情報セキュリティチェックリストを軽く見ていたせいで、取引チャンスを逃した話
- 山崎行政書士事務所
- 2025年11月27日
- 読了時間: 8分
「また来たよ、セキュリティチェックリスト。 どうせ“形式だけ”なんだから、営業のほうでちゃちゃっと埋めて出しておいて。」
——そんなノリで扱っていたチェックリストが原因で、大きな取引チャンスを逃してしまった会社の話です。
静岡県内の中堅企業でも、
大手メーカー
金融機関
自治体・公共系
と取引しようとすると、ほぼ必ずと言っていいほど「情報セキュリティチェックリスト」「サプライチェーンリスク調査票」が届きます。
これを 「単なる事務作業」 として軽く扱った結果、もったいないことになってしまった実例を、少し脚色しつつ整理してみます。
登場人物:A社と、とある大手メーカー
A社:静岡県内の中堅IT系企業(製造業向けシステム開発・運用)
相手:東証プライム上場の大手メーカー
案件:グループ全体で使う業務システムの開発・保守(規模は数千万円〜億超えが見込めるもの)
技術的な評価では、A社は最終候補2社のうちの1社。営業担当も「これは本気で取りに行こう」と気合い十分でした。
そこに届いたのが、
「情報セキュリティに関する自己点検シート(100問以上)」
と、規程類の提出依頼です。
見落とし①:締切直前まで放置、「誰の仕事か」が決まっていない
営業担当はこう考えました。
「技術的なところはクリアしているし、こういうチェックシートは“お作法”だから大丈夫でしょう。」
とりあえずメールを情シス・総務に転送したものの、
「とりあえず見ておいてください」
「そのうちミーティングしましょう」
といった感じで、誰が責任を持って回答をまとめるのかが決まらないまま、締切の1週間前になってしまいます。
あわてて社内で回覧すると、各部署からこんな声が。
情シス:「技術的な設問は答えられるけど、契約とか規程の話は分からない」
総務:「セキュリティ規程はあるけど、クラウドまわりは現場任せで…」
開発:「忙しいので、こういう紙仕事は後回しにしてほしい」
結局、営業がほぼ一人で、過去の資料をつなぎ合わせて埋めることになりました。
見落とし②:とりあえず「はい」と書いておけば印象がいい…は大間違い
A社には、数年前に作った情報セキュリティ規程が一応ありました。しかしクラウド利用が増えてからの見直しはされていません。
営業担当は規程をざっと眺め、
「多要素認証を導入しています」
「退職者・異動者のアカウントは速やかに削除します」
「重要ログは◯年間保管しています」
など、**“そうあるべき”回答に合わせてチェックを入れていきました。
実際のところは、
多要素認証:管理者アカウントだけ
退職者アカウント:月一でまとめて削除
ログ保管:クラウドサービスによってまちまち(90日しか残らないものも)
といった状態だったのですが、
「まあ、将来的にはこうする予定だし、細かいところまでは見ないだろう」
という判断で、「はい」を多用してしまいます。
見落とし③:フリーテキスト欄を“空欄”で返してしまう
チェックリストのなかには、
「クラウドサービスの利用状況と、データ保管場所を説明してください」
「情報セキュリティに関する組織体制・責任者についてご説明ください」
といった、フリーテキストで書かせる設問もありました。
営業担当は、
「こういうのは、あんまり読まれないだろうし…とりあえず最低限だけ書いておこう」
と考え、
「クラウドサービスを適切に利用しています」
「情報セキュリティ責任者を任命しています」
といった抽象的な一文だけを入れて提出しました。
その頃、競合B社がやっていたこと
A社と競っていたB社は、以前から大企業との取引が多く、セキュリティチェックシートを“営業ツール”として扱う文化がありました。
B社がやっていたのは、例えばこんなことです。
回答責任者を最初から明確に決める
営業・情シス・法務・開発から1名ずつ
過去のチェックシート回答を“ひな形集”として蓄積し、表現をブラッシュアップして使い回せるようにしている
フリーテキスト欄には、「うちはここまで考えてやっています」とアピールできる説明を丁寧に記載
つまり、「どう書けば相手が安心するか」を意識して、回答を作り込んでいたのです。
結果:A社は「リスクが読めない会社」と判断される
数週間後、A社に届いたのは、シンプルな1通のメールでした。
「このたびはご提案ありがとうございました。検討の結果、今回は他社様を採用することといたしました。」
営業担当がこっそり担当者に理由を聞いてみると、返ってきたのはこんな答えでした。
「技術的な提案内容はA社さんも非常に魅力的でした。ただ、グループ全体で利用するシステムという性質上、サプライチェーン全体の情報セキュリティリスクを厳しく見ています。チェックリストの内容や、その後の確認で、まだ体制が整いきっていない印象を受けまして…」
どうやら、
回答に矛盾が多かったこと
フリーテキスト欄が抽象的で具体性に欠けたこと
追加で行った数点の質問にも、曖昧な返答が多かったこと
などから、
「この会社に長期的な運用を任せて大丈夫か?」
という不安が拭えなかった、ということのようでした。
「技術では負けていないのに選ばれなかった」の裏側
A社の中では、
「技術では勝っていたはずなのに…」
「価格も頑張ったのに、なぜB社なんだろう」
というモヤモヤがしばらく続きました。
しかし冷静に振り返ると、
情報セキュリティチェックリストを、“技術提案書と同じ重さ”で扱っていなかった
自社の実態をきちんと棚卸しせず、“理想状態”ベースで回答してしまった
フリーテキスト欄を、差別化のチャンスではなく、面倒な「作文欄」だと捉えていた
という3つの見落としが浮かび上がってきます。
チェックリストは、
「御社と長く付き合っても大丈夫か?」
を見極めるためのツールです。そこに「なんとなく」で答えてしまうと、技術力や価格以前のところで、候補から外されることもある、というわけです。
同じ失敗を防ぐために:最低限ここだけ押さえる3ポイント
A社と同じ思いをしないために、情報セキュリティチェックリストについて「ここだけは押さえたい」というポイントを3つにまとめます。
1. チェックリストには“責任者”をつける
営業だけ、情シスだけ、総務だけに投げない
「この案件のチェックリストは◯◯さんが取りまとめる」と決める
その上で、
営業:お客様の意図を把握
情シス:技術的・運用面の回答
法務・総務:規程・契約・体制面の回答という役割分担をしていく
「誰の仕事か」が曖昧なまま締切を迎えると、どうしても“その場しのぎ”の回答になりがちです。
2. 「理想」ではなく「現実+改善方針」で答える
実態が追いついていないのに「はい」と答えない
該当する対策がまだできていない場合は、
現状
リスクの認識
いつまでにどう改善するかをセットで書く
例:
「現時点では管理者アカウントのみに多要素認証を導入しています。一般ユーザーへの展開を◯年◯月までに予定しており、それまでの暫定措置として、パスワードポリシーの強化とログ監視を実施しています。」
こう書いてあれば、
「何も考えていない会社」ではなく
「限られたリソースの中で優先順位をつけて対策している会社」
として見てもらいやすくなります。
3. フリーテキスト欄は“営業資料”だと思って書く
フリーテキスト欄は、面倒なオマケではなく、**「他社と差がつくポイント」**です。
自社のクラウド構成
情報セキュリティ体制
日々どんな運用をしているか
を、相手がイメージしやすい言葉で、A4数行〜1ページ程度にまとめるだけでも、印象は大きく変わります。
「何を書けばいいか分からない」という場合は、
ネットワーク構成図やクラウド構成図
情報セキュリティ規程のポイント
過去に取った対策や改善事例
などを、箇条書きでも良いので整理しておくと、毎回のチェックリスト回答がぐっと楽になります。
山崎行政書士事務所がお手伝いできること
山崎行政書士事務所では、クラウド法務・情報セキュリティを専門として、
取引先から届いた情報セキュリティチェックリストの回答案作成・レビュー
自社のクラウド利用実態・規程・契約内容を踏まえた「現実+改善方針」での回答の組み立て
一度作っておけば毎回使い回せるセキュリティ説明資料(A4 1〜2枚)の作成支援
「技術は強いのに、チェックリストで損をしている」会社向けの営業視点も踏まえた回答テンプレートづくり
などを行っています。
「チェックリストは毎回その場しのぎで書いていて、正直、これでいいのか不安」 「情報セキュリティのところで足を引っ張られて、技術勝負までたどり着けていない気がする」
そんなモヤモヤがあるようでしたら、一度、実際に使われたチェックリストと回答案を見せていただければ、
どこで損をしているのか
どこを直せば「落とされにくくなる」のか
を一緒に整理していきます。
静岡県内の中堅企業さまには、オンライン・訪問どちらでも対応可能です。
情報セキュリティチェックリストを、**「単なる面倒な宿題」から「受注を後押しする武器」**に変えていきましょう。
コメント