株式会社徳島データサービス 様 – 顧客事例 –

希望通りに8ヶ月間で認証取得ができました。LRMは豊富な知識と抜群のコミュニケーション力で、的確にゴールへ導いてくれました。

徳島県徳島市に本社を置く株式会社徳島データサービスは、ISMS/ISO27001の認証取得に向け、LRMにコンサルティング業務を委託し、2012年8月17日に認証を取得しました。ISMS認証取得による成果、LRMのコンサルティングに対する評価について、執行役員 金澤敏裕氏と、システム管理業務担当者である、業務部 システム技術課 課長代理 赤澤正道氏に、お話をうかがいました。

(株式会社徳島データサービスについて)

徳島県徳島市に本社を置き、データエントリー受託業務、管理運営受託業務、人材派遣業務を3つの柱として事業を展開している。徳島県庁、香川県庁をはじめ、公共団体および県内有力企業との取引を軸に、業務の正確性および迅速性、さらに情報セキュリティへの取り組みが評価され、安定した経営基盤を築いている。取引先は、四国エリアにとどまらず全国へと広がっている。
設立:1980年10月。本社:徳島市。従業員数:約250名。

LRMのコンサルティングで実情に応じたISMSを構築

— 御社が、LRMに依頼した業務内容を教えてください。

ISMS/ISO27001(以下、ISMS)認証取得コンサルティングを依頼しました。LRMのコンサルティングによって、弊社の実情に即し、将来に渡って運用を維持・拡大していけるマネジメントシステムを構築することが出来ました。
コンサルティングを依頼したのが2011年12月で、認証取得は2012年8月17日です。

ISMS認証を取得した理由

— ISMS認証を取得した理由を教えてください。

弊社は、経営理念の実践と事業継続のためにISMS/ISO27001認証を取得しました。

弊社の経営理念は、「お客様第一主義で情報化社会に貢献する」ことです。
この経営理念を実践するためには、データエントリー受託業務でお預かりするデータや、管理運営受託業務で操作するシステムなど、お客様の情報資産、そして弊社が保有する経営資源としての情報資産を、あらゆる脅威から保護し、適切に活用しなければいけません。

近年は情報セキュリティへの関心が高まっており、弊社の取引先からの絶対評価においてもプライバシーマークやISMS認証取得が大きなウェイトを占めるようになりました。特に公団体では、プライバシーマークを取得していることは、入札の必須条件となる場合もあり、弊社においても2006年に取得しました。近年はさらに、案件によってはISMS認証取得が高評価につながるケースが増えており、必須ではない場合でも、認証があれば有利に働きます。
このような事情があり、ISMS認証取得を決めました。

目的まで的確にリードしてもらえる専門家が不可欠

徳島データサービスに届いたISMS/ISO27001証書

徳島データサービスに届いた
ISMS/ISO27001証書

— ISMS認証取得にあたってコンサルタントのサポートを受けたのはなぜですか。

社内にISMSの専門家が在籍していないからです。ISMS認証取得という目的にたどり着くまで、的確にリードしてもらえる専門家の存在は不可欠でした。

主に3つの目標がありました。しかし、いずれも実現の可能性は漠然としていました。

(1)自社の実態に合った可用性のあるマネジメントシステムの構築
ISMSは、認証取得が最終目標ではありません。
取得後、PDCAを回しながら運用を維持していかなければいけません。
ISMS認証を取得するためには、 ISMS認証基準(JIS Q 27001:2006)の要求事項を満たす必要がありますが、以前から取り組んでいた弊社独自の情報セキュリティルールを変えずに、要求を満たすことが出来るのか、それとも大幅に変えなければいけないのか、そして来年度以降どのように維持させていけば良いのか、ということが全く想像できませんでした。

(2)認証取得期限は2012年8月
官公庁の場合、夏過ぎぐらいから次年度の事業が具体化していきますので、8月ぐらいに取得できれば良いという希望を持っていました。
しかし、コンサル選定の期間も含めて、10か月足らずでは不可能ではないかと考えていました。

(3)全社を適用範囲とする
認証取得の目的からすると全社を対象とすることが理想でしたが、管理運用受託事業は客先に常駐して行う業務のため、適用範囲に含めることは不可能ではないかと考えていました。

