株式会社エスエヌシー 様 – 顧客事例 –
株式会社エスエヌシーは、西日本テクニカルセンターの新設を機に、ISMS/ISO27001認証を新規取得しました。
認証取得までの経緯や、認証取得コンサルティングを委託したLRMへの評価などについて、取締役・中近芳樹氏、顧問・熊谷勝夫氏にお話しをうかがいました。
記事index
(株式会社エスエヌシーについて)
企業・官公庁・学校などに対する、ITシステム運用のヘルプデスクやテクニカルサービスなどのBPO、インフラ構築・運用・保守といったシステム運用サポートを軸に業容を拡大してきた。現在はITマネージメント事業、Webシステム(ECサイトや業務システム、スマートフォンアプリなど)の開発・制作を受託するWeb事業、パソコンデータ消去サービスやパソコンの買い取り・販売を行うリユース事業の3本柱で事業を展開する。
2012年のWindowsXPサポート終了を機に法人需要が増加したリユース事業においては、大手企業に求められる基準を満たした高度なセキュリティ環境を整備し、キッティングやデータ消去などを行う。販売するリユースPCでも高品質を実現しており、1年から3年の長期保証を標準装備している。
Web事業では、デザインを含めた全工程を内製で手掛け、EC運営の支援(在庫管理や商品発送など)をはじめとするビジネス全般の課題にも対応。クライアントにおけるIT活用を一気通貫でサポートする事業展開で持続的な成長を遂げる。設立;1997年7月。従業員数;約100名。本社;大阪市。
LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング
– LRMへのご依頼内容をお話ください。
株式会社エスエヌシーは、LRMにISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。LRMの担当者は吉村さんです。2015年6月にコンサルティングがスタートし、2016年3月21日付で認証を取得しました。また、認証取得完了後は、初めての更新審査に向け、運用保守サポート『情報セキュリティ倶楽部』の契約を結びました。
受託業務の拠点整備をきっかけとして、ISMS/ISO27001認証を取得
「融通の利いたサポートができるコンサルティング会社を探しました」
顧問 熊谷勝夫氏
– ISMS認証を取得した理由をお話下さい。
弊社がISMS認証を取得した理由は、お客様のセキュリティを担うビジネスを行う企業として万全なセキュリティ体制を整備するためです。また、大手企業、官公庁などを中心に、取引または入札の条件とされることも1つの要因です。
具体的な取り組みを始めたきっかけは、2014年7月の西日本テクニカルセンター開設です。PCを導入するためのキッティングや保守、修理、データ消去などの業務委託が増えるにつれ、特に大手企業のお客様から、物理的なセキュリティが保たれた環境整備を強く求められるようになりました。そこで本社に併設する形で、法人向けのテクニカルセンターを開設しました。同センターは、大手企業のセキュリティ基準に則ってハード環境やオペレーションを整備してはいますが、そのような施設を適切に運営するためには、マネジメントルールの整備も必要です。そこで、同センターの運営体制整備の一環として、また、キッティングやデータ消去などの業務全般に関わる統一ルールを定めるために、ISMS認証を取得することにしました。
– 認証の適用範囲を教えてください。
新規取得にあたって、適用範囲から外した部署は、Webシステム開発部門と、BPO部門のヘルプデスクおよびコールセンター業務、それから名古屋オフィスです。
ヘルプデスクとコールセンターはお客様の下に常駐して業務を行います。常駐先のルールに沿って仕事をするため、現状では不要です。Webシステム開発は、ISO27001の規格の、開発の項目のハードルが高く、現状では対応が困難であると判断しました。名古屋オフィスは、企業からの受託を行う拠点でもありますが、仮オフィスで、なおかつ近々移転を計画していたため外しました。優先度の高いところからスタートしましたが、いずれは全社に拡大したいと考えています。
融通の利いたサポートに期待してLRMと契約
– ISMS認証取得に向けた準備としてはどのようなことをされましたか。
認証取得に向けてまず行ったことは、ISMS事務局の立ち上げです。認証範囲に含まれる部門の責任者5名でISMS事務局を組織しました。その上でISMS認証を取得するために必要なアクションを洗い出しました。
弊社はISMSに先立ってプライバシーマーク(以下、Pマーク)を取得しています。当初考えたことは、Pマークをベースに、ISMSの要求を満たしていない部分を補うような形で準備ができるのかどうか、ということです。もしそれができるなら自主取得も可能ではないかと考え、事務局メンバーで調査・検討しました。しかし2つの認証制度は規格が異なることもあって自主取得は困難であると判断し、LRMにコンサルティングを依頼しました。
– コンサルティング会社選定の経緯をお話しください。
インターネット検索で選定したコンサルティング会社や、過去に何らかのつながりがあった会社などに声をかけて話を聞き、最終的にLRMを含む2社に絞り込みました。両社に提案書と見積もりを作成してもらい、サポート内容とコストを比較検討して、最終的にLRMに決めました。
– 選定の決め手をお話しください。
選定にあたって吟味したのは、主に次の3点です。
(1)対応力
弊社では、ISMS認証を取得するための専任担当者を確保することは困難でした。そこでルール作りやドキュメント作成をスムーズに行うために、事務局メンバーを上手くリードしてそれぞれが持っている業務知識やノウハウを引き出していただけるかどうか、また、イレギュラーな相談にも柔軟に対応していただけそうかどうかという点を重視しました。
(2)コンサルティング実績
特に弊社の事業に近い業種のサポート実績を考慮しました。
(3)取得後のサポート
今回は認証の適用範囲を絞りましたが、将来的には適用範囲を拡大することを視野に入れています。また、1年ごとに継続審査を受ける必要もあります。そういった観点から、認証取得後も継続的なサポートしていただけるかを考慮しました。
各コンサルティング会社の担当者と実際にお会いした際の受け答えや提案書、さらにホームページに記載された内容などを総合的に評価した結果、訪問回数に制限がないことなど、融通の利いたサポートをしていただけると期待してLRMを選定しました。もちろん、長い付き合いになるので、スキルだけではなく、コンサルタントの人柄も勘案しました。偶然ではありますがオフィスが近いということも安心材料でした。
LRMのサポートによるISMS/ISO27001認証取得までの経緯
「長いお付き合いになるのでコンサルタントの人柄も選定の基準として重視しました」
取締役 中近芳樹氏
– 認証取得に向けた準備はスムーズに進みましたか。
全体的にスムーズに進みました。コンサルティングが始まる際に、吉村さんが抑えるべきポイントとスケジュールを明確に示してくれたため、安心して取り組むことができました。
ISMS認証取得に向けた準備の中で時間をかけたのは、情報資産の洗い出しから、ISMSの詳細管理策114項目の検討、情報資産に対する詳細リスク分析、ドキュメント作成までの工程です。認証範囲となった部門を対象に棚卸をして紙の書類から電子媒体まであらゆる情報資産を洗い出し、それぞれどのようなリスクが潜んでいるのかを検討し、ISMSの規格と照らし合わせながら対策を決めてドキュメントを作成しました。
そこまでに要した期間は約3か月間です。2週間に1回ぐらいの頻度で吉村さんと打ち合わせを行い、事務局メンバーへのヒアリングを通して、引き出していってもらいました。そして、そこで決まった対策を、ドキュメントにまとめていってもらいました。
– 業務フローの変化など、現場の業務への影響はありませんでしたか。
業務フローは従来と大きくは変わっていません。何か新しいルールや規制を設けたというよりも、基本的には、従来現場で行っていた業務フローやルールを、ISMSの規格に沿って整理し直し、それを明文化していったイメージです。
– 認証取得に向けた準備を通して、ご苦労はございませんでしたか。
事務局メンバーは、本来の業務と並行して作業していたので、その分、負担は増えました。しかしLRMのリードがあったため、やるべきことは明確で、判断に迷うことなく粛々と作業を進めることができました。あえて挙げるとすれば、関東商品センターのセキュリティ体制の改善に手間がかかったことぐらいです。
関東商品センターはもともと、リユースPCを個人向けに商品化して発送するところまでを中心に行う拠点ですが、最近はキッティングやデータ消去など企業の受託業務も増えて来ています。ただ、最初から大手企業のセキュリティ基準に則ってハード環境やオペレーションを整備した西日本テクニカルセンターとは異なり、セキュリティレベルが全体的に追い付いていませんでした。吉村さんに現地を視察してもらった際に、その点をご指摘いただいたため、ISMSの要求を満たすための課題を整理してもらった上で、改善策を決め、順次対応していきました。手間と時間はかかりましたが、吉村さんのサポートがあったため、着実に作業を進めることができました。
– 従業員教育は、どのような方法で行いましたか。
従業員教育は、認証の適用範囲の部署に限定したものと、全社を対象にしたものと2通りあります。
そもそもISMSとは何か、なぜこのような認証制度が必要なのかといったISMSの基礎に関しては、適用範囲の部門を対象にLRMのeラーニングシステム『LIXIS』を活用して行いました。
eラーニングではPマークの教育も行いました。こちらは将来、ISMSの教育と一本化することを前提として全社員に対して行いました。
また、ISMSやPマークに限らず、業務を行う上で大切な心構えに関する啓蒙も全社を対象に行いました。お客様から預かる情報の大切さ、それらを扱う際の注意点、日常業務におけるクリーンデスク、クリーンオフィス、外部記録メディアの取り扱いなど、常識としては理解していてもつい、流してしまっているようなことをしっかり意識化して励行することを再確認しました。これは、全社員にメールでテキストを送って読んでもらった他、拠点ごとに各部門の責任者や事務局メンバーを集めて講義形式でも行いました。
教育の後は内部監査です。各部門の責任者がお互いに監査員を分担しあって行いました。そして問題点を洗い出して改善策を立てて実行していきました。
– 審査はいかがでしたか。
審査は思った以上にスムーズにいきました。指摘事項はなく、1次審査で軽い観察事項が3つありましたが、次審査までにすべてクリアし、3月の認証取得へと至りました。
クリーンデスク、クリーンオフィスが習慣として定着
– ISMS認証取得を通して得た成果をお話しください。
現時点における最大の成果は、クリーンデスク、クリーンオフィスが習慣として定着したことです。明らかに社員の行動が変わりました。行動が変わったということは意識も変わったという証です。ISMS認証取得の目的はひとまず達成できたと考えています。
今後の課題は、今回構築したマネジメントシステムを継続してしっかり運用していくことです。そのために確認票を作成して、事務局メンバーが担当を振り分けながら、定期的な振り返りを行っています。そのような取組を通して、すでにいくつかのルールを改善しました。USBなどの外部メディアの扱い方など、もともとあったルールをより徹底したものに変えて、申請書もリニューアルしました。
このような取り組みを進める一方、会社案内や名刺を、ISMSの認証マークを印刷したものに作り変えています。対外的なアピールにも積極的に活用していきたいと考えています。
柔軟性のある対応力、リードの適切さを評価
– LRMのコンサルティングはいかがでしたか。
期待通り、いたるところで融通を利かせた対応をしていただきました。社内で作業を進める際に困ったことがあった時も、連絡すると時間をとっていただける。一般的には、最初に価格が決まると、その範囲で訪問回数も決まり、回数が増えると追加料金が発生します。しかしLRMの場合は「来週来て欲しい」と連絡すると無条件で来ていただける。我々のリクエストに、レスポンス良く柔軟に対応していただけたことに感謝しています。
また、リスク対策を決める際のリードも適切でした。対策を考える中で我々が悩んでいると、結論を押し付けるのではなく、参考となる事例をいくつか示してくれました。それをヒントにして、あくまでも我々が主体となり、納得のいく答えを見つけることができました。
「LRMとの協業でマイナンバー対応のサポート・サービスを開発しています」
中;熊谷氏、右;中近氏
LRMへの今後の期待
– 運用保守サービス『情報セキュリティ倶楽部』も契約されたそうですね。
まずは1年間の運用保守契約を結びました。今年は取得後初めての継続審査を迎えます。それまでに名古屋オフィスが確定する予定なので、認証の適用範囲に追加したいと考えています。状況が変わった中での継続審査となるため自社では対応が難しいと感じています。
また、LRMの運用保守サービスでは、ISMSだけではなく、Pマークも併せて相談することができます。Pマークの次回の審査は今年の夏ですが、今回はマイナンバー制度への対応が求められます。難易度が高いことに加えて、時期も差し迫っているためLRMにサポートしていただきたいと考えています。
– LRMへの今後のご期待があればお話し下さい。
目標としては、いずれISMSを全社に拡大していきたいと考えていますので、来年以降も自社での解決が難しい課題が発生した際には、サポートをお願いしたいと考えています。
また、ISMSやPマークの運用とは別件で、弊社とLRMの事業には接点が多いため協業関係が結べると考えています。弊社のお客様の中には、弊社同様、マイナンバー制度への対応で困っている企業が多数存在しています。そういった企業様向けのサービス開発を、LRMと一緒にいくつか進めているところです。
この件はコンサルティングが進む中でこちらから相談をして話が進んだものですが、このようなところでもLRMの柔軟な姿勢が感じられます。今後も様々な形で、継続的なお付き合いができればと考えています。
株式会社エスエヌシー様、お忙しい中有り難うございました。
株式会社エスエヌシー様のWebサイト
※ 取材日時 2016年4月
- ITインフラ支援
- Web制作・運用
- 入札への参加
- 社内の運用を変えない
- 50~199名
- 大阪
- 複数拠点