ジェイティ エンジニアリング株式会社 様 – 顧客事例 –
2013年9月、ジェイティ エンジニアリング株式会社は内部統制を目的として、JTグループで初となるISMS/ISO27001認証を取得しました。認証取得までの経緯と、そこでLRMが果たした役割、そして今後について、ISMS担当者を兼ねるシステムインテグレーション部 企画開発チーム 福田敏博氏に伺いました。
記事index
日本たばこ産業株式会社100%出資のエンジニアリング会社。生産設備におけるエンジニアリング、生産情報システムの構築、生産施設の設計・施工など、モノづくりに不可欠なソリューションをワンストップで提供している。JTの工場施設で培った経験やノウハウ、技術力を駆使し、エンジニアリング、システムインテグレーション、建築の3事業の融合によって、予算、性能、耐久性、将来的な拡張性などを踏まえたトータル生産システムを提案している。
設立;1987年。本社;東京。従業員数;約220名(2013年10月現在)。
ISMS/ISO27001の新規認証取得のコンサルティングを依頼
— 御社がLRMに委託した業務内容をお話しください。
弊社は2012年6月上旬、LRMに、ISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。担当コンサルタントは村田さんです。弊社内のISMS事務局と村田さんとの共同作業により、2013年9月、無事に認証を取得することが出来ました。
ISMS認証取得の背景と適用範囲
同社が開発するMESパッケージソフト『Joyシリーズ』。
短期間・低コストで、信頼性の高い生産情報システムの構築が可能。
— ISMS認証を取得した理由をお聞かせください。
弊社は内部統制の一環としてISMS認証を取得しました。
背景には2つの要因があります。1つは弊社内での動きで、もう1つはJTグループとしての動きです。
弊社内の動きとは、ISOへの取り組み強化です。弊社は1998年9月に環境マネジメントシステムの国際規格・ISO14001認証を取得しましたが、今後さらにISOの取り組みを強化していこうという方針を掲げていました。その一方で、JTグループ全体の動きとして、PCやアプリケーションソフトを統一するなど情報セキュリティに関連する取り組みを行っていました。グループ内の取り組みは特にISMS認証取得を目指したものではありませんが、弊社内におけるISOの取り組みにより情報セキュリティを強化するという方向性が重なったため、ISMSの認証取得を目指すことになりました。
— ISMSの適用範囲を教えてください。
今回は、システムインテグレーション部と管理部の2部署を適用範囲としました。
弊社の組織は、安全管理室、管理部、営業部、エンジニアリング部、建築部、北関東支店、東海支店、関西支店、九州支店の体制で事業を行っています。このうちシステム受託開発やパッケージソフト開発を行うシステムインテグレーション部と、社内業務システムのインフラを管理している管理部は、顧客からのセキュリティ要求が高く社内システムの管理等重要な位置づけにあります。またシステムインテグレーション部約30名、管理部10名と比較的小規模であるため導入しやすいということもありました。まずは優先度が高く、導入しやすい部署からスタートして、徐々に他部署へと運用を拡大していく計画で認証を取得しました。
ISO14001認証取得の経験を踏まえ、外部コンサルティング導入を決定
— ISMS事務局はどのように編成しましたか。
システムインテグレーション部、管理部、それぞれで部内管理を行うメンバーを3名ずつ選出し、合計6名で編成しています。
— 福田様は、ISMS事務局のメンバーに任命されたことについて、どのように感じておられましたか。
私自身のスキルアップにつながると感じました。私は、たばこ自販機のTASPOシステム開発に長期間携わっていたことがあり、情報セキュリティの技術的な側面は熟知していました。しかしISMSのマネジメントシステムに関わった経験はなかったので、今回のISMS認証取得は良い経験になりました。
— 外部のコンサルティングを導入した経緯を教えていただけますか。
事務局をスタートさせた当初、自前で取得するのかコンサルティングを活用するのかを議論しました。ISO14001の認証は自前で取得しましたが、その時はかなり苦労して取得した経験がありました。また、事務局メンバーはそれぞれ細かい日常業務を抱えていますので、コンサルタント会社に依頼した方がスムーズに確実に取得できるだろうという結論に至りました。
インターネット検索で何社かのコンサルタント会社を候補に選び、面談を経て、最終的にLRMに依頼しました。
選定のポイントは「パートナーシップが築けるかどうか」
— LRMを選定の候補に挙げた理由をお話しください。
ホームページがどこのコンサルティング会社よりもダントツで綺麗であることが挙げられます。
デザインが整理されていて印象が良かったので候補に挙げました。
コンサルティングの内容が充実しており、実績が豊富なことが一目でわかりました。
— 何社かのコンサルティング会社をピックアップして、最終的に委託先を選定していく上で重視したことは何ですか。
選定にあたって私たちが重視したことは、パートナーシップが築ける相手かどうかです。認証取得まで長期間にわたって何度も顔を合わせ、連絡を取り合いながら作業していかなければいけません。その作業を円滑に進められそうな会社を選定しました。
— その中で最終的にLRMに業務を委託した理由をお話しください。
LRMが最も信頼して業務を委託できると感じたからです。
委託先を選定するにあたっては、LRMを含めて全部で5社と面談しましたが、その中でLRMは最も信頼できるコンサルティング会社でした。選定段階で代表の幸松さん、コンサルティングを担当する村田さんと面談しましたが、2人ともコミュニケーションが取りやすく、十分な実績がありましたので、安心して任せられると判断しました。
業務に負担がかからないマネジメントシステムの構築を目指した
LRMとのパートナーシップは今後も発展させていきたい
(システムインテグレーション部企画開発チーム・福田敏博氏)
— ISMS認証取得にあたって、あらかじめ意図していたことはありますか。
事務局をスタートさせたときに考えていたことは主に2つあります。出来るだけ業務に負担がかからないシンプルなマネジメントシステムを構築することと、2012年度内の認証取得です。
このうち取得時期については、当初、2012年度の運営方針により2013年3月での取得を目指していましたが、途中からISO14001の更新審査のある2013年9月に合わせることに変更しました。将来的にISO14001とISMSを統合運用することがあった場合にやりやすいと考えたからです。
マネジメントシステムに関しては、ISO27001で規定された要求事項を満たす必要がありますが、弊社の実態に合わない部分はそぎ落として、業務フローも出来るだけ変えずに済むようなマネジメントシステムを作りたいと思っていました。
そのために考えていたことは、社内マニュアルや手順書など審査で必要な文書類のテンプレートを用いて、それを弊社の実態に合わせてアレンジしていく方法です。ISO14001の時は全て自前で、複数の社員が分担してマネジメントシステムを構築しましたが、その際にだいぶ苦労したため、今回はもっとスムーズに構築していきたいと考えました。
実際に今回のISMS認証取得においては、村田さんに提供してもらったテンプレートをベースに社内規定などの文書類を作成していきました。
LRMのサポートでスムーズに認証取得が完了
— LRMのコンサルティングは、どのような内容でしたか。
LRMのサポートはISMS認証を取得するまでの全行程に及びました。その中で特に重要な役割を果たしたのはリスクアセスメントと文書作成のフェーズです。
リスクアセスメントは規格を理解する上で大変重要なフェーズでした。村田さんのコンサルティングは、このリスクアセスメントの中で、ISMSの詳細管理策133個をじっくり検討することからスタートしました。133個について1つ1つなぜこのような管理策が必要なのかを説明してもらいながら、マネジメントシステムのルールを決めていきました。
次に、文書作成では、リスクアセスメントで決まったルールを村田さんに頂いたテンプレートに当てはめていく作業を弊社側で行いました。そして作成した文書を村田さんにチェックしていただいて、修正を繰り返しながらブラッシュアップする、という流れで進めました。
リスクアセスメントに約2か月、文書作成に約3か月をかけました。この期間は2~3週間に一度の間隔で、村田さんにご来社いただいて、打ち合わせを重ねながら進みました。文書作成は、作業した順番に村田さんにメールで送って、次回の打ち合わせまでに確認していただき、打ち合わせ時に修正箇所をご指摘いただきました。
以上のような流れで文書作成を行い、12月に第1版が完成し、情報セキュリティマネジメントシステムの運用をスタートしました。
— 文書作成以降はスムーズにいきましたか。
おおむねスムーズに進みました。第1審査の際に想定外のトラブルがありましたが、LRMによる審査対応のサポートもあって解決し、第2審査も無事に終えることが出来ました。
規格の要求事項は満たしつつ、自社の実情を反映しやすいテンプレート
— リスクアセスメントで決めたルールを、テンプレートに当てはめていく作業について詳しくご説明いただけますか。
審査に合格する文書を何もないところから作っていくことは非常に困難な作業です。そこで一般的には、文書作成の作業自体をコンサルタントに委託したり、テンプレートを用いたりして文書作成をします。弊社の場合は、テンプレートを用いて文書作成を行いました。
テンプレートには要求事項を満たすために押さえるべき点は全て網羅されていますが、個別の企業の実情は反映されていません。そこで、要求事項を満たしたまま、自社の実情に合わせて不要な箇所を削除したり、表現を変えたりする作業が必要となります。要求事項の中には、自社にとって不要な規定もありますが、要求事項として定められた規定は削除できません。その場合、現実の業務の中でどう対処するのかは非常に難問ですが、今回は、事前に村田さんからじっくりと規格の説明を受けていたこと、テンプレート自体が理解しやすかったこと、そして迷った時には村田さんにメールや電話で相談できたこともあり、順調に作業を進めることが出来ました。
— LRMのコンサルティングメニューには文書作成支援もありますが、文書作成をコンサルタントに任せずにご自身で行った理由を教えてください。
私たちは丸投げは良くないと思っていたからです。コンサルタントに丸投げすれば、私たちは楽が出来ますがそうやって構築したマネジメントシステムに対する納得感や達成感を感じることは出来ません。
そうなると当事者意識が持てず形骸化したシステムになってしまいます。
私自身、普段の業務でお客様のシステム開発プロジェクトにシステム・コンサルタントとして参加することがあります。その中で常々考えていることは、コンサルティングは、コンサルタントとお客様の共同作業であるということです。コンサルタントばかりが頑張っても意味がなくて、ある程度お客様側にも頑張ってもらわないと良い成果は生まれません。お客様自身も自分たちが頑張ると「自分がやったことでこういう結果になった」といった納得感を持てます。
今回のISMS認証取得においても村田さんからテンプレートは頂きましたが、自分たちの手で作業したことで構築したマネジメントシステムが「自分たちのものになった」という実感を持つことが出来ました。
その感覚は、今後ISMSを運用していく上で非常に重要だと考えています。
— 御社が目指していたマネジメントシステムを構築していく上で、LRMが提供したテンプレートは有効に活用することが出来ましたか。
はい。LRMのテンプレートは、自社の実情に即したマネジメントシステムを構築する上では、アレンジしやすいテンプレートでした。当然ISMSの要求事項は満たしていますが、規格の体裁や表現にはこだわらず読みやすさや理解しやすさを重視して作られていたため、自社に合わせて変更できる箇所と、変更できない箇所を判別することも難しくありませんでした。またテンプレートには各項目に結び付く規格の番号が明示してあったので、参照したいときにも便利でした。
他社のテンプレートを見ていると、使いづらいものが多いと感じます。その理由は、規格に忠実すぎるからです。ISMSの規格自体、項目の並び順が不自然で、難解な表現が多用されています。その規格に忠実に作成されたテンプレートはやはり読みづらくなり、ポイントを押さえてアレンジすることが出来ません。そのようテンプレートをベースに作成した文書類は、実際に運用する上でも使いにくいものとなるでしょう。
また、ISMSの規格は数年ごとに改定されますが、規格に忠実に文書作成すると、規格の改定のたびにこちらも大幅改定しなければいけなくなります。LRMのテンプレートは規格中心ではなく、ISMSを運用する私たちを中心に考えられたものなので、それをベースに文書作成しておけば、今後規格の改定に極端に振り回されずに済みます。
“顧客にしか出来ないこと”を明確に伝え、的確に導くLRMのコンサルティング
— LRMのコンサルティングに対するご評価をお願いします。
システム・コンサルタントと情報セキュリティマネジメントシステムのコンサルタントは、扱う対象は違いますが、コンサルティングという業務には、共通する部分が沢山あります。村田さんは、私自身が普段コンサルタントとして大事にしていることを、殆どそのまま実践していました。
コンサルティングはサービス業です。サービス業の品質には「結果の品質」と「過程の品質」の2つがあります。
ISMSの認証取得でいえば、認証が取得できることは「結果の品質」です。しかしサービス業では「結果の品質」が良くても、顧客が満足するとは限りません。サービス業の顧客満足度には結果に至るまでの「過程の品質」が非常に大きく影響します。「結果の品質」が特に高くないものだったとしても、過程がしっかりしていれば顧客満足度は非常に高いということもあり得るのです。
その「過程の品質」を損ねないために私自身気を付けていることは”顧客の立場に立つ”ことです。村田さんも規格の解釈を私たちに押し付けたりせずに、ISMS認証取得という目的に円滑にたどり着けるようにサポートしてくれました。
先ほど、コンサルティングは共同作業であるという話をしましたが、共同作業を成立させることは簡単なことではありません。失敗すれば「あのコンサルタントは何もしてくれない」という評価を受けてしまう可能性があります。
すると当然顧客満足は下がってしまいます。そうならないためには、コンサルタントは、自分が出来ることと顧客にしかできないことを明確に伝え、顧客が自発的に取り組めるよう導いていかなければいけません。村田さんはそれをしっかりやっていたと感じました。
お互いのノウハウを連携させて新しいビジネスをスタートする計画です
(右;福田氏)
今後もLRMとのパートナーシップを継続
— 情報セキュリティマネジメントシステムを構築したことによって社内に何等かの変化はありましたか。
ISMSの取得をきっかけとして社内の整理整頓ができたことが最も大きな変化です。以前から5S活動はやっていましたが徹底できないところもありました。ISMSの規格にはオフィス内の整理整頓が要求事項に入っているので、認証取得に向けてきれいに整理しました。特に不要な資料や機器類は3分の1ぐらいは捨てました。
— ISMSの運用に関して、今後のビジョンを教えてください。
今回は適用範囲を2つの部署に限定しましたが、次の更新では他の部署にも運用を拡大し、いずれは全社に適用していきたいと考えています。また、ISO14001との統合も検討しています。
— LRMへの期待をお話しください。
今回の認証取得の共同作業を通して、弊社とLRMはパートナーシップを築くことが出来ました。
今後もこの関係を発展させていきたいと考えています。
弊社のISMS運用とは別件で、現在、弊社とLRMの間で新しい事業を立ち上げる準備を進めています。情報セキュリティシステムに関連して、弊社は技術面のスキルを持っており、LRMはマネジメントのスキルを持っています。
そこでそれぞれのスキルを融合させたビジネスを展開する計画を、幸松さん、村田さんと一緒に立てているところです。来年の春にはスタートする予定です。
ジェイティ エンジニアリング株式会社様、お忙しい中、有り難うございました。
※写真左;弊社村田、右;弊社幸松
ジェイティエンジニアリング株式会社のWebサイト
※ 取材日時 2013年10月
- システム開発・運用
- 200~499名
- 東京
- 複数拠点