クレストホールディングス株式会社様 – 顧客事例 –
グループのデジタルトランスフォーメーション(以下、DX)を進めるクレストホールディングス株式会社は、適切な情報管理の仕組みを作るため2020年10月、ISMS/ISO27001認証を取得しました。同グループがDXに注力する理由や認証取得にあたって考慮した点、取り組みの成果などについて、情報セキュリティ統括責任者を務める取締役経営管理本部長 CFO・峯拓也氏にお話しいただきました。
- お客様が抱える課題とISMS構築アプローチ
-
- グループ全体の情報管理を適切に行う仕組みを作りたい
- 海外ブランドとの取引において国際的な認証制度が必要
- 従業員に理解してもらえて、社内へ浸透するルール構築がしたい
- メール送信時の添付ファイルの暗号化は、ツールを導入することで手間を軽減
- 将来的になぜそのルールが必要なのかを説明し続けることでルールを浸透させる
- LRMコンサルティングサービスへの感想
-
- 全体のスケジューリングや、マイルストーンを提示してプロジェクトの進捗管理をしてくれた
- 自社の現状を詳しくヒアリングし、一緒に議論しながら業務実態に即して文書を作成してくれた
- 『セキュリオ』のeラーニング機能は、”わかったつもり”を改めて学ぶきっかけに
LEGACY MARKET INNOVATION®というスローガンを掲げ、各事業会社への経営指導および経営管理業務を行う。デジタル技術の活用によって、伝統産業に革新を起こし、成長産業として未来へ継承していくことが同社のミッションだ。中核企業の株式会社クレストは、CRMやMAツールなどのデジタルツールをいち早く取り入れ成果を上げてきた、国内におけるDXの草分け的存在だ。その長年にわたる実践で培ったノウハウが最大の強みである。現在は事業会社4社を擁し、サイン&ディスプレイ事業、リテールテック事業、植物小売事業、デザイン事業、木材卸売事業を展開中。事業活動を通して、国内産業の活性化に貢献する。
本社;東京都港区。設立;2019年8月。グループ従業員数;約185名(2020年10月現在)。
記事index
LRMへのご依頼内容;ISMS/ISO27001認証取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
2020年1月、クレストホールディングス株式会社はLRMに、ISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。LRMさんのサポートを受けて準備を進め、2020年10月、ISMS認証を取得しました。
グループ全体のDX推進に向けISMS/ISO27001認証を取得
ISMSは誠実に事業を推進するためにも必要な規格です
(取締役経営管理本部長 CFO・
峯拓也氏)
— ISMS認証を取得された理由、目的をお話し下さい。
弊社は、グループ全体の情報管理を適切に行うための仕組みを作るためにISMS認証を取得しました。背景には企業の信頼が毀損されるリスクを最小化し、サスティナビリティを担保したいという想いがあります。
初回登録時の適用範囲は、グループ会社への経営指導と経営管理を行うクレストホールディングス株式会社と、デザイン事業を担う株式会社ドラミートウキョウです。まずはグループとしてのスタンダードとなるマネジメントシステムを構築し、次に、それに準拠したルールをグループ各社に確立しながら、必要に応じて適用範囲を広げていく計画です。
事業会社の中でも唯一、ドラミートウキョウは、海外ブランドと取引する際に必要となるため、最初から適用範囲に含めました。ドラミートウキョウの業務は、プランニングやブランドコンセプトなど上流工程に関わります。クライアントは世界的に有名なファッションブランドもいらっしゃいますので、世の中に出してはいけない新製品の情報など、ブランドの競争優位に繋がる情報を扱います。ISMSを取得して適切に情報を管理することで、お客様にも安心してお取り引きいただきたいと考えました。
— ISMS認証取得を検討し始めたのはいつ頃ですか。
2019年夏頃には、動き始めていたと記憶しています。最初に候補に挙がっていたのはプライバシーマーク(以下、Pマーク)です。担当部署である情報システム部の部長からはPマークでどうかと言われていたのですが、私としては物足りなく感じ、他の選択肢はないか再調査を指示しました。
理由は、規格の要件を説明された際、これからグループ全体でDXに取り組んでいこうとするときに、フォーカスする範囲が個人情報だけのPマークで情報セキュリティが担保されるのかという疑問が生まれたからです
