一般社団法人 環境情報科学センター 様 – 顧客事例 –
公益法人である環境情報科学センターは、2015年1月5日、ISMS/ISO27001認証の新規取得に成功しました。
8年前にプライバシーマークを取得した際の反省を踏まえてコンサルタント探しを行い、最終的にLRMにサポートをご依頼。委託先の選定理由と認証取得に至るまでの経緯、LRMに対するご評価などを、ISMS委員会の髙松邦明氏、蓮沼英樹氏、宇於崎美子氏の3名に伺いました。
記事index
環境科学の学術団体。自然環境、社会環境の各分野における大学教員、地域計画または都市計画などのコンサルタント、環境政策に携わる行政官など約1200名の会員を擁する公益法人である。会員の研究発表論文を受け付け、専門家の査読に回すなど採択、学会発表までをサポートする学会事務局事業に加え、自治体や行政機関、企業などから受託して行う調査研究事業を行う。調査研究では会員である専門家と連携できることが大きな強みである。
発足;1972年。所在地;東京都千代田区。職員数;約20名。
ISMS/ISO27001認証新規取得コンサルティングを依頼
— 今回、LRMに依頼した業務内容を教えて下さい。
弊所は、2014年5月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得のコンサルティングを依頼しました。
担当コンサルタント吉村さんのサポートで、当初の計画通り、繁忙期を迎える前に認証を取得することが出来ました。
クライアントの情報セキュリティ意識の高まりに対応
ISMSだけではなく、Pマークの相談にも乗ってくれた。小さなことにこだわらない懐の深さを感じました
(事業推進室 主任・宇於崎美子氏)
— ISMS認証を取得した理由を教えて下さい。
クライアントの情報セキュリティ意識の高まりに対応するためです。
行政機関から調査研究業務を受託するにあたっては、受託者として要求される条件を満たす必要があります。その条件の中にISMS認証取得が入る可能性が出てきたため、先んじて取得することにしました。
近年、弊所のクライアントである環境省を含む行政機関全体が、情報セキュリティの向上に取り組んでおり、その一環として発注先にもセキュリティレベルの向上を要求しています。実際、弊所も8年前、環境省からプライバシーマーク(以下、Pマーク)の取得を求められて取得しました。それに留まらず、2013年末頃からは、より一層セキュリティを強化する動きが見られましたので、いずれISMS認証取得が条件に織り込まれることはほぼ間違いないと考えられました。
— ISMS認証取得にあたって目指していたことはありますか。
2点あります。(1)Pマークをベースにしたルール構築、(2)約半年間での取得完了です。
(1)Pマークをベースにしたルール構築
既に取得しているPマークをベースにマネジメント・ルールを構築していくことは最初から決めていました。
運用が煩雑にならないように、今あるルールを最大限に活かして、ISMS規格の要件に満たない部分だけ付け加える、または変更するなど、可能な限りシンプルなルールを構築したいと考えました。
(2)約半年間での取得完了
2014年12月までに取得したいと考えていました。年が明けると繁忙期のピークを迎えるため、残ったとしても事務処理だけで、所内の作業は残らないという状況を作りたいと考えていました。また、新年度の入札も1月から始まります。
それまでにベストな状態を整えておきたいと考えました。
サポート能力の高いコンサルティング会社を探して
— ISMS認証の新規取得にあたって、外部コンサルティング会社のサポートを導入しようと考えた理由を教えて下さい。
自社でルールを構築し、認証を取得することは困難だと考えたからです。弊所はPマークを取得した際にもコンサルティングを導入しました。それでも大変な苦労をしました。Pマークをベースにしたルール構築、年内取得という2つの目的を達成するためにも、専門家のサポートは必要でした。
— コンサルティング会社の選定基準を教えて下さい。
選定基準として考えたことは、取得まできちんとサポートしていただける、サポート力の高いコンサルティング会社です。
弊所が8年前にPマークを取得した際のコンサルタントの対応は、あまり親切ではありませんでした。申請に必要な書類のフォーマットを提供するだけ。弊所の実態に合わせてルールを構築したり文書を作成する作業は、全て所内で行いました。
その経験があるので、今回のISMS認証取得も、実際の作業は自分たちでやらなければいけないのかなと思っていました。しかし、インターネットで調べてみると、状況は変わっていて、コンサルティング会社の選定を間違わなければ、しっかりサポートしてもらえるということがわかりました。
そこで、3社をピックアップしてお会いしました。日頃からシステム関係で接点のある企業の中に、ISMS認証取得のコンサルティングを行っている企業が2社あります。その2社と、インターネット検索でピックアップしたLRMに話を聞いて、見積もりを出してもらい、最終的にLRMに決めました。
決め手はサポートの手厚さとスピード感
ISMS取得を通じて情報管理の考え方が理解できました
(調査研究室 室長補佐 技術士(衛生工学部門)・蓮沼英樹氏)
— インターネット検索で、LRMをピックアップした理由を教えて下さい。
Web検索をすると沢山のコンサルティング会社が表示されました。
その中からLRMを選んだ理由は、主に2つあります。まず、LRMには、ISMS認証の審査員としても実績を積んでいるコンサルタントが複数在籍していることです。
また、LRMのWebサイトには、実際にLRMのサポートを受けて認証を取得した会社のインタビューが何件も載っていたことも大きな理由です。インタビューからは、きちんと面倒を見てもらえるという印象が伝わってきました。
— 選定の決め手を教えて下さい。
他社との最大の違いは、面倒見が良さそうということです。
(1)サポートの手厚さ、(2)スピード感、の2点が決め手となりました。
(1)サポートの手厚さ
最大の決め手となったのは「認証を取得するまで責任を持ちます」という姿勢です。サイトにも、「取得保証」ということが書いてありますし、営業の方もそう言っていました。特に文書作成をサポートしてもらえることは重要なポイントでした。わからないこと、不慣れなことを沢山しなければいけないわけです。それに付き合ってもらえることは心強いと思いました。
(2)スピード感
LRMは他社と比べ、営業の段階からスピード感が違いました。スケジュール感や手順を含めてフットワークが軽いという印象がありました。他の2社はいずれも大手企業のためか動きが鈍く、このペースでやっていたら間に合わないそうにないと感じました。期限内に取得できそうだと感じたのはLRMだけです。実際、営業の方は、12月までに取得できると明言していました。
以上、2点の理由からLRMに依頼することを決めました。
最初に決めたスケジュール通りに全作業が終了
— ISMSの適用範囲を教えて下さい。
適用範囲は業務に携わる部門全てです。弊所の業務は大きく分けて2つの部署で行っています。学会事務局を担う事業推進室と調査研究を受託する調査研究室です。当初は必要以上の制限を設けたくはなかったため、クライアントの情報を扱う調査研究室のみ適用範囲とする考えでした。しかし完全に業務を分離することが困難だったので、コンサルティングがスタートする際に吉村さんに相談し、結果的に両部門とも適用範囲としました。常駐ではない理事会は適用外としました。
— 取得はスムーズに行きましたか。
非常にスムーズに取得できました。5月末から10月中旬ごろまで隔週ペースで打ち合わせをしながらリスクアセスメント、マニュアル作成、従業員教育、内部監査と進みました。
最も労力をかけた作業はリスクアセスメントの中の情報資産の洗い出しですが、Pマークで下地が出来ていたので、スムーズに行きました。またPマークの時に苦労したマニュアル作成は、吉村さんにサポートしてもらい、8月には暫定版を使って運用し始め、9月にフィックスさせることができました。
その後、審査も問題なく終わり、最初に決めたスケジュール通りに全ての作業が年内で完了し、1月5日付で認証を取得しました。
精神的に楽だった理由の一つに、コンサルティングの初回に、弊所とLRMの役割分担、スケジュールが明確に示されたことがありました。そこでは文書類の完成が9月頃となっていたので「8月いっぱいまで頑張れば良いんだな」と明確に意識することが出来ました。また、打ち合わせの最後には必ず吉村さんが、次回の打ち合わせ内容と、そのために準備すべきこと明確に示してくれました。それによって、着実に前進している実感を持つことが出来ました。
振り返ってみると準備期間全体を通して特別に頑張ったような記憶が全くありません。それだけ苦労なく取得できました。
ISMS/ISO27001認証取得が全体を見直すきっかけに
吉村さんが頻繁に足を運んでくれたので困ったことがあったとしても何とかなるという安心がありました
(調査研究室 室長補佐・髙松邦明氏)
— Pマークをベースにしたマネジメント・ルールの構築、という計画は実現しましたか。
計画通りにいきました。ISMS認証取得のために新たに設けたルールはありません。
マニュアルに追加したものは、従来不文律として行っていたことを整理して、統一ルールとして明文化したものばかりです。このためにわざわざ導入したハードウェアやシステムもありません。
文書類も既存のものをベースに、ISMSの規格に照らし合わせて書き換えたり、不足する要素を書き足したりしたので重複するものは最小限にとどめることができました。
また、情報を整理して合理化できた部分もあります。例えば調査研究室では、様々な委員会の参加者名簿を管理しています。Pマークではこれらを、種類ごとに台帳に記載して管理していましたが、扱い方は同一なので細分化する意味はないのではないかという吉村さんのアドバイスに沿ってひとくくりにまとめました。
— ISMSの認証取得準備や運用を通じて、所内に何らかの変化はありましたか。
全職員の情報セキュリティに対する意識が高まったと感じます。ルールを明文化したことが、それまで自分が何となくやっていたことが実はリスクを伴っていると気づいたり、疑問を持ったりすることに繋がっています。
これまで疑問を感じながら曖昧にしていたことも「ISMSの規格ではどうなのか?」と確認に来る職員も増えています。Pマーク取得から8年が経過して慣れてきたところに、新たな基準が加わったことが刺激となり、全体を見直すきっかけになりました。
また、弊所が扱う情報には、積極的に公開したい情報と、絶対に公開したくない情報の2種類があり、その2つは完全に切り分けて管理しています。例えば研究発表論文は会員のキャリアアップにつながるので、採択された後は広めたい情報となります。むしろ広めることに寄与することが弊所の仕事です。従って機密情報とは切り分けて管理しているのですが、審査員にはなかなか理解してもらえませんでした。そこで理解してもらうために、説明の仕方を工夫したことが、改めて業務を見直すことにも繋がったと感じています。
臨機応変な対応に懐の深さ。ISMS/ISO27001だけではなくPマークの相談も
— LRMのコンサルティングサービスはいかがでしたか。
弊所の目的を達成するためにしっかりサポートしていただきました。スケジュール通りに取得できたのも、業務に影響の出ない最低限の範囲でマネジメントルールを構築できたこともLRMのサポートのおかげです。
特に良かったと感じる要素は以下の通りです。
(1)訪問回数無制限
LRMのWebサイトで訪問回数無制限と謳っている通りです。今回は、申請を出すまで隔週ペースで訪問していただきました。吉村さんの業務に支障を来さないかと、逆にこちらが心配するぐらいでしたが、頻繁に足を運んでいただいたことで、万が一困ったことがあっても何とかしてもらえるという安心感がありました。
(2)豊富な事例と専門知識
訪問時、単に作業としてマネジメントルールを構築するだけではなく、毎回、情報セキュリティに関する幅広い話をしていただきました。特にご紹介いただいた他社の事例は、ルールを構築する上で大変参考になりました。
(3)臨機応変な対応
今回の依頼内容はISMS認証の新規取得でしたが、Pマークの運用に関する質問にも快く対応していただきました。
細かいことを言わない臨機応変な対応に懐の深さを感じ、気持ち良く打ち合わせ出来ました。
(4)理解力
弊所の業務内容は、外部の方にとっては馴染みがないもので、理解し難い業務だと思います。実際、弊所に出入する業者の方にも、何回説明してもわからない方はいます。吉村さんの場合は理解力が高いため、理解していただくための説明で苦労することはありませんでした。
LRMのコンサルティングは、全体的に窓が開いている感じがしました。Pマークを取得した際のコンサルティング会社は3回ぐらいしか来てくれなかった。それと比べると雲泥の差があります。LRMのおかげで、クライアントから情報セキュリティ上の対策を、いつ求められても良い準備が整いました。競合相手には出来るだけ隠しておきたい存在です。
打ち合わせでは、他社の事例など参考になる話が聞けたことも大変勉強になりました
(左から;宇於崎氏、蓮沼氏、高松氏)
『情報セキュリティ倶楽部』契約へ。良き相談相手として、的確なアドバイスを期待
— 今後のビジョンとLRMへのご期待をお話し下さい。
今後は、情報システム系の管理をさらに徹底しなければいけないと考えています。これまではハードウェアを揃えるための予算やそれをメンテナンスできる知識がないので踏みとどまって来ました。しかしいつかはきちんと整備していかなければいけません。それも含めて、PDCAサイクルを回しながらISMSを常に最適化していきたいと考えています。
そのためには今後もLRMのサポートが必要です。そこで、月々の保守サービス「情報セキュリティ倶楽部」の契約を検討しています。ISMSは認証を取得して終わりではありません。PDCAを回しながら、年に1回の審査を受ける必要があります。そのためには所内の変化に気を配るだけではなく、他社の事例や法令または規格の更新情報なども把握しておかなければいけません。LRMには、これからも良き相談相手として、的確なアドバイスを期待しています。
環境情報科学センター様、お忙しい中、有り難うございました。 (※左端は弊社吉村)
一般社団法人 環境情報科学センター様のWebサイト
※ 取材日時 2015年2月
- 情報処理サービス
- 大学・教育機関
- 入札への参加
- 短期取得
- ISMS/Pマークのルール統一
- 既存の社内規程/文書類を活かす
- 50名未満
- 東京
- 1拠点