株式会社アップアローズ 様 – 顧客事例 –

運用代行サービスから得た教訓はPマークは自主運用が基本だということです。そのための基盤作りとノウハウの蓄積は、LRMのサポートさえあれば難しくありません

株式会社アップアローズは、2014年春、プライバシーマークの運用を、代行会社への委託から、自社が主体的に取り組むスタイルに方針転換しました。その際、運用体制を整備するために導入したのがLRMの運用改善サービス『情報セキュリティ倶楽部』です。『情報セキュリティ倶楽部』導入に至った経緯と、LRMが提供したサービス内容とその成果、さらに今後の課題などについて、個人情報保護事務局・小堀正文氏、宍戸雅行氏、遊佐竜太郎氏、そして営業部・坂田直哉氏にうかがいました。

uparrows

(株式会社アップアローズについて)
ユーザインターフェースデザインに特化した事業を展開する企業。
「ユーザー中心設計」の考え方に基づいて、カーナビ、家電、産業機器、医療機器、スマートデバイスなど、様々なデバイス、アプリケーションをより使いやすく、より良いユーザー体験(UX)の実現を目指してユーザインタフェース(UI)をデザインしている。表層的なデザインのみを行うのではなく、社内のR&D機能を活かした調査研究、アイデアやコンセプトの提案、プロトタイプの制作・検証、ユーザテストの施策、プレゼン用のデモコンテンツの作成など、UIデザインに関するあらゆるニーズに対応していることが強み。
シャープ社のIGZO展示用コンテンツなど実績多数。株式会社Jストリームの子会社。
本社:東京都港区。従業員数15名(2016年3月現在)。

プライバシーマーク運用改善サポート『情報セキュリティ倶楽部』をフルカスタマイズで契約

– LRMとの契約内容をお話下さい。

弊社アップアローズは、LRMとプライバシーマーク(以下、Pマーク)の運用改善サポート『情報セキュリティ倶楽部』の契約をしています。パッケージにはないフルカスタマイズによるサポート内容となっています。2015年4月からの2年契約で、1か月に1度の頻度でミーティングを行っています。1年目は、担当の吉村さんと一緒に、主にPマークのマネジメントシステムの再構築を行ってきました。2016年3月中旬現在、マネジメントレビューを残すのみとなりました。
2年目は更新に向けた準備、事務局体制の強化に本格的に取り組む計画です。

運用代行から自主運営に方針を転換

「マネジメントシステムの再構築後情報の取り扱いに対する社員の意識が向上しました」(管理部 宍戸雅行氏)

「マネジメントシステムの再構築後
情報の取り扱いに対する
社員の意識が向上しました」
(管理部 宍戸雅行氏)

– Pマークを取得したのはいつですか。

弊社がPマークを取得したのは設立間もない時期です。LRMと契約するまでに、すでに4回の更新を終えています。

– 4回の更新を終えたタイミングで運用改善サポートを導入した理由をお話下さい。

目的はPマーク運用体制の強化です。LRMとの契約前は、別のコンサルティング会社に運用代行を委託していましたが、自社でしっかり運用していかなければいけないという反省から体制整備に着手しました。

– 当時委託していた運用代行サービスはどのようなサービスですか。

「作業を全て代行します」と謳っているサービスで、3回目の更新準備から委託していました。ところが、4回目の更新準備にとりかかりはじめた頃から運用代行の問題が見え始めました。

– 具体的にはどのような問題があったのでしょうか。

そもそもPマーク運用の作業全てを代行するというコンセプト自体が間違っていると感じました。我々自身、状況を把握できなくなるリスクがあるし、現場にルールを浸透させることも困難となります。そこで、あくまでも我々自身が主体的に運用することが基本であると考えなおし、今後に向けて、改めて運用体制の基盤づくりをするためのサポートが出来るコンサルティング会社を探し始めました。

コンサルタントの選定基準は「一緒に汗を流してくれること」

「そのルールが必要な理由が現場にも伝わるようになりました」(営業部 坂田直哉氏)

