伊藤忠ファッションシステム株式会社様 -顧客事例-

ISMS認証取得では、現場の意識レベルから情報セキュリティを強化したいと考えました。LRMは当社の要望に応えるコンサルティング会社でした。

伊藤忠商事の100%子会社で、ファッションを切り口としたマーケティングコンサルティングなどを行う伊藤忠ファッションシステム株式会社では、情報セキュリティマネジメントシステムの規格ISMS/ISO27001（以下ISMS）の認証取得にあたり、LRMにコンサルティングを依頼しました。
同社ISMS運営事務局の石井裕氏と塩冶知宏氏に、LRMを選んだ理由やLRMの評価などをうかがいました。

記事index

今回のISMS認証取得の概要
LRMを選んだ理由
ISMS認証取得までの流れ
LRMに対する評価
これからISMSを取得する企業へのアドバイス

（伊藤忠ファッションシステム株式会社について）
ファッションを切り口としたマーケティングコンサルティング、ブランドのライセンス管理、繊維製品の品質評価などを行う、伊藤忠商事の100%子会社。本社東京。大阪に支社、ニューヨークとパリにオフィス、上海に現地法人を持つ。従業員100名。設立昭和46年。

（伊藤忠ファッションシステムISMS運営事務局メンバー紹介）

石井祐

【経営管理グループ　法務マネージャー　石井祐氏】
1990年新卒入社。ブランドライセンス管理、営業等を経て現職。

【経営企画グループ　塩冶知宏氏】
1997年新卒入社。入社以来財務、総務全般を担当。現在は主に情報システム全般の管理を担当。

今回のISMS認証取得の概要

— 伊藤忠ファッションシステムは、LRMに何を依頼しましたか。

当社ではLRMに、ISMS認証取得コンサルティングを依頼しました。今回依頼したのは、東京本社の、ブランディング第一グループという部署におけるISMS認証取得に関わるコンサルティングです。

— 今回ISMSを取得したブランディング第一グループは、どのような部署ですか。

ブランディング第一グループは、ファッションを切り口とした調査、立案、提言などを通じ、企業様における事業開発・商品開発・施設開発・広報・宣伝活動などをお手伝いする部署です。ファッション業界を問わず、電機メーカー・インフラ系企業・大規模小売店チェーンなど幅広い業種の企業様をクライアントに持ちます。

当社社員約100名のうち、約15名がこの部署に所属します。

— なぜ、ISMS認証の取得を検討し始めたのですか。

情報セキュリティに関するクライアント企業様からの要求事項が、最近急激に厳しくなってきたからです。
以前から当社は、消費者調査などで個人情報を扱う機会が多かったため、情報セキュリティの確保には力を入れてきました。2008年には、個人情報保護マネジメントシステムに関する規格JIS Q15001に適合した個人情報保護体制を示す、Pマークも取得しています。
しかしここ数年は、大手家電メーカーや大手通信会社など情報セキュリティに関する要求事項が格段に厳しい企業様とのプロジェクトが増え、情報管理に関わる運用体制全般のさらなる厳格化を迫られていました。
親会社の伊藤忠商事からも、伊藤忠のブランドに恥じない情報セキュリティ体制の確立を要請されていました。

ISMS認証の取得を通じ、クライアント企業様の要求に応え伊藤忠ブランドを護る情報セキュリティ体制を確立したいと考えました。

— ブランディング第一グループにおけるISMS認証取得のコンサルティングを、LRMにいつ依頼しましたか。

2010年の10月に依頼しました。

— ISMSの認証をいつ取得できましたか。

2011年の8月に取得できました。

LRMを選んだ理由

現場を巻き込んでやる気にさせる力を持ったコンサルタントを探していました。（石井氏）

— ISMS認証取得コンサルティング会社を、どのように探しましたか。

当社や親会社が過去に利用したコンサルティング会社の中から探しました。
他に、ネットでも検索しました。LRMは、ネットで検索して見つけました。

— ネットでISMS認証取得コンサルティング会社を探すにあたり、どのような点を重視しましたか。

まず、「早く安く取れる」ということをあまりにも前面に打ち出しているコンサルティング会社は除外させていただきました。
形の上だけISMS認証を取得できても、実際に情報セキュリティ体制を社内に根付かせることができなければ、何の意味もないからです。

また、業務体制がきちんと確立されていない様子のコンサルティング会社も除外させていただきました。当社の情報セキュリティ体制に関する調査・分析・提言を、机上の空論に終わらないレベルで行っていただくためには、ある程度組織的にコンサルティングを行っている会社にお願いする必要があると思ったからです。

数あるISMS認証取得コンサルティング会社を、こうして一次スクリーニングにかけたところ、LRMを含めて4社が残りました。残った4社に2010年7月から8月にかけて、当社にお越しいただきプレゼンテーションをしていただきました。

— プレゼンテーションした4社の中から、最終的にLRMを選んだ決め手は何でしたか。

決め手になったのは、情報セキュリティ体制の確立に向けて“現場をやる気にさせる力”を一番持っているのが、LRM だと感じたからです。

プレゼンテーションをしていただいた4社の中には、「少ない負担でスピーディーに規定集ができる」というツールを売りにしているコンサルティング会社もありました。私達も一旦はこのコンサルティング会社に心が傾きかけたのですが、「このようなツールで作った規定集が、果たして現場に根付くのだろうか？」という不安を拭えずにいました。
せっかくの規定も現場から「管理部門が勝手に作ったもの」と思われてしまえば、情報セキュリティ体制の確立も絵空事に終わってしまいます。

「決められたことに素直に従う」というタイプの社員は、当社では少数派です。自分の仕事のスタイルに一家言も二家言も持っている社員達に、規定に従った情報運用の重要性を腹落ちさせ、彼ら彼女らが納得して実践できる規定を立案していただくためには、コンサルタントに相当な能力が要求されることが予想されました。

LRMのコンサルタントのプレゼンテーションは、こうした“現場に腹落ちさせる”能力の高さをうかがわせるものでした。LRMに依頼すれば、現場を巻きこんで情報セキュリティ体制を意識レベルから確立できると確信しました。

＜LRM幸松＞

自動化されたツールを使ってISMSの規定を作成することの、メリットとデメリットを説明させていただきます。
ツールを使ってISMSの規定を作成することには、規定の作成にかかる時間と労力を節約できるというメリットがある一方で、規定が現場の実情に則したものになりにくく、結果として規定が現場に定着しにくい、というデメリットがあります。
LRMでは、ツールを使った規定作成のデメリットを重く見て今のところツールを使った規定作成は行っていません。

ISMS認証取得までの流れ

LRMからはシステムの構築と運用についても具体的なアドバイスがありました。（塩冶氏）

— LRMにISMSの認証取得コンサルティングを依頼することが決まった後の流れを教えてください。

まずISMS認証取得に向けて正式に動きだすのに先立ち、各部署のマネージャーを集め、ISMSに関する説明会を実施しました。
この説明会で、LRMのコンサルタントから各部署のマネージャーに「ISMSとは何か？」「ISMS認証を取得する意義は何か？」といったことをレクチャーしていただきました。
このレクチャーによって各マネージャーの了解も得られ、認証取得に向け正式に取り組みが始まりました。

最初に問題になったのが、認証の取得範囲でした。
最初から全社規模で取得するのか。東京本社のみで取得するのか。あるいは、東京本社の中で特にISMS認証の必要性が高い部署に限定して取得するのか。この点についてLRMに相談したところ、当社の場合まずは特にISMS認証の必要性の高い一部署に限定して取得し、運用体制を確立してから他の部署に認証範囲を広げたほうが、より確実に情報セキュリティ体制を確立できるという回答でした。LRMのアドバイスに従い、情報セキュリティに関する要求事項が厳しいプロジェクトを扱うことが多い、ブランディング第一グループに限定して取得を目指すことに決定しました。

取得範囲が決まった後は、情報資産の洗い出しに取り掛かりました。
この時LRMから、「情報資産のひな型を最初から決めてしまうと、ひな型に納まらない情報資産が抜け落ちる恐れがあります。特に今回対象となる部署は、プロジェクトごとに情報資産の発生の仕方が異なるはずなので、一人一人が抱えるプロジェクトの内容ヒアリングするところから始めましょう」と提言がありました。LRMの提言に基づいて社員一人一人からヒアリングした内容を、LRMと相談しながら整理し情報資産台帳を完成させました。

情報資産台帳が完成したところで、ISMSの規格で定められている133の管理策について、具体的な規定を検討していきました。LRMの提言で、規格に定めれていなくても重要性の高い携帯電話やスマートフォンの使用に関わる管理策についても、検討していきました。この検討におよそ2ヶ月をかけました。
この間LRMのコンサルタントは、ほぼ2週間に1回のペースで来社し、社員へのヒアリングなども行いながら、現場の実情に即した管理策を提言してくれました。

管理策の検討に使用されたチェックシート（一部）

すべての項目について、現場の実情に即した管理策が決まったところで、LRMに規定集として文章化してもらいました。この文章化のプロセスは、1ヶ月で完了しました。

LRMによって文章化された管理策概要（一部）

この段階でLRMから、審査機関の選定に関するアドバイスがありました。LRMは、当社の業務スタイルに適した審査機関を推薦してくれました。LRMから推薦された審査機関に審査を申請し、審査日が決定しました。

規定集が完成したところで、従業員教育を実施しました。従業員教育は、対象となる部署の社員全員を参加させ、質疑応答込みで2時間ずつ2回実施しました。教材はLRMから提供されました。

規定を施行後、施行された規定が日々の業務の中で実施されているかどうか、我々ISMS運営事務局が内部監査を実施しました。内部監査に使用するチェックシートのひな型は、LRMが提供してくれました。経営陣を対象にしたマネジメントレビューでは、LRMからの助言に基づき、審査本番におけるトップヒアリングの予行演習も行いました。

審査は1.5日ずつ2回に分けて実施されました。こちらの勝手なイメージとして、こうした規格の審査というと、瑣末で形式的な不備ばかり指摘されたり、ひたすら書類の書き直しを要求されたりする審査を想像していたのですが、LRMから推薦された審査会社による審査は、そのような形式的なものではなく、審査していただくこと自体が、当社の情報管理態勢の向上に役立つ審査でした。審査の最終日にはLRMの担当コンサルタントにも立ち会っていただき、心強かったです。

こうして2011年7月上旬の1次審査、7月下旬の2次審査と無事通過し、2011年8月上旬には、ISMS/ISO27001認証証明書が届きました。

LRMに対する評価

— 伊藤忠ファッションシステムでは、LRMによるISMS認証取得コンサルティングの、特にどのような点を評価していますか。

当社では、特に次の3つの点を評価しています。

（1）現場に即したコンサルティング
たとえばリスク管理策を具体的に検討していく過程で、LRMのコンサルタントは現場の社員へのインタビューを随時実施し、現場の実情に即した管理策を提言してくれました。
また、LRMのコンサルタントによるインタビュー自体が、情報セキュリティに対する現場の意識を高めてくれました。

（2）システム構築や運用に関して具体的なアドバイスがある
LRMのコンサルタントは、情報システムの構築や運用に関しても、具体的で実践的な提言をくれました。
たとえばスマートフォンに関連した管理策を検討する時には、iPhoneとAndroidスマートフォンのセキュリティ対策の違いにまで踏み込んだ提言をしてくれました。

（3）フットワークが良い
今回ご担当いただいたコンサルタントは、大阪が拠点の方でしたが東京の弊社まで頻繁に足を運んでいただき、距離を障害に感じさせることがありませんでした。
電話やメールでの相談にも、いつでも気軽に答えていただけました。

これからISMSを取得する企業へのアドバイス

— これからISMSを取得する企業の方へ、アドバイスがあればお願いします。

ISMSの認証を取得すること自体は、おそらくそれほど難しいことではないと思います。難しいのは、情報セキュリティ体制を現場に浸透させ、維持していくことです。
ですから、ISMS認証取得コンサルタント会社を選ぶにあたっては、現場の実態に即した管理策と、長期的な維持浸透計画を提言してくれる会社を選ぶことが重要だと思います。