進化し続ける医療機器メーカー

代表取締役 小松 克已氏の父親への想いから、筋肉のコリを和らげるために磁石を使って肩・背中・腰を同時にケアできるN極S極交互配列のサポーターを考案。このことをきっかけに、株式会社コラントッテは医療機器メーカーとして上場するまで成長しました。本インタビューでは、スリーエーコンサルティングとともにプライバシーマーク（以下、Pマーク）の認証を取得した取り組みについて、 管理統括本部 本部長 総務・人事部 部長 髙木 光恵氏に、お話を伺いました。

株式上場には情報セキュリティの公的な認証が必要に

ーー磁石を使った医療機器メーカーとして、日々の健康ケアに留まらず、社会課題である「健康寿命の延伸」への貢献を目指しているコラントッテ様が、Pマークを取得するに至った背景をお聞かせいただけますか？

当社は2021年7月に東京証券取引所マザーズ（現 グロース）へ株式上場していますが、その上場の準備を行っている際、主幹事証券会社から公的な情報セキュリティ認証の取得を促されました。もちろん、当時からサイバー攻撃や情報漏洩は大きな問題になっていましたから、当社としても情報セキュリティのルールを策定し、社内の情報を守る仕組みづくりに取り組んでいる最中でした。しかし、上場となると第三者的な外部機関に評価してもらい、情報セキュリティの明文化と運用に取り組んでいるお墨付き、いわゆる公的な認証が必要になるとのこと。つまり、ISO27001（情報セキュリティマネジメントシステム：ISMS）もしくはPマークの認証が必要でした。

ーーおっしゃるように、情報セキュリティの認証にはISMSとPマークがあります。今回、Pマークを選んだ理由をお聞かせいただけますか？

当時はまだまだBtoBが事業の大部分を占めていましたが、オフィシャルショップの増加やEC事業の活性化で個人のお客様が増えてきている状況でした。そこで、より個人情報を守ることに特化したPマークを選定させていただきました。また、Pマークであれば本社だけでなく、オフィシャルショップを含め、一括して取得することができます。こうした包括的な認証の方が運用はしやすいと考えた次第です。

サポートやサービスへの期待とコストが魅力でした

――Pマークを取得するにあたって、当初からコンサルティング会社を利用する予定だったのでしょうか？

Pマークの取得は、上場の準備と平行して行う取り組みのため、注力する比重が高いのはどうしても上場の準備の方になります。となると、Pマークの取得に多くのリソースを割くことはできません。当時は情報セキュリティに関する知識に長けた人材もいなかったため、自ずとコンサルティング会社に頼らざるを得ない状況でした。

ーーコンサルティング会社の比較・検討についてお聞かせください。その際、スリーエーコンサルティングに依頼した決め手をお聞かせいただけますか？

インターネットで検索し、いくつか問い合わせをして比較・検討しました。比較・検討した際の要件は、当社が大阪の会社ですから関西に事業所があること、適切なコストであることです。その要件のもと、3社ほど来社していただき、コストやサポート体制などを詳しく伺いました。その結果、最終的に選定させていただいたのがスリーエーコンサルティングです。

選定理由のポイントになったのは、当社のCFOが前職でスリーエーコンサルティングにお世話になった経験があったことです。事前情報と照らし合わせて、具体的なサポートやサービスを詳しく聞くことができました。寄り添ってくれるコンサルティングに期待が高まり、魅力的なコストが後押しとなってスリーエーコンサルティングに依頼させていただきました。

スリーエーコンサルティングのサポートで工数はかなり削減できました

ーー上場の準備と平行した取り組みとのことですが、わずか6カ月でPマークを取得されています。その取得までのプロセスについてお聞かせいただけますか？

取り組みがスタートしたのは2019年12月です。スリーエーコンサルティングとのミーティングは2カ月に1度程度、対面で行っていました。コロナ禍は一時的にオンラインで行いましたが、運用・更新フェーズの現在も基本的には対面です。

先ほども申し上げた通り、上場の準備と平行して取り組んでいましたから、リソースは最小限。結局、私自身が窓口となってスリーエーコンサルティングとやり取りし、取り組みを進めていきました。スリーエーコンサルティングに手取り足取りサポートしていただき、2020年6月にPマークを取得。大変でしたが、半年ほどで取得できた点には満足しています。

――その大変だったことについてお聞かせください。そのときのスリーエーコンサルティングの対応はいかがだったでしょうか？

やはりドキュメントにまとめる作業が大変でした。全部門からヒアリングして業務プロセスや外注先の契約などを洗い出し、スリーエーコンサルティングと一緒に取捨選択しながらドキュメントにまとめていく作業はかなりの労力を使いました。ただ、ドキュメント作成自体はスリーエーコンサルティングに担っていただきましたから、工数はかなり削減できています。ほか、社内研修も大変でしたが、こちらも経験豊富なスリーエーコンサルティングのサポートのおかげで、スムーズに実施することができました。

システムの情報漏洩対策は、サーバーやネットワーク、PC、スマートフォンといったITインフラのところを改善する必要がありましたが、ここはITに詳しい人材を情報システム担当者として採用して対応しました。

現在は2人の担当者がPマークアシストを利用して運用・更新

――Pマークは取得後も継続的な運用と更新を行っていく必要があります。コラントッテ様における運用・更新の状況はいかがですか？

Pマークは数年ごとに改定があるため、その都度、スリーエーコンサルティングにアドバイスをいただきながら、ドキュメントなどをアップデートして更新を行っている状況です。なお、私は管理者の立場に退き、現在は部下の課長と情報システム担当者の2人がスリーエーコンサルティングとやり取りを行っています。もちろん、審査時は私も同席しています。審査時はいくつかの指摘事項はありますが、その場で返答できなくても、あとから資料を提出するなどして対応していますから、とくに問題はありません。

最近はスリーエーコンサルティングから提供されたPマークアシストというクラウドツールを利用し、Pマークを運用していると聞いています。直接関わっているわけではないため、詳しくは分かりませんが、担当者から声は聞こえてきませんから、スムーズに利用できていると受け取っています。

スリーエーコンサルティングに継続的にお願いするのがベスト

――最後にISMSもしくはPマークの取得を目指す企業に向けて、Pマークを取得し運用しているコラントッテ様からアドバイスをお願いできますか？

Pマークの取得に取り組み、運用・更新しているからこそ分かるのは、専門家目線の的確なアドバイスと負荷のかかる業務を請け負ってくれるコンサルティング会社の重要性です。正直、取得後は自社でPマークを運用・更新できると思っていました。ところが、法改正や最新のセキュリティ情報のキャッチアップに苦戦。ドキュメントのアップデートもままならないことが分かりました。あらためてスリーエーコンサルティングの存在の大きさを知り、現在は継続的にお願いするのがベストだと判断しています。PマークやISMSを取得し、継続的な運用・更新を考えているなら、ぜひスリーエーコンサルティングのようなコンサルティング会社とパートナーを組むことをおすすめします。