想以上に完成度が高いマニュアルが出来て驚きました。
前職の経験から、マニュアル作成は時間がかかると思っていたので、2時間半の打ち合わせと1時間半の作成時間で出来ることには限界があると考えていましたが、読み合わせをしてみると、弊社の実態がよく反映されていました。弊社に無関係なルールはPマークの規格上どうしても必要な範囲に抑えられていました。

また、吉村さんとの打ち合わせやマニュアルの読み合わせを通して、前職時代のPマークで構築したマネジメントシステムがいかに過剰なセキュリティだったかを再認識しました。例えば、サーバーにロックをかけて、ログインする際には必ず記録簿に氏名を書いていましたが、その必要はないということがわかりました。あるいは、前職時代は、Pマークの担当者が苦情係や相談窓口など全部で6人ぐらいいました。
弊社が同じようにするとしたら、大阪支社のメンバーほとんどになるなと思っていましたが、吉村さんからは、担当者は最低2名で良いと教えられました。

当初は、ここで作成したマニュアルを、コンサルティング後に、運用しながら修正を加えていくつもりでしたが、結局、ほぼそのままの状態で申請することが出来ました。

— 信川さんはいかがでしたか。

信川氏 私はPマークに触れることが初めてで、出来上がったマニュアルを読んでもわからないことばかりでした。しかし、ポイントを押さえた説明があったため非常に助かりました。

Pマークのマニュアルは、法律用語のような難解な表現が使用されています。1度読んだだけでは、具体的に何をすれば良いのかが理解できないこともありました。吉村さんは、重要な項目とそうではない項目を分けて、重要な項目についてはしっかりと噛み砕いた表現で説明してくれました。

審査も難なく通過

— 認証取得までの経緯はスムーズでしたか。

荒木氏 コンサルティングの際に説明していただいた手順に沿って作業することが出来たので、全体としてはスムーズだったと考えています。審査も難なく通りました。もちろん指摘事項はありましたが、想定範囲内でした。前職の時は、膨大な量の指摘を受け、是正してもなかなか通してもらえず担当者は苦労していました。それを考えても、コンサルティングの効果は高かったと考えています。

— 認証取得に至る作業でのご苦労はありませんでしたか。

信川氏 東京本社の社員に対する教育として行ったテストや、全従業員に対する同意書・誓約書の回収などには時間がかかりましたし、社内にルールを浸透させる上での苦労もありました。

しかし、実際に自分たちが動いてみることで得たものは、その苦労以上に大きかったと感じています。
例えば内部監査では、我々担当者だけではなく、他のメンバーも含め、情報セキュリティについて考える機会になりました。「本当にこのルールは必要か」「これは厳しすぎるのではないか」「ここが足りないのでは?」などなど、意見がどんどん出てきました。そのような意見が聞けたことも良かったと感じています。そこで出し合った意見は、今後、PDCAサイクルを回す中で見直し、反映すべきものは反映していきたいと考えています。

「コンサルティング会社の選定は、審査にも影響するのかな、と感じた」

— Pマーク取得を検討している企業へアドバイスがあればお話し下さい。

荒木氏 IT業界でビジネスを行う以上、情報漏えいのリスクから逃れることは出来ません。従って、IT企業は、PマークかISMS認証のいずれかは取得しておくべきだと考えています。発注者側に立てば、取得しているかないかで安心感が違います。
そして、認証を取得するなら、コンサルティング会社のサポートは受けるべきです。それは前職の経験と今回を比較して実感しました。おそらく、コンサルティングなしでも取得できないということはないでしょう。しかし、コンサルティングを受けるか受けないかで、手間と時間、そして成果物の質にとても大きな違いが生まれます。
それは審査にも影響するようです。弊社の例では、現地審査で審査員にLRMのコンサルティングを受けた旨を伝えると、審査員の対応が柔らかくなり、場の空気が軽くなったような気がしました。コンサルタントが入ったか入らなかったか、そしてそのコンサルティング会社がどこだったか、ということも審査に影響を与えるのかなと感じました。

このようなことを考えても、LRMの『Pマーク1dayコンサルティング』は、価値のあるサービスだと感じます。

取得するならしっかり運用できるセキュリティシステムを構築したかった。その目的は達成できました

「取得するならしっかり運用できるセキュリティシステムを構築したかった。
その目的は達成できました」(中央;荒木氏、右;信川氏)※左は弊社・吉村

今後のビジョン

— 最後に今後のビジョンをお話し下さい。

荒木氏 2014年2月3日、Pマークの証書が届き、クライアントにPマークを取得したと言えるようになりました。
また、官公庁の入札にも積極的に参加できるようになりました。Pマークは2年に一度の更新審査がありますが、そこに向けてしっかりと運用し、さらなる事業拡大につなげていきたいと考えています。

株式会社 ファーストリンク様、お忙しい中、有り難うございました。

株式会社ファーストリンク様、お忙しい中有り難うございました。

株式会社ファーストリンク様のWebサイト
※取材日時 2014年4月

他のコンサル導入事例を見る

プライバシーマークコンサルティングに関するお問い合わせ

プライバシーマークを取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

プライバシーマーク(Pマーク)取得支援コンサルティング|LRM株式会社へのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

プライバシーマーク(Pマーク)取得支援コンサルティング|LRM株式会社へのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページ先頭へ