「そのルールが必要な理由が
現場にも伝わるようになりました」
(営業部 坂田直哉氏)

– コンサルティング会社はどのような視点で選定されましたか。

弊社が求めたのは「一緒に汗を流してくれるコンサルタント」です。前回の更新は、認証を維持するだけで精一杯でした。自社できちんと運用できる体制を構築するには、解決すべき課題が山積していました。
例えば、個人情報保護事務局のメンバー自身、Pマークの基礎が全くなかったので、まずは規格を理解するところから始める必要がありました。また、規定類もゼロから作り直す必要があると考えていました。
こういった課題を解決するためには、型にはまった対応のコンサルタントでは物事が前に進まないと考えました。

– LRM以外のコンサルティング会社も検討されましたか。

約10社比較検討しました。各社、実務を担当するコンサルタントとお会いして、こちらの要望を伝え、対応の仕方を見てLRMに決めました。吉村さんの対応から、最も安心して任せられると感じました。

– どのような点が「安心して任せられる」と感じた要素だったのでしょうか。

顧客のオーダーにきちんと応えようとする姿勢、顧客が抱える課題を解決しようとするマインドです。
要望を伝えた際のレスポンスが、他社とは全く違いました。当初、LRMから提示されたプランは隔月ペースでミーティングを行い、規定類を作り直すというものでした。しかし、弊社としては事務局メンバーの教育も含めて1年でしっかりしたベースを作りたかったので、毎月1回のミーティングを希望しました。
LRMの『情報セキュリティ倶楽部』のパッケージにはないサポート内容であり、吉村さん自身、前例がないとのことでしたが、持ち帰って社内で検討し、最終的には引き受けてくれました。

他社の場合、例えば事務局メンバーへの規格のレクチャーなどは端から出来ないという回答が多く、中には「そんなことはする必要がない」と言うコンサルタントもいました。そういったケースでは、こちらの問いにきちんと答えてもらっていないというストレスだけが残りました。また、営業マンは出来ると言ったのに、実務を担当するコンサルタントに改めて聞いたら出来ないと言われたケースもありました。

LRMの見積もり額は、以前の運用代行サービスと比較すれば安くはありませんでした。社内では、そのコストをかけてまでやる必要があるのかという意見が出ていましたが、事務局としては必要なサポートだと判断して契約しました。

マネジメントシステム再構築までの流れ

「事務局のレベルアップに取り組む基盤も出来ました」(管理部 遊佐竜太郎氏)

「事務局のレベルアップに
取り組む基盤も出来ました」
(管理部 遊佐竜太郎氏)

– これまで1年間、コンサルティングはどのように進みましたか。

まずはPマークの規格を読み込むことからスタートし、その上でマネジメントシステムの再構築を行いました。

– 規格の読み込みは、具体的にはどのような形で行ったのですか。

規格の読み込みは、回数にして2回、時間にして4時間かけて行いました。
吉村さんにPマークの規格であるJIS Q 15001の全項目を1つずつ細かく解説してもらいました。コンサルティングの前に、メンバー(当時2名)で下読みをして理解できない箇所を洗い出しておいて、講義形式で説明してもらった上で、質疑をして潰していくという流れで進めました。

– マネジメントシステムの再構築にあたって、目指していたことなどがあればお話下さい。

まずは正しい運用ができることを最大の目標として掲げました。その上で吉村さんには、弊社の業務では基本的には個人情報をあまり扱わないことから、個人情報というよりも情報資産の保護という観点を取り入れたマネジメントシステムの構築がしたいという希望を伝えました。

– マネジメントシステムの再構築によって新しく追加されたルール、または業務フローが変わった点などはありましたか。

今回の再構築で行ったことは、基本的には従来から存在したルールを文書にまとめることでした。
それによって厳密に守れる仕組みが出来ました。

実態が伴っていることを確約出来ることが重要

「Pマークを持っているだけではなく、運用の実態が伴うことが企業にとっては重要です」(取締役 管理部 部長 小堀正文氏)

