株式会社東京ドーム様 – 顧客事例 –
株式会社東京ドームは、自社のポイントサービス『TDポイントカード』の運営業務を適用範囲とするISMS/ISO27001認証を取得しました。ただし「ゴールはあくまでも業務体制の見直しと強化」と言います。
ISMS事務局の皆さんに、取り組みの経緯と成果を伺いました。
記事index
1936年に「(株)後楽園スタヂアム」を設立。国民的スポーツと言われたプロ野球を中心に、遊園地やボウリング場、スケート場等、「王道」とも呼べる様々なエンタテインメントを提供してきた。1988年、日本初の全天候型多目的スタジアム「東京ドーム」を完成させ、1990年に「(株)東京ドーム」へと社名を変更。以降も「ラクーア」や「ミーツポート」、「アソボ~ノ!」、「ゴファン」、「スポドリ!」、「TeNQ」をオープンする等、常に話題を呼ぶコンテンツを発信し、文京区近隣の生活者を中心に、子供から高齢者まで幅広い層に親しまれている。レジャー・サービス業のリーディングカンパニーとして、「感動」を提供し続けられる都市型レジャーを追求していく。
本社;東京都文京区。設立;1936年12月。従業員数;約900名。
東京ドームグループが運営する各種施設で、おトクなポイントが貯まるプログラム。
2020年、サービス開始から10周年を迎えた。ポイント機能のみのベーシックカードの他、クレジットカード機能がついたプラスカードも提供。貯まったポイントは東京ドームグループ各施設でご利用可能なポイント還元券「TDポイントチケット」と交換することが出来る。2019年秋にはカードを作らずにポイントをためることが出来るスマートフォンアプリの提供を開始し、さらなるサービスの改善を目指す。
LRMへのご依頼内容;ISMS/ISO27001認証取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
株式会社東京ドームは、2018年8月、LRMにISMS認証新規取得のコンサルティングを依頼しました。
認証の適用範囲は弊社が運営するポイントカードプログラム『TDポイントカード』の運営業務全般です。対象となる社員は『TDポイントカード』を運営する営業推進部・ポイントカードグループの全員と、IT戦略部で『TDポイントカード』のシステムとインフラを担当するスタッフです。
今回はあくまでも業務体制の整備が目的でしたので、リスクアセスメントに時間をかけて取り組みました。
当初は2019年2月ぐらいに取得するスケジュールを立てていましたが、途中でスケジュールを見直して半年延長し、最終的には9月に認証を取得しました。
『TDポイントカード』運営の体制整備にISMS/ISO27001のフレームワークを活用
— ISMS認証取得に取り組み始めた経緯をお話下さい。
ポイントカードグループは従来より、『TDポイントカード』の運営業務を行う上で常に情報セキュリティを意識しながら、様々な施策を打っていました。ちょっとしたインシデントが発生しただけでお客様の信頼を失いかねません。会社の上層部も情報セキュリティに対して非常に敏感で、常々、注意喚起がなされていましたので、お客様の個人情報を扱う『TDポイントカード』の業務に携わる社員は、非常に慎重に対応してきました。
近年は特に、社会における情報セキュリティへの関心は高まっています。有名な企業での事故が報道される度に、「本当にうちは大丈夫か」と言われることが増えていました。
そのような声を受け、対応を議論する中、第三者機関が定めたフレームワークを活用すれば、網羅的にセキュリティレベルを高め、お客様に安心してご利用いただける環境を整備することが出来るのではないかと考えました。
— 認証取得に向け、具体的に動き始めた時期はいつですか。
2017年末ぐらいです。『TDポイント』の運営で最もクリティカルな情報は、会員様の個人情報です。そのため、当初はプライバシーマーク(以下、Pマーク)の取得を考えていました。しかし準備を進める中で、Pマークは企業単位での取得しか出来ないことがわかりました。会社全体となりますと、拠点は東京ドームシティ全体に及びますし、事業内容も情報の種類も多種多様で、やり始めたら収拾が付かなくなる不安がありました。情報セキュリティ体制を固めるためのフレームワークとしてPマークの他に何があるのかを調べ、ISMSが有効だろうと考えるに至りました。
— これまで取っていた対策の具体例をご紹介下さい。
以前から実施していたものには例えば以下のようなものがあります。
(1)誓約書の取り交わし
『TDポイント』の業務に携わる全てのスタッフに書いてもらっています。
(2)会員情報閲覧権限 の設定
社内システムで会員情報の閲覧・出力できる権限を分け、必要最低限の範囲で権限を付与しています。
会員情報を誰でもフリーで閲覧できたり出力できたりする状況にはなっていません。
(3)定期的なパスワード変更の義務化
業務システムのログインパスワードを定期的に変更することが義務化されています。
(4)委託先管理
委託先に対して定期的にアンケートを実施し、セキュリティへの取り組みを把握しています。
以上のような対策は、閲覧権限の設定など 内部統制に基づいたルールもありますが、多くの場合は情報漏洩事故など気になる出来事があった際に部内で話し合って決めていきました。
— 外部の規格を導入することにより業務負荷が大きくなるなどのリスクは感じておられませんでしたか。
業務負荷が増える可能性は感じていました。ただ、取り組む前の不安要素としては、自社の現状の対策が十分なものになっているかどうか、という問題の方が重要でした。本当にこれで足りているのか、もっと必要なことがあるのではないか、弱いところがあるのではないかという不安です。足りないところがあれば補う、すべきことはする、ということに対しては前向きに捉えていました。
— 取得期限は定めておられましたか。
当初は2月を目処にしていました。ただし、あくまでも基盤整備が目的でしたので、絶対いつまでに取得しなければいけないという縛りはありませんでした。リスクアセスメントにしっかり取り組んでいる間に繁忙期を迎えましたが、審査スケジュールを優先せず、引き続きリスクアセスメントに注力する判断をして、期間を延長しました。
体制整備するためのパートナーとなり得るコンサルティング会社
文書作成は大変でしたがLRMのサポートでスムーズに出来ました
(IT戦略部情報システムグループ係長・早川眞弓氏)
— ISMS認証取得にあたっての社内体制をお話し下さい。
ISMS認証取得には、ポイントカードグループから4名、IT戦略部から4名の合計8名でISMS事務局を組織して取り組みました。
— コンサルティング会社は何社ぐらい比較されましたか。
3社です。インターネット検索でピックアップして来社していただき、説明していただいた上でLRMに依頼しました。
— LRMに依頼された決め手をお話し下さい。
LRMに依頼した理由は2つあります。
(1)現実的なルール構築
初期構築の段階では現実的な範囲でルールを構築し、運用しながら改善していくという方針が合致すると感じたからです。過度に負担がかかる状況は避けたいと考えていました。
(2)社風の一致
もう1つは感覚的な判断ですが、弊社と社風が近いと感じました。営業担当の藤居さんと話して信頼出来ると思いましたし、細かく対応していただけるのではないかという心証を得ました。藤居さんから「御社の雰囲気に合ったコンサルタントをアサインします」と言われたことも安心材料でした。前半は村田さん、後半は大谷さんと、お二人に担当していただきましたがどちらも話しやすく頼りになり、打合せの雰囲気は良かったです。
認証取得を最優先課題としていなかったことは、コンサルティング会社選定にも影響しました。内部の体制をきちんと整備するためのパートナーとなり得るコンサルティング会社を探した結果、最終的にLRMに依頼しました。
体系的なマニュアルが完成しルールの共有・浸透がしやすく
LRMのリードに従って作業していたらいつの間にか出来ていました
(営業推進部ポイントカードグループ・岩瀬昭子氏)
— 取り組みの成果をお話し下さい。
私達の目的としていた体制整備が出来ました。
(1)チェックリストが出来て管理がしやすくなった
特に良かったことは、情報資産台帳やリスク管理台帳を始めとした台帳類が整備されたことです。チェックリストが出来て管理が楽になりました。委託先管理台帳を例に取ると、従来、委託先へのアンケートは実施していましたが、台帳までは作成していませんでした。委託先管理台帳としてリスト化したことで漏れなくチェックできるようになりました。
(2)ルールの共有・浸透がしやすくなった
また体系的なマニュアルを作成したことでルールの共有や浸透がしやすくなりました。
これまでマニュアルはありましたが、分散し、体系的に集約はされていませんでした。
そのため従業員教育は、外部の情報漏洩事故などが話題になった際に、口頭で注意喚起する程度に留まっていました。ISMSの年間タスクには従業員教育の実施が含まれていますが、それだけに留まらず、作成したマニュアルから現場の社員が気をつけなければいけない箇所を抜粋してわかりやすい表現にしたハンドブックを作成し、従業員が必要な時に振り返ることが出来るようにしました。ハンドブックは、新しいメンバーが入ってきた際の研修にも活用することが出来ます。
— 今回の取り組みで新たに取り入れた施策はございましたか。
例えば、以下の施策があります。いずれも2019年5月のオフィス移転に伴う対策です。
(1)書類の廃棄ルール
ポイントカードグループが発足して10年間、書類は全て保存していましたが、必要がないものを処分し、今後の文書管理については廃棄する期限を決めました。
(2)入り口の防犯対策
オフィスの入り口にセコムを導入し、モニターつきのインターホンを設置しました。従来のオフィスは、ビルに警備が敷かれていましたが、移転先にはありませんでした。ISMSでは扉があれば十分ですが、+αの対策を打ちました。
— 社内システムで整備されたことはありましたか。
自動化により強化した箇所がいくつかあります。例えば、社内システムにログインする際のパスワードポリシーに関連した整備があります。従来は変更期日が来ると個別に連絡していましたが、期日までにパスワードを変更しないと自動的にロックされる仕組みを導入しました。
LRMのサポートで現状に沿ったマネジメントシステムを構築
私達にとって運用しやすいルールになっている実感が持てました
(営業推進部ポイントカードグループ係長・有光美代子氏)
— 全体を通して苦労なさった点はありませんでしたか。
文書類の整備は大変でしたが、LRMのサポートがありましたので、比較的スムーズに出来ました。
— 文書類の整備を大変だと感じられたのは、どのような点ですか。
自分の業務を見直して台帳を作っていく作業は、慣れない作業だったこともあり時間がかかりました。ただ、継続してサイクルが回るようにすることを目指していたため、時間がかかってもしっかりやろうという意識で取り組みました。リスクアセスメントをして業務を見直す工程には特に時間をかけました。ここまでやる必要があるのか、もっとシンプルな情報管理ができないかメンバー全員で検討しました。
— LRMはどのようなサポートをしてくれましたか。
専門家の視点で弊社の現状をチェックして、アドバイスをしていただきました。LRMのリードに沿って一生懸命やっていて気がついたら出来上がっていた印象です。
まず、プロジェクトの冒頭で詳細なヒアリングを通して弊社の実態を把握していただいたことで、現状に沿ったマネジメントシステムが構築出来ました。また、ルール策定で悩んだ際の質問にも丁寧なアドバイスをいただきました。
取り組みの最中では実感出来ませんでしたが、マニュアルが一通り出来上がった際に読み返してみると、私達自身にとって運用しやすいルールになっていることが実感出来ました。
進捗管理のサポートもしていただきました。例えば打ち合わせの場で決められず保留したことも何回かありましたが、文書類の中で明確に把握できるようにまとめていただいたおかげで、後々忘れてしまうということはありませんでした。
さらにルール構築や文書類作成以外では、従業員教育、内部監査のサポートもしていただきました。従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能が基本メニューですが、弊社はオプションで集合研修も依頼しました。 また、内部監査では内部監査員を代行していただきました。
集合研修とeラーニングのハイブリッドで浸透を図る
— 集合研修を実施した理由をお話し下さい。
集合研修は『TDポイント』の運用に関わる全ての社員に対し、「我々は情報セキュリティに力を入れて取り組んでいる」ということをメッセージとして伝えるために実施しました。営業推進部の部長を含めて全員に受講してもらい、テストも実施しています。
両方併用したのはまだ手探りの部分があるからです。eラーニングは1人で黙読するだけなのでどこまで意識に定着させることが出来るのか疑問でした。他者との対話や実体験を伴うことで腹落ちさせることが出来るのではないかと考えています。
— 集合研修とeラーニングは内容が異なるのですか。
eラーニングは初回ということもあり、ISMSの基本など汎用性のある内容でした。集合研修では私達にとってよりリアリティを感じられる内容を盛り込んでいただけるようリクエストしました。具体的にはパスワードポリシーなど弊社が定めたルールの周知と、私達にとってより身近に感じられ印象に残る情報セキュリティ事故の事例紹介です。
— 今後のISMS運用においてもeラーニングと集合研修を併用していくお考えですか。
はい。集合研修も1年に1回は実施したいと考えています。人事異動でメンバーが入れ替わる可能性がありますし、毎年の維持審査に備え、最新事例を交えて実施したいと考えています。
日常の業務の中で意識を一定に保つことは簡単ではありません。身の回りやパソコンの中の整理整頓など、わかってはいても徐々に緩くなることは誰にでもあり得ます。eラーニングはそういう時のつなぎとして活用できるのではないかと考えています。また新しいメンバーが入ってきた時にハンドブックと組み合わせて使うことも出来ます。
さらに、私達自身の意図を反映した教材ではなく、客観的な視点の教材を使った研修は、一定の効果はあるのではないかとも考えました。『セキュリオ』は新しい教材が次々に追加されていますので、その中からどの教材が私達に必要なものなのか、精査して実施していきたいと考えています。
— 『セキュリオ』の使い勝手はいかがでしたか。
記録が残って管理しやすい点がメリットであると感じます。誰が実施して、誰が実施していないか、または間違いやすいところはどこかということも把握できます。
— 内部監査について伺います。内部監査員代行のメリットとして感じられたことはございますか。
弊社には審査法務部という部署があり、そこが監査に入って業務をチェックするということはあります。ただ毎年のことではありませんし、情報セキュリティについては専門外です。外部の専門家の視点で厳しめに評価していただけることは非常に良いことだと考えています。
LRMは社風が近い感じがしました。
穏やかな対応が最後までやりきれた要因の一つです
(ISMS事務局の皆さん ※右から2番目は弊社大谷)
自主的な取り組みで国際認証を取得したことが自信に繋がった
— マネジメントレビューはどなたに報告されたのですか。
営業推進部部長に報告しました。部長自身、個人情報が最大のリスクだという認識は従来から持っていました。
どんなにお客様に喜んでいただいても、漏洩事件が1件発生すればこれまでに培ってきた信頼を全て失ってしまいますので、くれぐれも強化して欲しいということは常日頃から強調されてきました。今回、報告をした際には、特に継続的にブラッシュアップしていける仕組みが出来たことを評価していました。
— 審査はいかがでしたか。
ネガティブな指摘事項はありませんでした。軽微な検討事項をいくつか頂いただけなので、その後の対応にも苦心することはありませんでした。
— ISMS認証取得に取り組んだことで、何か変化はございましたか。
国際規格に基づいた認証を取得出来ことが、大きな自信に繋がったと思います。ホームページでもアピールさせていただいていますし、ポイント業界でISMS認証を取得している企業は多くありません。ISMSは必ず取得しなければいけないものではありません。自分達で率先して取り組み、結果として認証が取得出来たことは自信と自覚に繋がっているものと考えています。
このような取り組みは、どちらかというと後ろ向きに捉えられる傾向があります。やらなければいけないことが沢山あり、面倒に感じられるからです。しかし私達はあえて自分達から取り組み、きちんと認証まで取ることが出来ました。それがみんなの自信になりましたし、今回の取り組みで終わらせるのではなく、継続していかなければいけないという意識を持つようになりました。
また、IT戦略部では、今回策定したルールを、部署全体の業務に適用し始めているところです。今回のISMS認証取得では適用範囲自体は『TDポイントカード』に関わるメンバーに限られていますが、出来上がったルールを見て、部署全体の業務に生かした方が会社としてメリットがあると判断しました。現在、部署全体に周知し、浸透を図っているところです。
— 今後の情報セキュリティ上の課題をお話し下さい。
『TDポイントカード』はお客様に、より東京ドームを好きになっていただくための支点となるサービスです。
これからも安心してサービスをお使いいただけるよう、PDCAサイクルを回しながらセキュリティレベルの向上に努めて参りたいと考えています。
適切なアドバイスを適切なタイミングで。今後も変化に合わせたサポートを期待
— LRMのコンサルティングはいかがでしたか。
期待通りです。適切なアドバイスを適切なタイミングでしていただけました。私達の質問に対して持ち帰って検討するということはほとんどなく、その場で適切な回答がいただけたことは、非常に有り難かったです。それは様々な企業をサポートした経験がベースになっていると感じました。
また、弊社を担当していただいたお2人は、ともに穏やかな雰囲気で、弊社の社風に合うコンサルタントでした。
硬い雰囲気のコンサルタントだったら途中で諦めていたかも知れません。そのような雰囲気になることは一度もなく、最後までじっくり取り組むことが出来ました。
— 今後もLRMのサポートを継続契約されるのでしょうか。
運用支援サービス『情報セキュリティ倶楽部』と『セキュリオ』を契約します。加えて年に1回の集合研修を依頼します。
今後、どのようにビジネスが変化するかは未知数です。社会の変化に合わせて私達自身が変わらなければいけないこともあるでしょう。そのような節目で判断に迷うことがあった時の相談に乗っていただきたいと考えています。
株式会社東京ドーム様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
- サービス開発・提供
- 500~999名
- 東京
- 1拠点