株式会社 小田原機器様 – 顧客事例 –

大変だと覚悟していたマニュアル作成も、LRMが中心になって進めてくれたおかげで負担は全く感じませんでした

社会全体でキャッシュレス化が進行する中、ワンマンバスの運賃収受システムを開発する株式会社 小田原機器でも、情報の取り扱いが課題となっていました。そういった背景のもと、グループ全体の業務を認証範囲とするISMS/ISO27001認証を取得しました。先行して取得したEMS(環境マネジメントシステム)やQMS(品質管理システム)との統合を見据えたという今回の取り組みについて、ISO事務局に携わる早瀬様と、久保寺様にお話を伺いました。

お客様が抱える課題とISMS構築
  • キャッシュレス決済の普及などに伴い取り扱うデータが増加している
  • Pマークは取得しているものの、個人情報以外の情報管理もしたい
  • EMSやQMSとの統合も見据えて、ISMSを構築したい
  • 気軽に質問が可能で的確に回答してもらえるコンサル会社を選択
  • 従来の社内ルールを土台に、不足部分を補強してISMSを構築
  • EMSとQMSを統合したマニュアルをベースにしつつISMSのマニュアルを作成
LRMコンサルティングサービスへの感想
  • 最も負荷が大きいと覚悟していたマニュアル作成をリードしてくれたため、プロジェクトがスムーズに進行した
  • 要求事項が何を意図しているかなどの質問に対して的確に回答してくれた
  • セキュリティ教育クラウド「セキュリオ」はISMSとPマークの従業員教育に便利

(株式会社 小田原機器について)

日本の公共交通を取り巻く環境は、人口減少やMaaSの進展などの社会動向によって大きく変化しています。
安全・安心・便利な公共交通の実現のため社是「開拓の精神で社会に奉仕する」を念頭に、事業に取り組んでいます。
具体的には、路線バスおよび鉄道関連のワンマン機器を主力製品とし、関連する装置や乗客の精算データを集計するソフトウェアを開発、製造、販売まで一貫して行っております。

当社の前身は、1950年に設立した有限会社小田原鉄工所です。
当時の路線バスのワンマン化への移行をとらえ、「軟券式整理券発行機」を開発して生産したのが始まりです。
以降、市場の変化に合わせて業界初となる「硬貨循環式運賃箱」や「紙幣両替機能付き運賃箱」など、紙幣、硬貨、カード関連の技術に特化した技術を蓄積してきました。近年はクレジットカードをはじめとするキャッシュレス決済や、IoT・クラウドネットワーク技術の強化など、公共交通におけるソリューションベンダーとして、社会課題の解決に取り組んでいます。

設立:1979年10月
本社:神奈川県小田原市
従業員数:190名(グループ連結 2022年12月31日現在)

LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話しください。

株式会社 小田原機器は、2022年2月、LRM株式会社に、グループ全体の事業を登録範囲とするISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
2月にキックオフして、11月にISMS認証を取得しました。担当者は松原さんです。

キャッシュレス決済の普及とともに取り扱う情報の範囲が拡大

ISMSに対する意識レベルを揃えて行くことが今後の課題です

ISMSに対する意識レベルを揃えて行くことが今後の課題です
(品質保証部 製品品質グループ・久保寺様)

— ISMS認証取得の理由をお話しください。

弊社がISMS認証を取得したのは、近年、弊社の事業でも情報の取り扱いが重要になってきているからです。従来、公共交通機関の運賃収受は現金がメインでしたが、現在は、交通系ICカードやクレジットカードなどキャッシュレス決済が増えています。それにより、取り扱うデータの種類が増えました。また、弊社は各事業者から運賃データの作成も受託しており、お客様からお預かりした資料に基づいてデータを加工することもあります。
運賃データは、最終的には乗客の方々に行き渡るデータですし、万が一、システム上の不具合が発生した場合には、機器類に貯まったログデータなどから解析する必要があります。ICカードの乗降記録を見れば、個人の行動が特定できてしまいます。このような背景からISMS認証を取得しました。

— プライバシーマーク(以下、Pマーク)の取得は検討されましたか。

Pマークは、お客様からのご要請がありましたので、それを機にISMSに先行して2022年4月に取得しました。
ただ、私たちが扱うデータは、運賃や利用者の乗降データだけではありません。交通機関の営業所に設置する精算機の開発や、営業所で取り扱うデータ作成なども受託しています。日々の売り上げデータを帳票にアウトプットするような仕組みにも関与していますので、全体的な情報セキュリティマネジメントシステムを構築するために、ISMS認証も取得しました。