「Pマークを持っているだけでは
なく、運用の実態が伴うことが
企業にとっては重要です」
(取締役 管理部 部長 小堀正文氏)

– マネジメントシステムを再構築したことによる社内の変化はありましたか。

一般の従業員の間でも、個人情報や情報資産に対する意識が高まりました。例えば、持ち出しPCのデータの取り扱いに関して、打ち合わせや会議が終わった段階で持ち帰る必要のないデータを消去してもらうことなど、その必要性を理解して実行してくれるようになりました。また、これまではPC持ち出しの申請書などを面倒がっていた人も、進んで取り組むようになり、リサーチなどで個人情報を扱う場合は事前に手順を確認しに来るようになりました。
変化の最大の要因は、事務局メンバー自身のPマークに対する理解が進んだことです。Pマークの規格に対する知識に基づいた話が出来るようになったため、現場のスタッフにルールを徹底させる際の言葉にも説得力がついてきました。

—  Pマークの運用がしっかりできると、どのようなメリットがありますか。

Pマークは、個人情報の取り扱いに関して、当たり前のことがきちんとできていることを外部に証明するためのものです。保持することで、外部からの信頼を得ることが出来ます。しかし運用している実態が伴わなければ、その信頼を裏切ることになります。実態が伴うことをきちんと確約が出来ることは、それ自体が企業にとって大変重要なことなのです。

弊社においては、一時的に運用代行という道を選んだ経緯がありました。その結果、Pマークを維持することが危ぶまれる状況に至ったわけですが、その経験があったからこそ、現在では、自分たちで運用することの大切さを実感しています。きちんと運用している実態があるからこそ、外部の方々がPマークを取得していることを評価するのです。そこを踏み外して、表面を取り繕うことを目的とするなら、Pマークを取得・維持する必要はないでしょう。

自分たちの手できちんと運用したいならLRMがおすすめ

– LRMへのご評価をお話下さい。

LRMは、しっかりしたノウハウと情熱を併せ持つコンサルティング会社です。情報の提供や要望に対するレスポンスのスピードと正確性も非常に高いと感じています。

Pマークを自社でしっかり運用するためにサポートを外部に求める場合は、委託先はきちんと選定する必要があります。その際、LRMに委託することは正しい選択だと考えます。しっかり活用すれば社内にノウハウが確実に蓄積されていきます。自分たちでしっかりと個人情報保護事務局を運営したいと考える組織には、LRMはおすすめのコンサルティング会社です。

今後の課題とLRMへの期待

– 今後の課題または計画をお話下さい。

これまでの1年間で規定類が完成し運用のベースが出来ました。今年は更新審査を控えているため、まずは審査に向けた準備が大きな取り組み課題となります。7月には文書を出す必要がありますが、吉村さんとは5月ぐらいには出せるように準備しようと話し合っています。またそれと並行して、これまで約1年間かけて作ってきたマネジメントシステムをよりブラッシュアップすることも重要なテーマです。さらに個人情報保護事務局の体制を盤石なものにして、現在の事務局メンバーで実査を乗り切ることも一つの大きな目標です。

– LRMへのご期待をお話下さい。

まずは事務局が完全に自立できることを目標としてサポートしていただきたいと考えています。ただし法改正対応など専門家でなければキャッチアップが難しいこともあるため、実際には完全に自立することは困難でしょう。
個人情報や情報資産を守る上で手落ちや抜かりがないよう、弊社の成長段階に合わせて今後も継続的にサポートしていただきたいと考えています。

株式会社アップアローズ様

株式会社アップアローズ様、お忙しい中、有り難うございました。
※左は弊社吉村

株式会社アップアローズ様のWebサイト
※取材日時 2016年3月

他のコンサル導入事例を見る

プライバシーマークコンサルティングに関するお問い合わせ

プライバシーマークを取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

プライバシーマーク(Pマーク)取得支援コンサルティング|LRM株式会社へのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

プライバシーマーク(Pマーク)取得支援コンサルティング|LRM株式会社へのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページ先頭へ