株式会社アスカネット様 – 顧客事例 –

株式会社アスカネットは、LRMのサポートのもと、2024年6月にISMS/ISO27001認証を取得されました。
認証取得の背景や課題、LRMに依頼した理由、取得後の効果などについて、同社の戦略企画部IT推進グループに所属する有馬様、河本様にお話を伺いました。

お客様が抱える課題とISMS構築アプローチ

• 事業拡大に伴い、保有する情報資産のリスクを明確にしたい
• 現場も含め、セキュリティ意識を高めたい
• 自社に最適な情報セキュリティ確保の仕組みを把握・検討したい（例：プライバシーマークとISMS、どちらが自社に適しているか）

• 各部門の情報資産を洗い出し、リスク分析を行った
• 各部門と議論を行い、事業フェーズや部門の事情を踏まえたルール策定を行った

LRMコンサルティングサービスへの感想

• 審査機関による外部審査までの準備に丁寧に伴走してくれた
• ルール策定や文書作成、社員教育、外部審査など多岐にわたる業務のサポートをしてくれた

（株式会社アスカネットについて）

写真館の事業部から独立し、創業時から写真加工の技術を活かした事業を展開。葬儀社向け「フューネラル事業」、オンデマンド印刷による「フォトブック事業」、​​空中結像技術を用いた「空中ディスプレイ事業」などに取り組んでいる。
設立：1995年7月。本社：広島県広島市。従業員数435名。（2024年4月現在）

— まずは貴社の事業についてお聞かせください。

もともと当社は写真館にルーツがあり、通信型の遺影写真加工のビジネスを行うために1995年に設立されました。
写真加工で培った技術力を強みに、現在は葬儀社向け「フューネラル事業」、オンデマンド印刷による「フォトブック事業」、​​空中結像技術を用いた「空中ディスプレイ事業」に取り組んでいます。

売上の大半を占めるフューネラル事業とフォトブック事業は主に国内向けに展開しています。また空中ディスプレイ事業は目下、案件獲得を強化中。海外のお客様から引き合いがあります。

— おふたりが所属する部署と役割を伺えますか？

河本様）私たちは戦略企画部IT推進グループに所属しています。社内で扱う情報システムの管理をメインで行いつつ、情報セキュリティ方針に沿った社内教育や安全管理策の徹底等に努めています。

有馬様）社内向けのサーバーやネットワークのメンテナンスやアップデート業務も私たちが担っています。

— LRMへのご依頼内容をお話しください。

ISMS/ISO27001（以下、ISMS）の新規取得を目的として、LRMにコンサルティング業務を依頼しました。

— ISMS認証取得の背景についてお聞かせください。

アスカネットは約20年前からプライバシーマークの認定を受けており、個人情報保護のための情報管理体制の整備を行ってきました。一方で、事業拡大に伴い、個人情報以外に保有する情報資産のリスクに対策を講じる必要が出てきたんです。

長くプライバシーマークを取得してきたこともあり、「慣れ」があったこともISMS認証取得を進めた理由です。もっと現場を巻き込み、全社で情報セキュリティの意識を高めたいという思いもありましたね。

— その他、貴社で課題に感じていたことはありましたか？

社内で情報セキュリティに関する共通認識を持ちづらい状況を課題に感じていました。

現在アスカネットで取り組んでいる3事業は、ビジネスモデルの違いから、仕事のスタイルが部門ごとに異なります。部門独自のルールも生まれ、部門同士で情報共有することも少なかったように思います。部門ごとの特色は残しつつ、なるべく共通の枠組みを築ければ、色々な場面で連携ができると考えていました。

— LRMを選んだ理由を聞かせてください。

当社に最適な情報セキュリティの仕組みを検討する際、たまたまフォローしていたLRM幸松社長が、X（旧Twitter）で「ISO27001の資料がほしい方はDMをください」と呼び掛けており、コンタクトをとりました。

「それなりの規模の会社だと、既存ルールや体制を変更する必要があり、ISMS認証取得は大変だ」という話をよく耳にしていました。なので正直、ISMSに切り替えるべきか迷っていたんです。議論を重ねる中で、「今のアスカネットにはISMSが最適」とLRMの皆さんに背中を押していただき、一緒に認証取得を目指すことになりました。

— 認証取得はどのような体制で取り組んだのでしょうか？

戦略企画部を中心として事務局を構成し、LRMのコンサルタントである小池さんと連携しながら、ISMS認証取得を進めていきました。

— 本プロジェクトの進め方は想定通りでしたか？

基本的には想定通りに進めることができました。大変だったのは、当社が保有する情報資産が膨大だったこと。これまで私たちは個人情報のみを対象に管理してきましたが、ISMSでは個人情報を含む会社全体の情報資産を取り扱います。制度の目的が異なるので、当然といえば当然ですが、これまで管理してこなかった情報資産にもかなりの時間を割いて向き合いましたね。

情報のキャッチアップも大変でした。部門の担当者にヒアリングしても状況が掴めない。上司だけが知っているとか、ベテラン社員だけが把握しているとか、暗黙知として運用されていました。

とはいえ、プライバシーマークの運用で管理していた情報もありました。そのベースがあったのは良かったですね。

— 内部監査や外部審査はいかがでしたか？

小池さんのおかげで、内部監査はとても有意義でした。「ここができていない」という指摘でなく、現場の不備をサポートしてくれるようなコミュニケーションをとってくれたんです。どうしても「監査」や「審査」というのは、相手と対峙するようなイメージがあります。良し悪しのジャッジでなく、情報セキュリティ確保のために何をすればいいのかを一緒に考えてくれたのが良かったですね。管理者だけなく、現場担当者も巻き込みながら、業務プロセスの改善につなげることができました。

外部審査までに準備を綿密に行えたので、わりと余裕を持って審査に対応できたと思います。

審査の際は、小池さんの同席はありません。私たち自らが主体的に対応する必要があるからこそ、「自分ごと」として情報セキュリティへの取り組みに向き合えたと思います。「『外部審査でOK』だから良し」ということでなく、各部門を巻き込みながら、正しいプロセスを踏めたことが、一番やって良かったなと思う点ですね。

— プロジェクトで社内ルールが変更され、社内の負荷が増えたという印象はありますか？

もちろんルール変更によって、一時的に社内の負荷がかかる状態はあると思います。ただルールが明確になったので、社員は安心して作業できるようになったのではないでしょうか。インシデント（情報セキュリティに関する事故や攻撃のこと）を集約する場所も明確になり、社員も報告しやすくなったと思います。

そもそもインシデントが発生したとき、最初の判断は現場の社員に委ねられます。例えば、「メールの宛先を間違えて送信してしまった」といったことも発生し得るでしょう。その際に、「これは重大な事故なのか？報告義務はあるのだろうか？」と、社員が判断に迷う事態も想定されます。社員は情報セキュリティの専門家ではなく、それぞれの判断を100%信頼することはできません。だからこそ「気軽に相談・報告してね」という運用を呼び掛けています。

— LRMのコンサルタントとのやりとりはスムーズでしたか？

はい。ルール策定や文書作成、社員教育、外部審査など多岐にわたる業務のサポートをしていただきました。専門的の視点でセキュリティのアドバイスをいただき、運用の質も高められたと実感しています。

— ISMS認証取得後の効果はいかがでしたか？

名刺やホームページへの掲載は準備中ですが（2024年10月現在）、社外向けの情報発信も強化していく予定です。
現時点では、取引先のチェックシートに「ISMS認証取得済」と記しており、一定の信頼を得られている状態かなと思います。

取得前は、当社の代表も「情報セキュリティのリスク対策を常にアップデートしていきたい」と話しておりました。ISMSは国際標準規格なので、これまで以上に国内外のお客様に広く信頼いただける形になれたと思っています。

— 今後のセキュリティ対策として、強化していきたいポイントを教えてください。

さらに部門ごとの連携を強めていきたいですね。情報セキュリティに関する理解が得られてきたので、部門ごとの知見がきちんと共有される仕組みを目指していきたいです。

内部監査をより意義のあるものにしたいと考えています。内部監査は不正や不祥事の芽を早めに潰すことを目的としていますが、仕組みによっては“なあなあ”になり、機能しなくなることがあります。内部監査での指摘というのは、決して恥ずかしいことではありません。改善の伸びしろということもできますから、指摘を受けたことは一覧化して、全社で「自分ごと」として受け止めていけるような組織にしたいですね。

— セキュリティ対策に力を入れている企業に向けて、メッセージをお願いします。

大事なことは、事業あってのセキュリティであるべきということです。関わっている事業や業務に対して、どれくらいが適正なコストなのか常に考えることが大切だと思います。

もちろんセキュリティ対策を適切に講じることは重要です。ただ、セキュリティと事業のバランスが崩れてしまうのは望ましい状態とはいえないでしょう。当社が持続的に成長していくためにも、「Security Diet®」を掲げるLRMのサポートをいただきながら、要所を押さえた効果的・効率的な管理プロセスをつくっていきたいですね。同時に関係者の理解も不可欠です。各部門の担当者や責任者、経営層と共通認識を形成しながら進めていくことが、情報セキュリティ対策の肝になると考えています。

株式会社アスカネット様、お忙しい中ありがとうございました。

※ 株式会社アスカネット様のWEBサイト
※ 取材日時 2024年10月