株式会社国際創研様 – 顧客事例 –

3か月でのISMS認証取得を目指しLRMにサポートを依頼しました。効率化のためのツール類、バックアップ体制などの仕組みが素晴らしかったです

株式会社国際創研は2019年1月、3ヶ月間でのISMS/ISO27001認証取得を目指し、LRMにコンサルティングを依頼されました。短期間での認証取得に踏み切った理由とプロジェクトの経緯、LRMのサポートを受けた感想などについて、代表取締役・平間浩二氏にお話しいただきました。

(株式会社国際創研について)

株式会社国際創研は、社会資本整備の計画や設計、維持管理を請け負う建設コンサルタントを主なクライアントとして、情報管理システムの受託開発を行うシステム開発会社である。企画、システム設計、システム構築、データベース構築、システム運用、保守をワンストップで提供する。GIS(地理情報システム)を活用した情報解析技術、膨大なデータベース構築と各種分析を同時に行える体制を強みに、環境・水道・道路・公共施設管理、さらに防災、除染などに利用される情報システムを提供している。
近年はこれまでに蓄積した技術を活かした自社サービスの開発・販売も開始。道路工事や水道工事、除染作業などにおける膨大な量の写真台帳作成を可能とする、施設点検・診断管理システム『PhoDoment(フォドメント)』、各種建設現場におけるスケジュール管理や労務管理、進捗管理、日報作成などを効率化するクラウド型の施工管理システム『らくらく現場』の2サービスをリリースし、施工会社など新たな客層を開拓中だ。
設立;1994年3月。本社;山形県米沢市。従業員数;8名(2019年6月現在)。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

株式会社国際創研は、2019年1月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。担当者は三崎さんです。

2月上旬から準備を始め、4月下旬には第2段階審査を受審し、5月第3週には認証書を受け取ることが出来ました。
依頼する前は、実質3ヶ月間という短期間で取得可能かどうか不安でしたが、三崎さんのサポートとLRMの会社としてのバックアップによって、最後までスムーズにプロジェクトを進めることが出来ました。

公的機関事業への申請要件を満たすためにISMS/ISO27001認証を取得

— ISMS認証を取得した理由をお話し下さい。

弊社がISMS認証を取得したのは、公的機関事業への申請要件を満たすことと、クラウドサービス『らくらく現場』を事業展開していく上で、情報セキュリティに関連する資格が必要だったからです。

弊社が開発・販売する『らくらく現場』は、就労者の勤怠管理機能としてGPS打刻機能を備えています。GPSを使うため不正な申告を防止することが可能ですし、スマートフォンで管理できるため大がかりな設備投資が不要であり、小規模な施工会社でも導入することが出来ます。弊社はこの『らくらく現場』を事業展開していく上で緊急にISMS認証かプライバシーマーク(以下、Pマーク)の取得が必要でした。当初はPマークの方が取得しやすいと考えていましたが、LRMに相談し、より広い範囲の情報資産を管理対象とするISMS認証を取得することにしました。

— 取り組み期間が実質3ヶ月間となった理由をお話し下さい。

『らくらく現場』のサービス機能実装の目処が立ち始めた2018年12月から認証取得の検討を始めました。
2019年春に本格的な事業展開を進めるために2019年1月から具体的に動き始め、3ヶ月間という短期間での取り組みとなりました。

審査会社の提案までしてくれたLRMに依頼を決定

『box』を使った文書の作成や共有が便利でした

『box』を使った文書の作成や共有が便利でした
(代表取締役・平間浩二氏)

— ISMS認証を取得するためのサポートをLRMに依頼した経緯と理由をお話し下さい。

LRMに依頼することになったきっかけは、弊社が契約している社労士事務所からの紹介でした。その事務所は過去にLRMのサポートを受けてPマークを取得していました。
一応、インターネットで他のコンサルティング会社を調査してはいましたが、じっくり選定している時間はありませんでしたし、信頼できる方からの紹介ですし、全く縁のない会社より失敗する確率は少ないと考え、LRMに依頼しました。

— 比較せずに紹介だけで決めることに対しては、ご不安はございませんでしたか。

契約する前に営業の方にお越しいただき話をしましたので、不安はありませんでした。
まず実績が豊富でしたし、PマークよりもISMSの方が弊社の事業内容に合っているといったアドバイスをいただいたり、審査会社のご提案をいただいたりしたことを含め、信頼できる会社であることは確認した上で依頼しました。

打ち合わせ回数2回で、3ヶ月間でのISMS/ISO27001認証取得を実現

— 3ヶ月間でのISMS認証取得は、ご苦労が大きかったのではないですか。

苦労した実感はありません。建設コンサルタントの案件では、様々な機密情報を扱います。建設コンサルタントがISMSやPマークを取得しているケースが多く、案件ごとに守秘義務契約を結び、定められたルールに準じて仕事をしていたことなどから、情報セキュリティマネジメントの土台はある程度出来ていました。そのため審査を受ける準備段階ではほとんど苦労することはありませんでした。

— そうすると、新しく作ったルールもありませんでしたか。

ありました。例えば次の4つです。

(1)PCのパスワードを英数混合の8桁以上で統一
(2)メールの添付ファイルにはパスワードをつけ、パスワードは別メールで送信
(3)離席の際はPCの画面をロック
(4)PCを社外に持ち出す際は肌身離さず管理

などです。これらは全て各自の責任においてやっていたことですが、今回のISMS認証取得を機に明文化し徹底することにしました。

— LRMとの打ち合わせは何回ぐらい行ったのですか。

ルール構築までの打ち合わせは2回です。2月上旬にリスクアセスメントを行い、下旬にほぼ1日掛けて文書のひな形を読み合わせしながら完成させました。通常であれば複数回に分けて行うマニュアルの読み合わせを1日で終わらせていただきました。

沢山のドキュメントを1日で作り終える大変さはありましたが、三崎さんにリードしていただけましたし、クラウドストレージ『box』を使うことで、打ち合わせ中も打ち合わせ以外でもリアルタイムにファイルを編集・共有できたので、
ストレスなくスムーズに作成し終えることが出来ました。

— 文書作成の後は、どのようなスケジュールだったのですか。

文書作成の後は次のようなスケジュールで進みました。

2月下旬~3月下旬……審査に必要な記録類の整備、従業員教育やルールの周知
3月下旬……1回目の内部監査
4月初旬……第1段階審査
4月中旬……2回目の内部監査および第1段階審査の指摘事項対応
4月下旬……第2段階審査

— 記録類の整備というのは、様式類の作成ということですか。

いいえ。様式類はLRMが用意したフォーマットがありました。それを使って入退室管理などの記録を取り始めるなど、構築したルールに基づいて、実際の運用をスタートさせたということです。

— 従業員教育はどのように実施されたのですか。

まず、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使い、ISMSの基礎を学びました。また、マネジメントレビューの場を使い、全従業員に対し、今回構築したルールの周知を行いました。今回は、社長である私が情報セキュリティ管理者を務めていますので話は早かったです。こういうことは社長がやるのが一番早いですね。

— 『セキュリオ』を使われたご感想をお話し下さい。

『セキュリオ』を活用することで従業員教育を効率的に実施することが出来ました。紙のテキストは、やらない従業員が出てきますし、そもそもやったかどうかも把握出来ません。『セキュリオ』は記録が残りますので、絶対にやらなければいけない状態になります。また学習の成果も一目瞭然です。実施状況が可視化されることが最大のメリットだと思います。

— 内部監査はどのような形で実施されましたか。

内部監査はLRMに内部監査員を代行していただきました。1回目は第1段階審査に備え、主に記録類が揃っているかどうかをチェックしてもらいました。2回目は第2段階審査に向け、現場においてルールの周知が徹底されているかどうかをチェックしてもらいました。いずれも外部審査を受けるに当たっての予行演習になりました。

— 第1段階審査、第2段階審査、いずれもスムーズに終了したのでしょうか。

第1段階審査の時は、ISMSの専門用語に慣れておらず、審査員の質問にうまく答えられない場面もありました。それでも審査員の方と会話をしつつ、どういうことを言っているのか確認しながら、なんとか乗り切ることは出来ました。
第2段階審査も致命的な指摘を受けることはなく、無事に終了しました。

SaaS自社サービス『らくらく現場』を安心して販売出来る体制が整備

— 今回、ISMS認証取得に取り組んだことで、副次的な効果はございましたか。

ISMS認証を取得したことで弊社の情報セキュリティ体制をアピールすることが出来るようになり、『らくらく現場』を安心して販売出来る体制が整備されました。

また、従業員の意識も変わりました。例えば、外出時には機器や資料はコンパクトにまとめ、必要最低限に留めるようになりました。余計なものを持って行けば、それだけ紛失したり、毀損したりするリスクが高まります。同様に社内の書類も不必要なものは破棄するようになりました。社内のドキュメント類もこれまでは捨てることにためらいが生じていましたが、今回ISMS認証を取得したことで、セキュリティルールに従い整理していく意識が生まれました。
それによって本当に必要なもの、処分すべきものを管理できるようになりました。

会社としてのバックアップ体制もストレスなくプロジェクトを推進出来る要因

— LRMのコンサルティングを受けたご感想をお話し下さい。

LRMはマニュアルなど文書類のフォーマットに加え、セキュリティ教育クラウド『セキュリオ』のeラーニング機能など、ISMS認証取得の工程を効率化するための様々な仕組みを持っています。またドキュメント類の作成や共有、管理に、クラウドストレージ『box』を活用していることも、プロジェクトを効率的に行う要因だと思いました。LRMとの打ち合わせの時だけではなく、審査でも審査員から指摘を受けたその場で修正することが出来たので、
抜け漏れが生じるリスクはありませんでした。

さらに会社としてのバックアップ体制が整っていることも良かったです。社内にコンサルタントをサポートする方がおり、三崎さんとのスケジュール調整など、取り組みを円滑に進めるためのサポートをしていただきましたので、ストレスを感じることはありませんでした。三崎さんも話しやすい方で、全体的に満足できるサポート内容でした。

次の維持審査でもサポートしていただければ心強いですね

次の維持審査でもサポートしていただければ心強いですね
(右;平間氏 ※左は弊社三崎)

不安は毎年の審査。継続的なサポートがあれば心強い

— 今後の課題がございましたらお話し下さい。

心配なことは次の維持審査です。ISMSの規格用語は今回の取り組みで大分慣れたとは思っているのですが、1年経ったらまた忘れているのではないかという不安は払拭できません。

— そういったご不安を抱える中、LRMに期待することはございますか。

やはり維持審査や更新審査を迎える際にサポートしていただければ心強いです。また、今後ISMSを運用していく中で、新しいリスクが生まれた時の取り組み方などもアドバイスしていただきたいです。

そこで弊社では、ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。また、『セキュリオ』も継続的に利用していく予定ですので、LRMには今後もサポートをしていただきたいと考えています。

株式会社国際創研様、お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。

株式会社国際創研様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※株式会社国際創研様のWEBサイト
※ 取材日時 2019年6月

  • システム開発・運用
  • クラウドサービス(SaaS)開発・提供
  • 受託開発
  • 入札への参加
  • 短期取得
  • 50名未満
  • 山形
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら