株式会社システムディ 様 – 顧客事例 –
株式会社システムディは、2011年12月、情報セキュリティマネジメントシステムの規格ISO/IEC27001の認証を新規取得しました。認証を取得した背景と、LRMのコンサルティングについて、認証取得プロジェクトの推進にあたった取締役 開発統括部長 小林正人氏、学園ソリューション事業部 営業部 テクニカルサポート課 次長 後守重敏氏に、詳しく話を伺いました。
記事index
株式会社システムディは、1984年の創業以来、パソコンのソフトウェア開発一筋で事業を展開するジャスダック上場企業である。教育機関、フィットネスクラブやスイミングスクールなどの健康増進施設、薬局、民間企業・公共団体などに向けた業務システムを、パッケージソフト、ASP・SaaSサービスとして提供している。中でも、1985年にリリースした『キャンパスプラン』シリーズは、これまで大学を中心に750校を超える導入実績を持ち、学校法人向けパッケージソフトとして国内トップクラスのシェアを誇っている。
事業拠点は、京都本社、東京支社の2拠点。社員数は150名(2012年2月現在)
LRMにISMS認証取得コンサルティングを依頼
— 御社がLRMに依頼した業務内容を教えてください。
弊社は、2011年3月初め、LRMに、全社で運用する情報セキュリティマネジメントシステムの規格ISO/IEC27001(以下、ISMS)の認証取得コンサルティングを依頼しました。同年12月末に認証取得を完了し、運用を開始しています。
もし取得できなければ、年明けに控えていた仕事に影響が出る可能性もありました。
会社から与えられた“年内取得”というミッションを達成することが出来てホッとしています。
Pマークだけでは守れない機密情報を守るためにISMS認証を取得
幸松さんのざっくばらんなキャラクターは当社にとってやりやすいと感じました
(取締役 開発統括部長・
小林正人氏)
— ISMS認証を取得した理由を教えてください。
弊社がISMS認証取得をした理由は、プライバシーマーク(以下、Pマーク)が対象とする個人情報以外の機密情報を安全に扱うためのルールを作り、運用する仕組みが必要だったからです。
弊社は、ISMS認証取得に先立ち、2008年10月、Pマークを取得しました。
業務の中には学校やフィットネスクラブなどのエンドユーザー様から、学生や会員の個人データをお預かりすることがあります。個人情報保護法の全面施行や、個人情報の流出事故が社会問題化した背景を受け、弊社においても個人情報を扱うルールを定めるためにPマーク取得が必要であると判断し取得しました。
しかし、弊社が守るべき情報は、そのような個人情報だけではありません。
Pマークを取得し運用する一方で、Pマークだけでは、弊社が扱う機密情報の全てをリスクから守ることは出来ないという問題は残っていました。
弊社は様々な業種の業務システムの構築に携わっています。
その中では、学生や施設会員などの個人情報だけではなく、多種多様な機密情報を扱っています。
クライアントの業務に関わるものや、システム構築にあたって取り決めた事項など、印刷物からメール、手書きメモに至るまで、膨大な量の機密情報が発生しています。それらの機密情報も個人情報と同様、漏えいしたり紛失したりするリスクを常に背負っています。
機密情報を安全に扱い、事故を防ぐとともに、外部から見てもしっかり運用していることが認められる仕組みとしてISMS認証を取得しました。
— 従来、機密情報の取り扱いルールなどはありましたか。
各部門ごとに、こういうケースにはこう対応する、といった取り決めのようなものはあり、その中で管理していました。また、個別に、顧客の求めに応じ、関係者しかアクセスできないサーバーを用意するなどといった対応をしていました。しかし、エンドユーザーから個人情報をお預かりする際、元請けのSIerが同席しなければ直接お預かり出来ないなど、業務が制限されるケースも発生していました。そのような制限を外すためにはPマークに加え、ISMS認証の取得が条件となるなど、顧客からISMS認証取得の要請も出始めていました。
そして、時流として情報セキュリティに対する意識は年々高まっており、今後は同様のケースが増えると予測されました。
ISMS認証取得に関しては2010年から議論を重ね、2011年2月に取得することが決定され、同時に、ISMS認証取得プロジェクトがスタートしました。プロジェクトメンバーは、京都本社と東京支社の各事業部から1~2名ずつ、合計11名を選出しました。この認証取得プロジェクトが、認証取得後の情報セキュリティ委員会の母体となっています。
PDCAサイクルをきちんと回せるシステムを目指した
— 御社が目指したのはどのような情報セキュリティマネジメントシステムでしょうか。
日常業務の中で、PDCAサイクルをきちんと回せる仕組みです。
ISMS認証取得に向けて自分なりに勉強する中で、会社自体や社会の変化に応じルール自体が能動的に変わって行く仕組み作りが必要だということを認識しました。
そのためには日常業務の中でPDCAを回す必要があり、社員一人ひとりが、なぜこのルールが必要なのか、なぜこのようなルールになったのか、といったことまで意識出来ることが大切だとわかりました。
意識することで、現実に合わないルールを改善したり、不要なルールを削除したり、より自社の実情にあったルールへと進化させることが可能となります。
現在、弊社が目指しているのは、ISMSの運用を通じて、社員一人ひとりがお客様に対し情報セキュリティの面で、アドバイス出来るレベルのスキルを身に付けて行くことです。それによって本当の意味でPDCAサイクルが回せる状況が生まれます。また、我々は、顧客が持つ問題にいち早く気付いて、改善策をシステムに反映するスキルを高めなければいけません。
情報セキュリティマネジメントのスキルは、課題発見スキルの向上に役立つと考えています。
— 拠点ごと、または部署ごとではなく、全社まとめて取得することにしたのはなぜですか。
PDCAをきちんと回せる仕組みにするためには、出来るだけシンプルなルールにすべきだと考えたからです。
同じ組織なのに、ルールが部署ごと、あるいは拠点ごとに異なるとかえって運用しづらいルールになってしまいます。
そもそもPマークが全社で1つなので、分けるつもりはありませんでしたが、統一したルールを決める中で部署ごとの事情をすり合わせる必要があり、その過程を通して議論が深まり、よりシンプルなルールを作ることが出来ると考えました。
ISMSは、そこからスタートして運用しながら直していくというプロセスが重要なのです。
Pマーク取得の際の反省からコンサルタントを活用
幸松さんには垣根なく何でも相談できました
(学園ソリューション事業部 営業部 テクニカルサポート課 次長・後守重敏氏)
— ISMS認証取得にあたって、コンサルタントを必要とした理由を教えて下さい。
プロジェクトメンバーの負担を軽くして可能な限り本来の業務に影響が出ないようにしたいと考えたからです。負担を軽くするためには、専門知識と豊富な経験を持ったコンサルタントに指導してもらい、最小限の労力で運用までたどり着きたいという想いがありました。目指す情報セキュリティマネジメントシステムの構築を最短で実現するために、コンサルタントを活用することにしました。
このように考えた背景には、Pマーク取得の際の反省がありました。
Pマークに関する予備知識がない状態で、コンサルタントの力を借りずに取得しましたが、大変苦労しました。しかも、正しく運用できる内容になったのかどうか、自信が持てませんでした。ISMS認証の取得を決めた時に、年内と期限が区切られていたこともあり、コンサルタント会社を使う前提でスタートしました。従って認証取得プロジェクトが最初に行ったことは、コンサルタント会社の選定作業です。
— コンサルタント会社を選定した経緯を教えてください。
まず、インターネット検索で12社ぐらいリストアップして電話で話を聞き、その中から4社に絞って面会し、最終決定しました。
絞り込んでいく過程で重視したことは、第1に予算です。大雑把に相場を調べて基準となる金額を設定し、その金額よりも安い会社をピックアップしました。
その過程でコンサルティングのタイプには、大きく分けて3つのタイプがあることがわかりました。
(1)業務請負方式…コンサルタントに全ての作業を丸投げする
(2)アドバイス方式…アドバイスだけをもらって作業は全て社員が行う
(3)共同作業方式…コンサルタントと社内で役割分担をして作業を行う
この中から弊社は(3)共同作業方式を選びました。
(2)アドバイス方式は、社員に負担がかかりすぎます。(1)業務請負方式は、認証取得だけを考えると楽ですが、PDCAサイクルをきちんと回していくという趣旨に反します。
マネジメントシステムを構築していく過程に自分たちも関わり、ルールが決まった経緯や理由を把握しておかなければ、運用しながら見直していくことは出来ません。
いつしかルール自体が形骸化することは目に見えています。代表から取得後もコンサルタントを活用することは禁止されていたため、認証取得までの流れは全て把握できるよう共同作業方式を選びました。
共同作業方式のコンサルタントの中から最新動向に詳しいLRMを選定
— 最終的に、LRMを決定したのはどのような理由ですか。
一番大きな理由は、ISMSやITに関する最新動向に詳しいことです。
最初の面会時に、LRMのコンサルタント・幸松さんは、スマートフォンやSNSに関して今後発生すると予測されるリスクに言及していたことから、最新動向に敏感であることがわかりました。
それは選定の大きなポイントとなりました。
トラブルが発生しやすいのは、新しいルールが出来た時です。
既存の部分は、気を付けるポイントを把握していれば、心配はいりません。事例も沢山ありますし、その事例を見ながら対応出来ます。社会の変化などに応じて新しいルールを作らなければならない時は、まだ誰も経験していない領域のためリスクが高いように感じました。だから、最新動向に詳しい方を選ぶべきだろうと考えたのです。
例えば、現段階でISMSの中には、SNSやスマートフォンの取扱いに関する直接規定はありません。
しかし、SNSのユーザー数やスマートフォンの販売台数が急増している現在、それらを無視して機密情報を防ぐことは不可能です。
幸松さんは、そのような考え方に基づいて、SNS、スマートフォンの取扱いに関する規定を検討することを提案されました。
さらに、幸松さんは専門知識と実績が豊富で、人柄が良く、安心感がありました。
実は面会した順では、LRMが一番最後でした。会えるタイミングがなかなかなく、幸松さんと面会した時点では別のコンサル会社にほぼ確定していました。しかし、最後に幸松さんと話をすると、最新動向を含めた知識が豊富な上に、気負ったところがないざっくばらんな性格で柔軟性があり、私たちにとっては話しやすい方だと感じました。
コンサルティングの回数制限はなく、東京出張にも柔軟に対応していただけるということは、他社にはない要素でした。
また、幸松さんはLRMの社長でもあり、社長自身がコンサルティングを担当するということは安心感が持てました。
加えて、ISMSの審査員を年間30社以上受け持っているということも安心してお任せ出来る材料になりました。
後から比較すると、決まりかけていたコンサルタントは、コンサルティング会社の社員ではなく、契約コンサルタントという立場でしたし、お話を伺う限りは、最新動向に詳しいのかはわかりませんでした。
対応は丁寧でしたが、逆に真面目すぎて理想を優先する傾向がありました。
LRMとの役割分担で、苦労せずに取得完了
ルール作りの作業の中で、幸松さんの専門知識の豊富さを実感しました
(左;小林氏、右;後守氏)
— 御社のISMS認証取得プロジェクトにおけるLRMとの共同作業はどのように進んだのでしょうか。
幸松さんとプロジェクトメンバーで役割分担をして、プロジェクトを進行しました。特に重要なのは、133項目の管理策を決めて行く過程です。
まず、幸松さんによる現状調査からスタートしました。京都本社、東京支社のオフィスを視察し、問題点を洗い出してもらいました。
次に、リスクアセスメントでは、各拠点および部署ごとに情報資産を洗い出し、それぞれに対する脅威や脆弱性を明確にしてリスクの大きさを評価し、そのリスクから情報を守るための対策をすり合わせて行きました。
この過程では、情報資産の洗い出しはプロジェクトメンバーが行い、リスクの評価とルール作りは、幸松さんが同席するプロジェクト会議でアドバイスを受けながらメンバー全員で話し合って行いました。
そこで話し合った内容を基に、幸松さんが133項目の管理策やISMSマニュアルなどにまとめて行きました。
— プロジェクトを通して苦労したことはありましたか。
全体を通して苦労した感覚はありませんでした。作業は大変でしたが、それによるメリットの方が大きかったと考えています。
例えば、リスクアセスメントの過程では、部署ごとに違うルールを摺合せる作業に最も時間がかかりました。
しかし、全社統一ルールを決めるためには部署間の調整は避けて通れません。逆に、その作業を通して他の部署ではそんなところまでやっていたのかといった気づきがありました。
また、どこでどんなリスクがあるのかということも共有できたというメリットがありました。
また、審査基準に適合できるようオフィス環境を整えました。夏季休暇期間に不要な文書を廃棄し、雑然となっていたサーバー機の周りを整理しました。従来から不要になった文書類は各自シュレッダーをかけるようにしていましたが、100%出来ていたわけではありません。弊社では重要書類の保存期限を決めており、その期限が過ぎたもので捨てられるものは全て、機密文書専門の廃棄業者に委託して処分しました。幸松さんのアドバイスにもありましたが、情報が多すぎると必要な情報を探すのに時間がかかり、可用性を低下させます。使わない情報を持つこと自体がリスクです。
不要な情報を捨て、仕事がしやすい環境を整える良い機会になりました。
以上のような過程を経て、情報セキュリティマネジメントシステムを構築し、運用するに至りました。
その後、内部監査、マネジメントレビュー、申請と審査、審査対応といった過程はスムーズに進み、12月22日、ISMS認証を取得することが出来ました。
LRMのコンサルティングでPDCAサイクルをきちんと回せるISMSが出来た
– LRMに対する評価を教えてください。
一番良かったことは、情報セキュリティマネジメントシステムの確立に向けた着地点を明確にしていただいたことです。
我々としては、スタート段階では同業他社と比較されても問題のないレベルを目指していました。
最低限のレベルを満たす必要はありますが、100点満点である必要はありません。
また、他社と比較してレベルが低いとみなされたとしても、問題にならないレベルであれば良いと考えていました。
しかし、その基準が具体的にはわかりませんでした。幸松さんのコンサルティングを通して、その最低限のラインが見えてきました。133項目の管理策に盛り込む内容も、出来ないことを無理して書かないとか、頑張れば出来ることであっても、現段階では書かないでおいて要求された時にやれるように準備しておくといったテクニックがあることもわかりました。
Pマークは書きすぎたことが可用性を損なう理由になったということに気が付きました。
最低限のレベルからスタートして、運用して1年に1回の審査を受けながら、ルールを厳しくすべきところは厳しくして、逆に厳しすぎるところは緩くして、というようにメリハリをつけて徐々に進めて行くことで確実にステップアップしていることが実感出来るようになります。
それがPDCAサイクルの形骸化を防ぐことにも繋がります。
以上は、幸松さんのコンサルティングを通して得た一番大きな気づきです。
また、ルールを決める際に感じたことは、LRMの幸松さんは、IT系をよく理解されているということです。
豊富な事例を持っているため、アドバイスが的確です。話しやすいキャラクターも良かった。
社外の方ですが、垣根なく何でも相談することが出来ました。プロジェクトを推進する立場としては、
とても安心してお任せ出来ました。
今後に向けて
— 最後に、認証取得後2か月が経過しましたが、今、どのような状況でしょうか。
ISMS認証取得プロジェクトのメンバーを一部入れ替えて情報セキュリティ委員会を組織して、1ケ月に1回委員会を開催しています。規定では四半期に1回となっていますが、発足したばかりなので、今は頻繁にやっているところです。
2か月ではまだ何とも言えませんが、ルールが現実と食い違っているという報告もありますので、その都度ルールを見直しています。全社の最大公約数的なルールになっているため、あいまいに感じるルールもありますが、運用しながら直していくつもりです。
また、将来的にはPマークとの統合も視野に入れていきたいと考えています。
小林様、後守様、お忙しい中、有り難うございました。
※右端は当社代表・幸松
株式会社システムディ様のWebサイト
※ 取材日時 2012年2月
- システム開発・運用
- クラウドサービス(SaaS)開発・提供
- 担当者の負担軽減
- ISMS/Pマークのルール統一
- 50~199名
- 京都
- 複数拠点