最近企業(特に大企業)からの申し込みで「なんらかの認証はお持ちでしょうか」あるいは「セキュリティチェックシートへ記入をお願いできますでしょうか」と問い合わせが増えてきました。
この件に対するUDトークの考え方について明記をしておきたいと思います。
1.なんらかの認証についての弊社の考え方
クラウドサービス事業者としてメジャーなものは「プライバシーマーク」や「ISMS認証」等があります。弊社にはこれらを取得する意向はありません。この件については経営相談という形で東京都中小企業振興公社からのアドバイスをもとに弊社の考え方をまとめました。これらの認証を取得することは「ビジネスの範囲を広げる目的」がある。しかし現時点で特に認証の取得が必要な範囲にビジネスを広げる目的がないのであれば(大企業のために)取る必要はないという認識です。経営者としては取得することによる利益と取得にかかる費用や労力を天秤にかけてメリットがある方を選択すればよいとの考えに至り、弊社の規模では取得することにメリットはないので取得はいたしません。
2.セキュリティチェックシートの回答要望について
セキュリティチェックシートの回答要望を都度いただきますが、こちらについては「記載はしない」と明記しております。理由としては「そもそも意味がない」「回答ができない」の2点となります。前者についてはこれを記載したところで製品の仕様は変わらないのと、これで何を判断するのかが不明だからです。後者に関してはいち契約者に仕様を公開することはそれだけでセキュリティリスクにつながることと、そもそもUDトークは仕様上で個人情報を一切含まない運用となっていること(ここが通常のクラウドサービスとは大きく異なる)です。多くの項目が個人情報についてが多く、そもそも扱っていないものについての記述はすることができません。そしてかならず「なんらかの認証はお持ちですか」と言う前提を確認する項目があり、そこで「いいえ」と答えることでその後の回答は全て無視されると考えられるため、やはり回答に意味をなさないと考えます。
3.まとめ
弊社は、セキュリティ関連の認定資格を取得する予定はなく、セキュリティチェックシートのご依頼にも回答いたしかねます。
現在の大きな問題は、これらに対応しないことで「導入ができない」または「契約を継続できない」という事態が実際に発生している点です。
「認証を取得していない企業の製品は購入しない」という暗黙のルールが存在し、それが総務省からの指針に基づいているとのことですが、これが弊社のような中小企業にとって大きな損失となっています。優れたサービスやアプリを開発しても、採用される機会が失われてしまうのです。
また、セキュリティチェックシートに関しても、購入側が自社で使用する製品を正確に理解していれば、的外れな質問であることは自明です。さらに、売り手に無償で負担を強いることは常識に反する行為であると考えます。売り上げとコストのバランスを考慮した結果、弊社としてはセキュリティチェックシートへの対応を行わない方針です。
以上のことをご理解の上でUDトークの利用をお申し込みください。