— ISMS認証の取得期限は決めていましたか。

2022年12月末までには、審査会社の判定委員会を終えて登録証が届くのを待つだけ、という段階まで済ませたいと考えていました。

既存のMSマニュアルとの統合を視野に入れたドキュメント作成

— ISMS認証取得の社内体制をお話しください。

ISMS認証取得は、以前から社内に組織しているISO事務局が中心となって取り組みました。弊社は、2001年にEMS/ISO14000(以下、EMS)認証を、2002年にQMS/ISO9001(以下、QMS)認証をそれぞれ取得しました。
両認証の管理を担当しているのは、品質保証部のメンバーで構成するISO事務局です。メンバーは品質保証部 部長と、製品品質グループの2名をあわせて、合計3名です。将来的には統合を視野に入れているため、ISMSも一括して担当しています。

— QMS、EMS、ISMS、それぞれ管理する対象が異なりますが、統合するというのはどういうことですか。

各認証同士の差分を見ると、大きく異なるのは実際の運用面です。具体的な運用に入るまでの計画作成や、チェック、改善の手順に関してはほとんど同じなので、一本化した方が、維持審査や更新審査に向けた準備の負担は軽減されます。

— 今回は統合しておられないのですか。

今回は新規取得ですので、まずはISMS独自のルールとマニュアルを作成しました。ただ、将来的な統合を見据えた進め方はしています。手順としては、EMSとQMSを統合したMSマニュアルをベースに、ISMSの要素を足していきました。従って、現状では、部分的に内容を共有する2つのマニュアルが存在している状況です。

— 最初から統合を目指すのはかえって運用しづらくなるというご判断をされたのでしょうか。

従業員にとっても新しい取り組みですので、まずはISMSで独立させたマニュアルから入った方が、整理して捉えやすいだろうと考えました。まずは独立したルールでISMSの取り組みを浸透させた上で、将来的に統合しようと話し合っています。

— Pマークとの統合も考えておられるのですか。

Pマークの運用は、ISMS認証取得後からISO事務局が担当するようになりましたが、それまでは事務局が別にありました。取り組み自体は認識していたため統合も意識はしていましたが、理解できていないところもありましたので、今回は別々に取得しました。

“打ち合わせ回数無制限”と“セキュリティ教育クラウド『セキュリオ』”が依頼の決め手

『セキュリオ』の存在もLRMに依頼する決め手の1つでした

『セキュリオ』の存在もLRMに依頼する決め手の1つでした
(品質保証部 製品品質グループ グループ長・早瀬様)

— ISMS認証取得までの過程について、ご不安はございませんでしたか。

QMS認証やEMS認証、Pマーク、それぞれの認証を取得した際と同様、コンサルタントのサポートを受ければ取れると思っていましたので、特に不安はありませんでした。自分達だけでマネジメントシステムを構築し、審査を受けることは想定していませんでした。

— LRMにコンサルティングを依頼された際、他のコンサルティング会社と比較はされましたか。

4社ほどピックアップして、比較しました。LRMを含めて、全てインターネット検索で探しました。

— コンサルティング会社選定の基準をお話しください。

主に、サポートやサービスの内容と、担当者と話をしてみてこの会社ならお任せできるという感覚が持てるかどうかを重視しました。人の部分に関しては、疑問や困ったことがあった時に何気なく気軽に質問できる雰囲気があった方が助かりますし、問い合わせに対して的確に回答していただければ安心できます。言葉を濁して、明確にお答えいただけないような方だと困ると思っていました。

— 最終的にLRMにご依頼された決め手をお話しください。サポート面ではどのような優位性がありましたか。

印象に残っているのは次の2点です。

(1)打ち合わせ及び質問の回数無制限
マネジメントシステム構築を進める中で、細かい疑問点などが出てくると思っていましたので、自由にコミュニケーションが取れる方が良いと思いました。
LRMは、打ち合わせやメール、チャットなどでの問い合わせの回数無制限を謳っており、安心材料の1つでした。
他社は、プロジェクトを通しての打ち合わせ回数が決まっていました。合計回数が固定された内数を各月に割り振って、スケジュールを組んでいくスタイルでした。回数無制限を謳っているのはLRMだけでした。

(2)管理ツールの提供
セキュリティ教育クラウド『セキュリオ』の存在も決め手の1つです。ISMSの運用に必要な機能を備えており、便利だと思いました。

— 人柄に関してはいかがでしたか。

選定段階でお会いできたのは、各社とも営業の方でした。質問に対して曖昧な回答をされる方が多い中、LRMの営業担当者はきちんと答えを返してくれました。コンサルティングの担当者が代わることは承知していましたが、会社として信頼して依頼しました。

業務への影響がない、社内規程をベースにしたルール体系

— ISMSのルールを構築することによる業務への影響はご心配されませんでしたか。

ISMSに基づいたルールを作成することで、業務上の負担が増える心配はありました。しかし、結果的には、思った以上に社内のルールがすでにしっかり出来ていましたので、大きな影響はありませんでした。