以上のような目標を実現するための課題は何か、または実現不可能であれば達成可能なゴールは何か、を明らかにし、そのゴールへ着実にたどりつくために、信頼できるコンサルタントのサポートが必要です。
そこで、2011年10月、まずはコンサルタント会社の選定からスタートしました。

明るい人柄とISMSに関する実績を総合的に評価してLRMを選定

幸松さんのコンサルティングには絶対的な安心感がありました

幸松さんのコンサルティングには絶対的な安心感がありました
(執行役員・金澤敏裕氏)

— コンサルタント会社の選定は、どのように行いましたか。

まず情報収集から始めました。弊社の親会社であるテック情報株式会社では、弊社に先んじてISMS認証を取得した経験があり、そこでISMSの取得や運用に関わっている関係者から情報を集め、コンサルティング会社を何社かピックアップしました。
そして、実際に会って話しを聞き、見積もり、実績などを参考にしながら、LRMを選定しました。

— LRMを選定した決め手は何だったのでしょうか。

弊社のコンサルティングを担当した幸松さんの明るい人柄と、情報セキュリティコンサルタントとしての業務実績です。

人柄については、面談の際の受け答えが明快で、円滑なコミュニケーションが図れる方であると判断できました。コミュニケーション能力は、業務を進めていく上では非常に大切です。
業務実績については、幸松さんはコンサルタントとしてだけではなく、審査員としても活動しており、様々な現場をご覧になられています
そのことから弊社の実情に即し、なおかつ持続的に運用していけるマネジメントシステムの構築が可能となるという期待がありました。

以上が、LRMにコンサルティングを依頼した主な理由です。正式な依頼をしたのは2011年12月です。

希望通り8か月間でISMS認証取得に成功

— まず、コンサルティングの成果から伺います。取得時期と適用範囲について当初抱いていた希望は実現しましたか。

はい。全社を適用範囲として、2012年8月に認証を取得することが出来ました。

適用範囲については、幸松さんとの最初の打ち合わせ時に、幸松さんの言葉で全社での取得が可能である旨が確認できました。

取得時期に関しては、希望していた2012年8月取得を目指したスケジュールを組んでいました。
準備期間、審査期間などを考慮すると8月中に確実に取得できる可能性は未知数でしたが、3月に文書作成が完了した時点で8月までの取得が現実味を帯びてきました。そして、8月17日に認証を授与されました。

— 構築したマネジメントシステムはどのようなものですか。

従来の業務フローを踏襲したマネジメントシステムが出来ました。ISMS認証を取得するために新たに作り直したのではなく、これまでのルールをより具体的に明文化・システム化したマネジメントシステムなので、ある日突然、大幅に業務フローが変わって従業員に負担を強いるようなことはありませんでした。3月にルールが決まって5か月間運用してきましたが、弊社にとって適正なシステムになったと実感しています。

133項目をじっくり検討し、従来の業務フローに沿ったマネジメントシステムを構築

— ISMS認証取得のコンサルティングはどのように進みましたか。

12月にコンサルティングをLRMに依頼して、本格的にスタートしたのが1月です。
そこから2か月かけて情報資産の洗い出しと詳細管理策133項目の検討(ベースラインリスク分析)を行いました。

特に重要だったのは、詳細管理策133項目の検討です。
幸松さんのヒアリングに回答する形で、一つ一つ検討していきました。そのために幸松さんには5回ご来社いただきました。
12月のスタート時点では、どんな情報セキュリティ体制が出来るかは未知数でしたが、この段階で骨子が出来上がりました。この工程にじっくり時間をかけたことで、要求事項に無理して合わせるのではなく、弊社の業務フローに沿ったマネジメントシステムを構築することが出来ました。

その後、リスク分析などを経て、幸松さんに内部規定・様式など、審査や日々の運用で必要となる文書類を作成してもらいました。

— 御社では、どのようなものが情報資産としてリスト化されたのでしょうか。

弊社の情報資産は、データエントリー業務で顧客から預かる情報と、それらを処理するための社内の機器類、サーバーなどが主です。管理運営受託業務では出向先で業務を行うため、社内に情報を持ち込みませんので、同業務に従事している従業員に対する教育が中心です。

システム管理業務が大幅に改善

世代が近いこともあって、幸松さんはとても親しみ易く、話もしやすかったです

世代が近いこともあって、幸松さんはとても親しみ易く話もしやすかったです
(業務部 システム技術課 課長代理・赤澤正道氏)

— 御社の社内で行った作業にはどのようなものがありましたか。

文書作成後、ルールを実施計画書に基づいて現場に落とし込んでいく作業です。前述した通り、今回構築したマネジメントシステムは、普段の業務フローとかけ離れたルールにはなってはいません。そこで弊社内で行った作業は、主に社内の整理と、システム管理上の対策です。

社内の整理に関しては、オフィスの中の業務資料やメディアなどだけではなく、倉庫の整理整頓を行いました。捨てたゴミは2~3tぐらいありました。ISMS認証の取得は社内を整理する良い機会にもなりました。

システム管理上の対策とは、具体的にはデータのバックアップ体制の構築、パソコンなど機器類の台帳作成、社内LANへのActive Directory導入です。
中でも最も重要だったのは、Active Directory導入です。これによって、社内のLANにつながったパソコンを一元管理できるようになりました。例えばスクリーンセーバーの設定、パスワードの変更など、管理者側で一括して操作できるようになり、システム管理業務が非常に楽になりました。

以前からActive Directoryそのものは知っていましたが、そんなに簡単に出来ると考えていませんでした。
しかし、幸松さんから導入方法を教えていただき、さらに弊社と同じ規模の企業でISMSに取り組んでいる企業の大半はやっているというご指摘をいただき、導入しました。
構築作業は、一部苦労する部分はありましたが、それも良い経験になりました。
システム管理者にとってはActive Directoryの導入が、ISMS認証取得に向けた取り組みの中では最大の成果だったと感じています。

従業員教育、内部監査、マネジメントレビューに関しては、これまでプライバシーマークで経験しているため、弊社で行うことが出来ました。
審査に向けては、模擬審査を幸松さんに行ってもらいました。本番よりも厳し目の対応をしていただいたため、本番の審査が大変楽に感じました。

LRMのコンサルティングには絶対的な安心感があった

これは良いこれはダメとはっきりと物を言う方なので、こちらも迷うことがなかった。回り道することなく認証取得にたどりつきました

これは良いこれはダメとはっきりと物を言う方なので、こちらも迷うことがなかった。回り道することなく認証取得にたどりつきました
(左:赤澤氏、右:金澤氏)

— LRMのコンサルティングに対するご評価をお聞かせ下さい。

LRMの幸松さんのコンサルティングには、絶対的な安心感がありました。ISMSに関しての深い知識、明るい人柄、そしてポイントを絞った的確なアドバイス。言葉を濁したりせずに、こちらにとって耳が痛いようなこともはっきりとおっしゃいますので、我々自身、何をしなければいけないか理解しやすく、大変動きやすかったです。
一般的なコンサルタントのイメージとは大きな違いがありました。

また、対応の迅速さも印象的でした。どこにいても、連絡したらすぐに返事が返ってきました。審査間近の時期に夜中の時間帯でも対応してもらうことがありました。

幸松さんのコンサルティングによって、回り道することなく目的にたどり着くまで的確に導いていただきました。

今後のビジョン

— 情報セキュリティに関する今後のビジョンを教えてください。

今回、現時点の弊社にとって最適なマネジメントシステムを構築することが出来ましたが、今回はリスク対応を見送った点もあります。
今後は、日々の運用の中でしっかりとPDCAのサイクルを回し、より詳細なリスク分析、リスク対策を立てながらISMSの運用を維持し、業務改善を続けていきたいと考えています。

また、プライバシーマークとISMSの統合も今後の課題の1つです。
統合する際には、幸松さんにサポートしていただくことになるでしょう。そういったことも含めて、LRMには今後も様々なアドバイスをいただければと考えています。

ISMS運営メンバー

金澤様、赤澤様、お忙しい中、有り難うございました。
※中央は当社代表・幸松

株式会社徳島データサービス様のWebサイト
※ 取材日時 2012年9月

  • 情報処理サービス
  • 人材サービス・派遣
  • 入札への参加
  • 既存の社内規程/文書類を活かす
  • 200~499名
  • 徳島
  • 複数拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら