月額定額でシステム開発を請け負う「納品のない受託開発」や、全社員がリモートワークで働く「リモートチーム」など、先進的な取り組みで知られる株式会社ソニックガーデンは、顧客企業が求める情報セキュリティへの期待に応えるため、2021年2月にプライバシーマーク(以下、Pマーク)の認証を取得しました。今回、そのPマーク認証の取得にあたり、オプティマ・ソリューションズのコンサルティングを利用した背景と効果について、代表取締役副社長 COO 藤原 士朗氏、Programmer/業務ハッカー 上田 幸哉氏、Programmer/顧問CTO 栩平 智行氏、に詳しくお聞きしました。(本記事の取材はリモート会議形式で行いました)
――Pマークの認証を取得するに至った背景をお聞かせください。
藤原氏:ビジネスを展開するうえで、公的な情報セキュリティ認証、具体的にはISO27001(情報セキュリティマネジメントシステム/以下、ISMS)、もしくはPマークの取得が必要に迫られてきたからです。ソフトウェア開発会社なのに「これまでなぜ取得してこなかったのか」と疑問に思われるかもしれませんが、やはりその理由はリモートワークにありました。今でこそコロナ禍でリモートワークは広く認知されるようになりましたが、当社は2016年にオフィスへの出社を撤廃し、全スタッフのフルリモートワークを実施。場所を選ばず、自分のライフスタイルに合わせて仕事ができる働き方を実践してきました。
リモートワークとはいえ、クラウドのWebアプリケーション開発をコア事業にしていますから、我々にとってセキュリティ対策は肝心要の部分。しっかりとしたセキュリティ対策がなされていなければ、お客様からの発注は期待できません。万が一にも情報漏えいなどが発生した場合には、ビジネスへのインパクトは非常に大きなものなります。
ところが、公的な情報セキュリティの枠組みでは、リモートワークという働き方がネックになります。例えば、一般の企業が社内からインターネットにアクセスする際はプロキシサーバーを通過しますが、当社はリモートワークですから自宅のルーターからつなぐことになります。つまり、一般の企業なら情報システム部門のスタッフがプロキシサーバーをメンテナンスすれば済む話のところ、当社の場合はすべてのスタッフに対し、自宅に設置しているルーターのファームウェアのバージョンを適宜、最新化したりリモートワークを前提として方法でセキュリティを対策を行っています。
このように、一般的なセキュリティ対策のルールでは括れない部分が多数あったため、外部の専門家を入れつつ、多くのリソースやコストをかけてセキュリティ対策を行ってきました。さらに、情報セキュリティを管理するための専門ツールも自社開発。この専門ツールは、登録した案件に応じてセキュリティリスクを示唆し、遵守すべきルールを提示する仕組みで、自分たちとしては厳重なセキュリティ対策を実行していると自負していました。
しかし、当社のセキュリティ対策をお客様に説明・証明するのは簡単ではありませんでした。リモートワークという働き方をしているため、お客様のセキュリティチェックシートに当てはまらない点が多数出てきます。それに対して、当社のセキュリティ対策を根気強く説明したとしても、結局はチェックシートにあるISMSもしくはPマークの認証を取得しているかどうかが焦点となってきます。
お客様にすれば、ISMSにしてもPマークにしても、ITベンダーであれば取得しているものと認識していますから、当社の主張は通りません。近年、こうした件で受注に至らないケースが発生したため、あらためて公的な視点のISMSもしくはPマークの認証取得を考えるようになった次第です。ビジネスチャンスを逃がさないことに加え、公的な認証を取得することで我々のセキュリティ対策に漏れがないかチェックする意味合いもありました。
――今回、ISMSではなくPマークを選んだ理由をお聞かせください。
上田氏:最初に取得するのはどちらが良いかは、かなり議論しました。最終的にPマークを選択した理由は、Pマークの適用範囲が全社であること、より個人情報のセキュリティ対策を重視していることです。当社では受託開発の他にも自社サービスを展開しており、Pマークならその両方に適用できますし、その双方において多くの個人情報を取り扱うため、当社にはPマークが適していると考えました。
――Pマークの認証を取得するにあたって、コンサルティング会社の利用は想定されていたのでしょうか。
上田氏:会社としてPマークの認証を取得するのは初めての試みですから、やはり専門家によるコンサルティングは必要だと思っていました。
栩平氏:私は人生で3回目のPマーク認証の取得になります。ただし、当社はこれまでの働き方とは異なるリモートワークになりますから、想像できない部分がありました。個人的にも専門家によるコンサルティングは欠かせないと考えていました。
――オプティマ・ソリューションズを選定した理由をお聞かせください。
上田氏:私が前職でセキュリティ関連の勉強会に参加していたとき、オプティマ・ソリューションズ 代表取締役の中 康二氏に出会いました。認証取得のコンサルティング会社があることを知るとともに、SNSなどを通じて中氏は信頼できる方という認識が徐々に蓄積されていきました。そこで今回、オプティマ・ソリューションズに依頼させていただきました。
――Pマークの認証を取得するまでの進捗をお聞かせください。
上田氏:オプティマ・ソリューションズには、2019年7月にPマークの認証取得に関するコンサルティングを依頼しました。コンサルティングを担当していただいた大塚さんと実際に対面したのは、最初の顔合わせと最終的な書類チェックのときのみ。ほかは当社のリモートワークという働き方を理解していただき、リモート会議で打ち合わせを行いました。おかげさまで、2021年2月にPマークの認証を取得することができました。
――取得するまで少し時間がかかったようですが、その理由をお聞かせください。
上田氏:やはり、新型コロナウイルスの影響が大きかったと思います。当初は2020年2月に最初の審査を行うための準備をしていましたが、ご存知の通り緊急事態宣言の発令で審査員が訪問できなくなりました。結局、最初の審査実施は2020年7月でした。その後も、ドキュメント作成の部分で何度も指摘と修正を繰り返したため、Pマークの認証取得が遅れてしまいました。
――具体的にドキュメント作成はどんなところが大変だったのでしょうか。
栩平氏:ドキュメント作成は主に私が担当していました。前述した通り、3回目のPマーク認証取得なので、想像できない部分はあっても「何とかなるだろう」ぐらいの気持ちでした。ところがいざ進めていくと、過去2回分の経験はあまり役に立ちませんでした。
当初、ある程度はPマークのルールとその定型に会社が合わせるスタイルでドキュメント作成を進めることができると思っていました。しかし、当社の場合「どう合わせればいいのか」に苦労しました。例えば、書類の扱い方に関する明確なルールに対し、当社はそもそも紙がありません。勤怠管理にしてもオフィスがありませんから、打刻もありません。そうなると「このルールは何を守らせたいのか」まで遡っていく必要があります。
審査で何度も指摘を受けたのも、そういったドキュメントがいくつもあったからです。解釈を変えるとドキュメント変更も多岐にわたるため、その都度、ドキュメントの修正を余儀なくされました。助かったのは、大塚さんからたくさんのアドバイスをいただけたことです。特に解釈の部分をサポートしていただいたおかげで、何とか先に進むことができました。大塚さんがいなかったら、Pマーク取得は頓挫していたと思いますよ。
――Pマークの認証取得を通じ、これまで自社で行ってきたセキュリティ対策と比較して漏れや新たな発見などはありましたか。
栩平氏:テクノロジーに関するセキュリティの認識は、間違っていなかったことを確認できました。我々はエンジニア集団ですから、お客様のデータベースなどに対して厳重なセキュリティ対策を施すのは当たり前ですし、特に驚きはありませんでした。
一方でテクノロジー以外の部分、情報管理のルールの部分についてはかなり学ぶところが多かったと思います。「どこまでが個人情報なのか」「台帳で管理するべき項目の多さ」「法的な保管期間という概念」など、新たな発見が多々ありました。今回のPマークの認証取得を通じ、我々が行っていたテクノロジーのセキュリティ対策に、情報管理のルールの認識が追いつき、全体のバランスが良くなったと感じています。
――Pマークの認証取得後の運用フェーズをお聞かせください。
藤原氏:Pマークは取得して終わりではありません。お客様に安心していただくためには、まずは当社のスタッフ全員がPマークを理解し、運用できなければ意味がありません。そこで「毎月審査があっても審査が通るように準備をしておく」をスローガンに、以下のような施策を実施しています。
<自由に閲覧できるドキュメント>
作成したドキュメントはクラウドの共有スペースに置き、スタッフなら誰でも閲覧できる(権限は最小限に設定)。
<2週間に1回、小テストを実施>
1年1回のテストのほか、外部サービスを利用した小テストを2週間に1回実施し、常にセキュリティに対する意識を高めている。
<セキュリティ委員会のミーティング>
インフラや社内システムを管理しているメンバーなど社内の各メンバーによるセキュリティ委員会は、セキュリティに関する改善点について議論するミーティングを毎週1時間実施。
<自社開発の専門ツールも継続活用>
自社開発した専門ツールによる情報セキュリティ管理も継続運用することで、セキュリティ対策のベースラインを担保。
<個人情報保護・顧問サービスを活用>
年間スケジュールの作成やドキュメントの見直しなど、専門家の立場から的確なアドバイスをもらうため、オプティマ・ソリューションズの個人情報保護・顧問サービスを活用。
――コンサルタント大塚の印象はいかがですか。
栩平氏:大塚さんにはルールの概念やドキュメント作成を柔軟に考えていただきました。「ルール通り、このやり方しかない」と言われてしまうと、会社の構造そのものを変えないといけなくなりますから、大塚さんの理解度や解釈には頭が下がります。
それとメールの返信がとても早いですね。講演などで忙しいときでも、当日中には必ず返信があります。常に密なコミュニケーションを心がけている姿勢に「本当に信頼できる方」だと感じています。
――セキュリティ対策における今後の展開をお聞かせください。
上田氏:とりあえずISMSの認証取得よりも、まずはPマークを運用し続けることが大事だと考えています。新しいものを足すのではなく、しっかりと足元を見て足りない部分を強化することに重点を置くつもりです。そのためには、オプティマ・ソリューションズそして大塚さんのサポートは欠かせません。これからも、引き続きよろしくお願いします。
株式会社ソニックガーデン様/プロフィール
2011年設立のソフトウェア開発会社。企業が求める新規事業のスピーディーな立ち上げ、スモールスタート、育てていく開発スタイルを実現するため、事業のアイデアを素早く、無駄なくシステム化し、継続的な改善で成長を支えていく「納品のない受託開発」を展開。Webアプリケーションの開発を月額定額&成果契約による顧問サービスで提供している。さらに、PC、メール、カレンダーなどの各種ログを収集して労働時間を算出する勤怠管理サービスのラクロー、リモートワークをサポートするRemotty、スマートフォンでケア記録ができるケアコラボなど、10にもおよぶ自社サービスを展開。2016年にはオフィスを撤廃し、全スタッフがリモートワークという管理のない新たな会社経営スタイルに取り組む。「リモートチーム」の環境を整えることで物理的なオフィスに頼ることなく、チームで協力しながらソフトウェア開発業務に従事している。