— ISMSの規格に沿った対策が取れていたということですか。

はい。以前から弊社には、社内規程として文書化されたルールが存在していまして、ISMSの管理策と照らし合わせた結果、情報セキュリティを意識したような作りになっていました。そのため、業務フローに影響を与えるようなインパクトのあるルールを、改めて取り入れる必要はありませんでした。

— 社内規程の情報セキュリティに関連する箇所が過不足なく、そのまま流用できたのですか。

従来のルールを土台として、物足りない部分を補強した箇所がいくつかありました。例えばホワイトボードに書いたメモの消去です。会議体でメモを取った後のルールが、これまでは明確に定まっていませんでしたが、クリアデスク・クリアスクリーンの一貫として、会議終了後はメモを消すというルールを定めました。

また、データの消去に関するルールも明確にしました。これまで紙の書類はかさばるため、年限を決めて廃棄していました。ただ、データはサーバーに蓄積している限り邪魔にはなりません。これまで年限を決めて廃棄するという概念はありませんでしたが、ISMS認証取得を機に明確化しました。データ削除に関しては、ISO27001の規格にもこれまでは明示されていませんでしたが、2022年版では明確に定められています。

— 既存のMSマニュアルとの将来的な統合を見据えたISMSのマニュアル作りは計画通りに行きましたか。

はい。既存のMSマニュアルと矛盾しないISMSのマニュアルは作れました。むしろ既存文書とISMSの要求事項や管理策を照らし合わせる作業を通して、MSマニュアルの方を修正した箇所もありました。既存のMSマニュアルよりも、ISMSで作成した文書の方が、具体的かつわかりやすい表現になっていると思います。マニュアルを見ながら仕事をする人はいないと思いますが、わかりやすい表現になっていれば、何か伝達し合わなければならない時に誤解を防げます。

— 従業員のみなさんのご意見を吸い上げたり、取りまとめたりする際のご苦労はございませんでしたか。

Pマークを取った直後でしたので、比較的スムーズにいきました。各部署に担当者を任命したのですが、ISMSもPマークも管理の対象となる情報を洗い出してリスクアセスメントを行う点は一緒だと伺っていましたので、基本的にPマークの取得や運用に関わっている人を選出してもらいました。

ただ、ISMSは対象となる情報が個人情報だけではありませんので、どこまで情報資産に含めるのか、実際に作業を進める上での考え方の周知は工夫しました。具体的には、ISO事務局のメンバーが所属する品質保証部が、先行して情報資産台帳を作成し、リスクの洗い出しを行い、それを見本にしながら各部門で作業を行ってもらいました。

マニュアル作成の負担が軽減され、プロジェクト全体がスムーズに進行

— LRMとの打ち合わせは、どのようなペースで実施されたのですか。

LRM松原さんに、年内取得を目指したスケジュールを立てていただき、マイルストーンを設定して、作業の進捗状況に合わせて月1、2回のペースで実施しました。打ち合わせ1回の時間は2時間ぐらいです。限られた時間を有効に使えるよう、打ち合わせの中では大きな粒度の話をして、細かい部分はメールで問い合わせしながら作業を進めました。

— ISMS認証取得のプロジェクトはスケジュール通りに進みましたか。

予定が大きくずれるようなことはありませんでした。社内の作業進捗が多少遅れることはありましたが、全体のスケジュールに影響を与えるような遅延はありませんでした。

— ISMS認証取得までのお取り組みでご苦労された点をお話しください。

特に苦労したことはありませんでした。ISO事務局が担う作業で、最も負荷が大きいであろうと覚悟していたのはマニュアルの作成です。しかし、今回、その作業はLRMの松原さんが中心となり進めてくださいました。我々は、松原さんが作成したマニュアルに微修正をかけたぐらいです。そのサポートがあったことで、プロジェクト全体がスムーズに進行しました。それが今回、LRMのサポートで最も助かったポイントです。

— 実際に、LRMへお問い合わせをされることは多かったですか。

社内で作業を進める上で、細かい疑問点や確認事項が出てきた時は、その都度問い合わせました。

— 問い合わせの内容で多かったのはどのようなことですか。

要求事項の解釈に関する質問です。ISMSの要求事項は、様々な解釈ができるように書かれています。捉え違えると見当違いなものになってしまいますので、「その要求事項が何を意図しているか」を確認することが多かったです。

— お問い合わせに対するLRMの対応はいかがでしたか。

的確にきちんとご対応いただけましたので、ストレスを抱えることなく作業を進められました。

松原さんのおかげで、QMSやEMSなどと比較しても、非常にスムーズに進行出来ました

松原さんのおかげで、QMSやEMSなどと比較しても、非常にスムーズに進行出来ました
(上左;早瀬様、上右;久保寺様 ※下は弊社・松原)

『セキュリオ』の使い方;eラーニングを中心に社内外のアンケートにも活用

— 『セキュリオ』の活用方法をお話しください。

新規認証取得の段階ではeラーニング機能と法令管理機能を使いました。認証取得後は、サプライチェーンセキュリティ機能を利用して、協力会社を対象としたアンケートを実施する際の項目出しに利用しています。今後は、社内アンケートも活用する予定です。

— eラーニング機能を活用されたご感想をお話しください。

eラーニングに関しては、オリジナルの教材を作成出来るほか、あらかじめ教材が用意されているところが便利だと思いました。今回はISMSの教材を使いましたが、Pマークの教材も用意されています。従業員全員の実施状況や理解度を把握できますので、今後も、ISMS、Pマークの従業員教育に活用していきたいと考えています。

— 協力会社向けアンケートの項目出しとおっしゃいました。アンケートそのものはどのような方法で実施されているのですか。

現在はExcelでアンケート票を作成し、メールに添付して送付しています。『セキュリオ』を、そのまま利用しない理由は、アンケートの実施方法を統一するためです。例えば大手企業の場合、Webに自由にアクセスできないケースもあります。今後もしばらくは、このような方法でアンケートを実施する想定です。

— 社内アンケートはどのような使い方をされるご予定ですか。

ヒヤリハットの情報収集に活用していく予定です。社内でインシデントとまではいかない小さな問題が生じた際に、都度、報告を上げてもらうのが理想ではありますが、全て吸い上げることは難しいと思っています。
逆に、こちらから聞きに行けば、現場で発生している細かい問題を収集できるのではないかと思いますので、定期的に社内アンケートを実施したいと考えています。

LRMのサポートで万全な状態で審査を迎えられた

— 今回の内部監査はLRMが行いましたが、これまで外部に内部監査員代行をご依頼されたことはございますか。

なかったと記憶しています。Pマークを取得した際も、内部監査は社内の人間が実施していました。

— はじめて外部による内部監査を実施してみていかがでしたか。

LRM松原さんにご訪問いただいて、グループ全体の内部監査を実施しました。ISMSに関しては初年度でしたので、要求事項を完全に把握できていませんでしたし、社内の人間には見えないところがあると思いますので、外部の方に代行していただいて良かったと思っています。松原さんに内部監査員を代行していただいたことで、見るべきポイントは把握出来ました。2年目以降はEMSやQMSと同様に、社内に内部監査員を立てて実施していきます。

— 審査準備のサポートはございましたか。

はい。内部監査の後、審査でどのようなことが聞かれるか、どのように対応すれば良いかなど、傾向と対策をご教示いただきました。また、作成したドキュメント類も不備がないかチェックしていただき、万全な状態で審査を迎えられました。

— 審査はいかがでしたか。

審査日がQMS、EMSと重なったため、対応に追われましたが、内容的には大きな問題もなく、スムーズに終えられました。指摘事項も致命的なものはありませんでした。

LRMのサポートは期待通り。今後は事務局中心に全体的な底上げを目指す

— ISMS認証取得に取り組んだご感想をお話しください。

LRMのサポートを受けたことでスムーズにISMS認証が取得できましたし、安心して事業に取り組める環境が整備されました。今後の課題は、従業員のISMSに対する理解度や意識レベルを揃えることです。
今回の取り組みでは、各部門で選出した担当者の中にも、ISOには関わった経験がない者がいて、意識や理解度には個人差があることが明らかになりました。今後、運用を重ねながら経験値を上げていくことで解決される問題ですが、人事異動による担当者の入れ替えに備えるためにも、全体的な底上げを図っていきたいと考えています。

— 具体的な取り組みとして考えておられることはございますか。

現在、弊社は4つの認証規格に基づいたマネジメントシステムを運用しています。ISO事務局としては、出来るだけ社員に負担がかからないようにすることを主眼に置いたルール作りをしていきたいと考えています。その上で、事務局が主体となりつつ、各部署では「製品の品質に直接関わるQMSとEMS」、「情報セキュリティに関わるISMSとPマーク」、2つに分けて担当者を決め、それぞれ責任を感じて取り組んでもらうことで、取り組みを前進させていきたいと考えています。

— LRMのコンサルティングを受けたご感想をお話しください。

松原さんのサポートもあり、スムーズにプロジェクトを推進できました。過去のQMSやEMSなどと比較しても、ISMS認証取得は非常にスムーズに進行出来ました。質問に対しても的確に対応していただけましたので、期待通りです。

株式会社 小田原機器様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社 小田原機器様のWEBサイト
※ 取材日時 2023年2月

  • システム開発・運用
  • 製造・メーカー
  • 既存の社内規程/文書類を活かす
  • 50~199名
  • 神奈川
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら