株式会社プロフェッショナルバンク様&株式会社エム・アール・アイ・ジャパン様 – 顧客事例 –
株式会社プロフェッショナルバンクと株式会社エム・アール・アイ・ジャパンは、LRMのサポートを受けてISMS/ISO27001認証をグループで取得しました。ルール構築にあたっての基本的な考え方とマネジメントシステムの具体的な内容などについて代表取締役社長・兒玉彰氏、経営管理本部 情報システム部・松本雅氏にお話を伺いました。
記事index
企業のコアとなる人材だが確保が難しいとされている技術/専門職及びミドルマネジメント層を中心に、転職潜在層(現職者)の中からリサーチするサーチハンティング事業、並びに経営/次世代経営人材を中心とした人材紹介/転職支援事業を手掛ける国内有数の人材エージェント。「働く人を通じて豊かな未来を創造する」という理念のもと、多様化する企業のニーズを捉え、企業成長を加速させるコア人材である「インパクトプレイヤー」の採用支援NO.1を目指す。
本社;東京都千代田区。設立;2004年8月。従業員数;約150名(グループ全体。2019年11月現在)。
世界最大級の人材サーチネットワーク・MRI-Networkの一員。世界に400オフィス以上1,500名を超えるコンサルタントが在籍。企業の戦略でグローバル化が重視されるようになる以前からグローバル人材に関するノウハウを蓄積。日本国内、海外を問わず、様々な国籍の人材サーチに対応してきたことが強みだ。2011年、グローバル対応を目的としてプロフェッショナルバンクが事業譲渡を受け、以降は、グループ会社として役割分担をしながらサービスを提供している。
本社;東京都千代田区。設立;2004年4月。
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
(兒玉氏) 弊社は、2018年7月上旬、株式会社プロフェッショナルバンクと株式会社エム・アール・アイ・ジャパンを適用範囲とするISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。LRMの担当者は大谷さんと小宮さんです。お二人のサポートを受けながら審査に向けた準備を進め、2019年10月初旬、ISMS認証を取得しました。(※以下、兒玉氏の発言は発言者の表記なし)
顧客の機密情報を守るためISMS/ISO27001認証を取得
— ISMS認証を取得した理由をお話し下さい。
弊社がISMS認証を取得した主な理由は、個人情報保護に加えて顧客保護です。弊社で発生する人材紹介案件は、いずれもクライアント企業の経営課題と直結しています。そのため弊社がお預かりする情報は機密性の高い情報ばかりです。特に現在、企業の経営課題は、技術革新やグローバル化、事業承継など、非常にセンシティブな内容のものが増えており、情報が漏れればクライアント企業に多大なる損失を与えかねません。弊社においても情報セキュリティの重要性がますます高まっていました。
— 人材系の企業様では、プライバシーマーク(以下、Pマーク)を取得されている会社が多いようですが。
人材サービスの会社が情報セキュリティ系の認証を取得する場合、Pマークを選択されることがほとんどです。弊社もPマークも視野に入れていました。ただ、弊社が扱う情報は個人情報だけではありません。クライアント企業の事業計画等も含まれています。そのような情報はPマークの対象には含まれません。同様に弊社がこれまで蓄積したノウハウも含まれません。弊社はグローバル対応もしていますので、国内法に基づくPマークではなく国際規格に基づいたISMS認証を取得しました。さらにマネジメントシステムを自社に合わせて柔軟にカスタムメイド出来る点もPマークではなくISMS認証を選択した理由の1つです。
— お客様からのご要望もおありだったのですか。
いいえ。お客様からの直接的な要請はありませんでした。あくまでも自主的な判断でISMS認証を取得しました。
ただし、以前よりお客様からお引き合いをいただく度に「絶対に情報を漏らされては困る」ということだけは念押しされていました。
— 御社のお客様は継続的なお取引が多いのですか。
幸いお客様の継続率が高いのが弊社の特徴の1つです。先ほども申し上げました通り、弊社は機密性が高い案件をお預かりしています。大手企業になると、人材紹介だけで数十社と取引しているケースが多いですが、弊社がお預かりするような案件はそんなに多くの会社に開示できる性質のものではありません。そのため弊社だけがお預かりしている案件が非常に多いのです。ご満足いただけなければ二度と声がかかりませんが、弊社の場合は継続していただくケースがほとんどです。特に技術革新やグローバルなどの場合、段階を追って進めて行きますが、最初の課題をクリアして次の課題に取り組む時になると、引き続き事情を把握している弊社にご相談いただいております。
ISMS認証取得は、そのような既存のお客様にとってもご安心いただける1つの材料になると考えました。
ISMSをブラッシュアップし続けるパートナーとしてLRMに依頼
— ISMS認証取得に向け、まず取り組まれたことは何ですか。
まずプロジェクトチームを組成しました。メンバーは松本を含む5名です。このプロジェクトチームがそのままISMS事務局を担いました。
— プロジェクトチームのメンバーはどのような基準で選定されたのですか。
弊社は社内で新しい取り組みを始める際には必ずプロジェクトチームを組成します。そのメンバーは本部の人間で構成されます。その中でも今回は特にITが最も重要であると認識していたため、情報システム部の松本を座長に据えました。
私は、昨今の情報漏洩事故はサーバーやPCに格納された情報が漏れているという認識を持っています。従って、データベースやハードウェアの知識を持った人間が座長を務めるのがベストだと考えました。
— ISMS認証を取得するにあたり、コンサルティング会社のサポートを受けた理由をお話し下さい。
ISMS認証を取得するだけではなく、毎年ブラッシュアップし続けられる体制を構築するためにコンサルティング会社のサポートを受けました。
私は、同じことが何年も変わらずに継続している状況には価値がないと考えています。世の中は変化します。
一番怖いのが技術の進歩です。とりわけIT技術の発展は、場所を選ばずに仕事が出来る社会を実現しました。働き方改革の波もありますので、弊社自体も様々な取り組みをしていかなければいけません。そうなった時に、従来のセキュリティレベル、管理レベルを問い直す必要が生まれますし、改善が求められます。継続していけばマンネリ化する可能性がありますので、それを防ぐために3年ごとにISMS事務局のメンバーは総入れ替えしながら進化していくことを目指しています。そういった活動を見越し、継続してサポートしていただきたいと考えてLRMに依頼しました。
— 他のコンサルティング会社との比較はされませんでしたか。
LRM以外のコンサルティング会社からも見積を取り、説明も受けましたが、一番寄り添っていただける印象があったことと、サポート実績の豊富さが決め手となりLRMに依頼しました。ISMSに関して我々は素人です。その素人がわからないなりに対応していくことに対して、どれだけ伴走していただけるかということが大きな要素でした。また、LRMは審査会社とのネットワークもありましたので、何かと有益な情報がいただけるのではないかという期待もありました。
不要な情報は受け取らず、社内文書は権限分けで漏れるリスクを排除
業務フローを見直したことで
現場の仕事の仕方は大きく変わりました
(代表取締役 社長・兒玉彰氏)
— これまで機密情報の取り扱いルールなどの社内ルールはございましたか。
業務マニュアルはありました。それはかなりの網羅性を持っていたという自負があります。ただしそれらは情報セキュリティに主眼を置いたものではなく、業務がスムーズに流れることを目的としたものでした。そういう意味では今回、現場の仕事の進め方はかなり変わりました。
— ルール作りはどのように進めましたか。
まず、LRMのサポートを受けることが決まった段階で、業務フローの確立に着手しました。誰の責任においてどのような業務が動いているのか、お問い合わせがあった際にはどのようなことを聞くのか、聞いてきた情報をどのように保管するのか、誰に伝えるのかなど、コンサルティング本部と呼ぶ営業系の部門のみならず管理系部門も含め、全ての業務フローを整理しました。その上で、業務上のリスクを洗い出し、それぞれのリスクへの対応方法を決め、チェック体制を確立していきました。
— 具体的にはどのような考え方で行われたのですか。
基本的な考え方としては、漏れるリスクのある情報を出来るだけ排除した上で、残った情報は仕分けして権限分けをしました。
情報の分類としてはまず紙とデータがあります。このうち紙に関しては、契約書以外、一切持たないことにしました。ドキュメント類のプリントアウトやコピー用紙、ファックス用紙などの裏紙のメモ書きを全面禁止しました。これによって紙の扱いで情報が漏れる可能性を潰しました。
— お客様との契約書はどうされたのですか。
契約書に関しては紙もデータもアクセス権限を2名に制限しました。現場の人間も契約書を交わすまでは責任を持ちますが、その後は一切触れられないようになっています。現場の人間は契約期間や要件などの契約内容を確認することは出来ますが、契約書そのものにアクセスすることは出来ません。
— 契約書以外の業務上発生するようなデータはどう管理されているのですか。
データに関しても、そもそも不要な情報はお預かりせず、必要最低限の情報も権限分けするという考え方です。
例えば企業と転職者の間で面談を進める中である程度のステージまで進んで行くと、転職者は事業計画などの機密情報に触れる機会も出てくるわけです。この時、両者の間で機密保持契約を結ぶことになりますが、そこに我々は介在しません。財務部長のようなポジションの方は、責任ある立場として入社する以上、過去の財務諸表は見たいわけです。
そこに弊社が介入すれば、漏れるポイントが1つ増えることになりますので、直接機密保持契約を結んで受け渡しをしていただきます。弊社は決まるまでのフォローやその他条件面のフォローなどに注力するというスタンスです。
機密保持契約さえ結べば、または相手の同意さえ得ればどんな情報でも預かって良いという発想自体が怖いと思っています。
— お客様との商談や、ヘッドハンティングのためのリサーチ情報、ヒアリングの内容などをまとめたようなドキュメント類はどうされているのですか。
それらも契約書同様、セキュリティレベルを分けた上で、アクセス権限を付与することによって閲覧、編集できる人を制限しています。転職者の情報に関しては最高レベルのものになると、コンサルタントとリサーチャー、該当部署のマネージャーの3名以外は社長もアクセス出来ません。入り口では不要な情報は極力預からない方針で縛り、アクセス権限などによって漏れる可能性のある出口を塞いでいく。このようなマネジメントシステムになっています。
でもこれはまだ第1段階です。まだ外出先で作業したデータはハードウェアに保存している状況ですので、完全クラウド化するなど、さらにレベルアップしていかなければいけないと考えています。
内部監査員と監査役会の設置、行動規範の策定で浸透を図る
LRMはバックアップ体制がしっかり取れていてすごいと思いました
(経営管理本部 情報システム部・松本雅氏)
— 先ほどチェック体制を確立されたとおっしゃいましたが、具体的にはどのような体制ですか。
営業部門、管理部門、それぞれに内部監査員を各1名配置し、相互に監査し合う体制を作りました。部門が細かく分かれ、支店もありますので、毎月順番を決めて実施していきます。しかも年に1度ではなく複数回実施することになっています。審査前の内部監査はLRMに監査員を代行していただきましたが、認証取得後、早速弊社の内部監査員が取り組みをスタートしています。
さらに、内部監査員の上に監査役会も設置しました。監査役会は外部の方に入っていただいています。内部監査員が監査結果を監査役会に報告をし、監査役がさらにチェックする仕組みです。
— 審査前の内部監査でLRMの監査員代行を活用された理由をお話し下さい。
良かれと思ってやった内部監査に穴があったら意味がありません。最初はしっかりとやってもらう必要があると考えました。最も恐れたことは、従業員が「この程度でもISMSが取れるのか」と認識してしまうことです。LRMに内部監査員を代行してもらって、しっかりチェックしてもらってやっと申請できるものなのかと認識することは、従業員の意識付けという意味では大事だったと思います。
— ルールを浸透させるためにISMSの要求事項にある従業員教育や内部監査以外に何か取り組まれたことはありますか。
ルールの浸透に関しては、情報セキュリティに重点を置いた行動規範を作りました。ISMS上、必須ではありませんが、東京本社だけではなく、大阪支店、福岡支店がありますので、拠点間の温度差を埋めるために作成し、各支店に私も出かけて研修を行いました。
(松本氏) ISMS事務局は本社のメンバーで構成されています。目の届きにくいところで共通のルールを浸透させるのは苦労したポイントです。研修を実施し、内部監査や審査にも同席した上で、熱心に取り組んでいただけそうな人には別途研修を行い、拠点の責任者になってもらいました。
— 今回、認証取得まで1年以上かかっていますね。差し支えなければご事情をお話し下さい。
もっと早く取ろうと思えば取れましたが、最低限やるべきことをやってから審査を受けたいという気持ちがありましたので、あえて止めた時期もありました。
— それはどのようなタイミングですか。
新たなツールを導入したタイミングです。今回、ISMSを導入するにあたり『SKYSEA Client View』と、『Microsoft Office 365』を導入したのですが、これらが稼働し始めるまで審査の申し込みを止めました。このような投資は当初想定していませんでしたが、セキュリティレベルを維持する上で現場の運用負担がかからないよう導入しました。今後もどんどん変わっていくと思いますが、最初のスタート時点が大事だと考えて稼働するのを待って審査を迎えました。
変化の激しい時代。ISMS/ISO27001は継続的な改善が大事
— ISMS認証取得に向けた取り組みの経緯はどのようなお気持ちでご覧になられていましたか。
我々が想定している以上に世の中は激しく変化しています。今回の取り組みは、ISMS事務局から逐一報告を受けてはいましたが、「今はそうだが来月はこう変わる」ということが結構ありました。その中でISMSというのは認証を取得すること以上に、継続的に改善しレベルアップしていくことが大事なのだろうと感じました。このようなことは、これまで私の人生の中で経験したことがありません。高校受験、大学受験、その他の資格試験であっても合格することがゴールですが、ISMSは認証を取得したら終わりというものとは明らかに質が違うものだと感じました。そういう意味では非常に新鮮な感覚を覚えました。
— ISMS認証取得の取り組みが終わった現段階ではどのようなご感想をお持ちですか。
私が創業した頃は国際認証を取るなどとは思っていませんでした。ISMS認証を取得したことで、お客様に対してより深い案件も取りに行くことが出来ます。それは楽しみです。 また、求職者に対しても国内の認証ではなく、国際認証を持っていることは大きなアピールになります。そういったことを考えてもISMS認証を取得して良かったと思います。
— 今後の課題をお話し下さい。
弊社もどんどん進化していかなければ世の中の流れについていけません。今はちょうど働き方改革の流れもありますので、新しいシステムを導入したり、既存のシステムにリバイスをかけたりして、業務フローの短縮も行っています。
ただし単に短縮するだけではなく、その時にいかなるリスクがあるかも考えなければいけません。それは非常に大変な作業ではありますが、ISMS事務局のメンバーが中心となって常に見直しを図っていく必要があると考えています。
弊社もIT革新の波にさらされていますので、今後は見直しのペースがさらに速くなるでしょう。
また、関連法令の改訂もキャッチアップしていく必要があると考えています。法律が変わる時は、急に変わります。
注意はしていても何かの事件をきっかけに厳格化することはよくあります。とりわけ情報セキュリティの分野は世界的に様々な問題を抱えていますので、その変化に対しては敏感になる必要があります。
さらに今後の将来を見据えた時に、ISMSだけで十分なのかという問題も出てきます。ビジネスを展開する中で、別の認証や資格を取得する必要があるなら、それはそれで考える必要があると思っています。
世の中の変化に合わせてレベルアップし続けることが課題です
(右から、兒玉氏、松本氏 ※左から弊社大谷、小宮)
期待通りのサポート。しっかりしたバックアップ体制にも感心
— マネジメントシステムを構築する段階でのLRMのサポートはどのようなものでしたか。
色々とアドバイスはいただきましたが、弊社にとって最も役に立ったのはリスクの洗い出しに関するアドバイスです。弊社が整理した業務フローに対して、どこにリスクがあるのか色々とご指摘をいただいたことで、我々が想定していなかったリスクが様々なステージで存在することに気付かされました。それをもとに多様な可能性を想定しながらルールを決めることができました。
(松本氏) リスクアセスメントは最も苦労した工程です。実際に文書に起こしてみると膨大な量のリスクがあって、
1つ1つ検討していく作業は骨が折れました。LRMのサポートがあって助かりました。
— LRMのサポートは御期待通りでしたか。
期待通りです。想定通りにISMS認証が取得出来ましたし、弊社のペースにも合わせていただきました。やりにくい部分も沢山あったと思いますが、根気強くお付き合いいただけました。それが非常に有り難かったです。
(松本氏) 打ち合わせの時だけではなく、メールでの質問に対してもほとんどリアルタイムで返信していただけました。大谷さんと小宮さんが外出されているときは、社長を含めたみなさんにフォローしていただきました。そういったフォローに助けられたことは少なくありません。しっかりしたバックアップ体制に感心しました。
— 今後の御期待がございましたらお話し下さい。
今回LRMに依頼した際は、ISMS認証取得後も継続してサポートを受けるつもりで依頼しました。現在、今回の取り組みでも活用したセキュリティ教育クラウド『セキュリオ』と、ISMSの運用改善サポート『情報セキュリティ倶楽部』の提案を受け、検討している段階です。内外の変化に合わせたルールの改善に対するアドバイス、関連法令改訂の情報提供に期待しています。
株式会社プロフェッショナルバンク様、株式会社エム・アール・アイ・ジャパン様、
お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。
※ 株式会社プロフェッショナルバンク様のWEBサイト
※ 株式会社エム・アール・アイ・ジャパン様のWEBサイト
※ 取材日時 2019年11月
- 人材サービス・派遣
- 海外への事業展開
- グループ会社との同時取得
- 50~199名
- 東京
- 複数拠点