また、弊社のグループには先ほど申し上げた通り、海外のブランドとやりとりする事業会社があります。日本の免許証を持っていますと言っても、国際ライセンスを取って下さいという話になってしまいますので、Pマークで意味があるのかと思いました。
以上の理由から、国際的な認証制度で、かつ機密情報全般を管理の対象とするISMS認証を取得することになりました。
— DXというキーワードが出ましたが、御社におけるDXの取り組みについてお話し下さい。
DXという言葉が社会全般で使われるようになったのは近年になってからですよね。我々の取り組みはホールディングスを立ち上げる以前、2012年頃から株式会社クレストの中でスタートさせています。まずはCRMツール『salesforce』を導入し、続く2014年、世界で5,000社以上が導入しているマーケティングオートメーションツール『マルケト』を導入しました。『マルケト』を導入した国内での最初期メンバーのひとつです。
私達がDXに取り組み始めた目的は、生産性の向上です。当時のクレストのみならず、レガシーな産業が利益を生み出せない理由は、時代に合ったビジネス環境に移行出来ていないからです。未だにFAX、紙、電話が中心に業務が回っており、生産性の向上を阻害している企業が多い。そういった状況から脱却するにはDXが必要だと考えました。
業務をクラウド環境に移すことで、それまでExcelや手帳にあったデータがCRMに蓄積されます。それによって、より良い経営判断が出来るようになり、生産性の向上へと繋がっていく。株式会社クレストは2012年からの6年間で、営業マンを増員せず、売上を3倍に伸ばしました。その取り組みは『salesforce』の中でケーススタディの1つになっています。
こういった取り組みで培ったDXのノウハウは、現在、ホールディングスを通して、事業会社にも適用させているところです。
— そういった取り組みを進めるためにPマークではなく、ISMS認証を選択されたのですね。
情報システム部の部長が過去に在籍していた企業では、ISMS認証を取得していて、かなり大変だった記憶があるようです。しかし、私としては、厳しかったとしても、出来るものならやった方が良いだろうという判断に至りました。
厳しければ厳しいほど、やりきることで得られるものも大きいと考えました。
成長ベンチャーのサポート実績がLRMに依頼した決め手
— コンサルティング会社選定の基準をお話し下さい。
コンサルティング会社の選定において、最も考慮した点は、各社の支援実績です。どういう組織のお手伝いをされたのか、どれぐらいの経験をお持ちかということを重視しました。
LRMを選んだ決め手は、有力なベンチャー企業に対する支援実績があったことです。中には、ISMS認証を取得した後に上場を果たしている企業への支援事例もございましたので、それぐらいの成長を目指す企業にも通用するレベルでコンサルティングしていただけるというイメージが出来ました。弊社は現在、新体制のもとで伝統産業の革新という新しい事業領域での成長を目指しているところですので、成長ベンチャーへの支援実績に期待してLRMに依頼しました。
継続的な運用を実現するには社内への浸透が不可欠
継続的な運用を実現するため、LRMには色々と相談させていただきました(峯氏氏)
— ISMS認証取得に取り組むにあたり、ご心配されていたことはございますか。
私が最も心配したことは、社内への浸透です。ルールを作って施行したとしても、従業員に理解してもらえなければ継続的な運用は出来ません。従ってISMSの要求を満たしつつ無理のないルールを構築する一方で、ルールを浸透させるための啓蒙活動を続けることが重要であると考えました。
情報システム部の部長がISMSについて感じていた大変さは、過去に在籍した職場では厳格なルールで制限されることが多く、業務への負荷がかかっていたことが原因です。
ルールを遵守させるために給与査定の評価基準にも組み込んでいたというほど厳格だったようです。
弊社はそこまで厳格なルールを構築しようと考えていたわけではありません。情報セキュリティ上のリスクを完全に取り除こうとするなら、パソコンを使ってはいけない、インターネットに繋いではいけないという話になってしまいます。しかし現代のビジネス環境において、そのようなルールを作ったとしても、継続的に運用することは不可能です。そのため、リスクを認識しつつ、リスクの内容によっては許容するといった判断もしながら、現実に即したマネジメントシステムを構築することに重点を置いて取り組みました。
— 結果として、社内に浸透させやすいルール作りは出来ましたか。
難しい面はあります。従来の運用を、大幅に変えた部分は多くはありませんが、パスワードの桁数を合わせたり、スクリーンセーバーの設定を統一したり、これまでになかった細かいルールを沢山作りました。その結果、不便に感じることも増えました。あまりに不便なのでツールを導入して運用負荷を軽減させたルールもあります。
— それはどのようなことですか。
メール送信時における添付ファイルの暗号化です。メール送信時に添付ファイルがある場合は必ずZIP化して、アルファベットの大文字、小文字、数字が入った10桁以上の固有のパスワードを設定するというルールを決めました。
しかしメールは1日に何通も送りますので、膨大な時間と労力がかかります。全くサスティナビリティではないと思い、最終的にはLRMが提供している『メールZipper』というツールを導入して手間を軽減しています。
— そうすると浸透させることも難しかったですか。
実際にルールを浸透させるには、マネジメントとリーダーシップの問題も大きいので、将来的になぜそのルールが必要なのかを説明し続けることが非常に重要だと考えています。
例えば今、会社の携帯電話を順次変えている途中ですが、新しい携帯電話はあらゆる制限をかけています。予め機能を絞り、後からアプリを追加することは出来なくなっています。私個人としては、セキュリティレベルは高い方が良いという考え方なので抵抗はありませんが、当然、従来通り自由な方が良いという社員もいますので、一人ひとりに対して丁寧に説明し続けて納得してもらうという取り組みを続けています。
— そういった取り組みを通して、ルールは浸透されましたか。
浸透したことは間違いありません。社員の意識も変わりました。今回の取り組みが規律ある文化の醸成に役立ったと思います。弊社はこれまでも特にセキュリティ意識の低い企業ではありませんでしたが、社員ごとに異なる判断をしていることもありました。今回の取り組みを通して、そういった認識のギャップも埋まりました。ただ、新しい社員も入って来ますし、時が経つと緩んでくることもありますので、繰り返して啓蒙していく必要は感じています。
LRMが果たした3つの役割。社内への浸透もサポート
— 取得するまでの経緯で大変だったことはございますか。
ISMS事務局を担った情報システム部のメンバーは大変だったと思います。パソコンの設定を1台ずつチェックしなければいけないなど、タスク量は膨大だったと思います。事務局のメンバーの地道な取り組みによってISMS認証が取得出来たと考えています。
— そういった中でLRMが果たした役割はどういうものですか。
色々とサポートしていただきましたが、箇条書きにするとすれば概ね次のようになります。
(1)全体像の提示
最初に全体のスケジューリングをして、いつまでに何をやるべきかというマイルストーンをご提示いただきました。
(2)文書作成支援
ISMSマニュアルの作成においては、打ち合わせの際に弊社の現状を詳しくヒアリングしていただいて、一緒に議論していただきながら弊社の業務に即して文書化していただきました。また情報資産台帳やリスク管理台帳などの台帳作成においてもサンプルを示していただきました。
(3)プロジェクト進行管理
LRMと打ち合わせをしながら作成した文書類は、最終的には弊社側で細部をアレンジしていく必要があります。
そういった作業を進める際の、進捗管理もサポートしていただきました。
こういったサポートを通して、プロジェクトの全体像を把握し、着実に進行することが出来ました。
— 従業員教育のサポートはございましたか。
セキュリティ教育クラウド『セキュリオ』のeラーニング機能をご提供いただきました。私自身、管理者向けと一般社員向け、2つの研修を受けました。
— 『セキュリオ』は使ってみてどうでしたか。
自動車免許の試験問題に近いものを感じました。例えば自動車免許の試験では、「白線では一旦停止する」が不正解で、正しくは「一時停止」であるといった問題があります。引っかけ問題みたいなものですが、きちんと問題を読んで、立ち止まって考えないと間違えてしまう。それと同じで、情報セキュリティも知ったつもりで意識せずにやっていたら間違えてしまうということを、改めて学ぶことが出来ました。基礎を押さえるという意味で有意義でした。
セキュリティ事故のほとんどがそういった何気ないミスから起きています。電子メールの運用で、BCCで送るべきところをCCで送ってしまうといったミスも、微妙なかけ違いで起きてしまいます。そういう“わかったつもり”を正すきっかけにもなりました。
— 今回構築した御社のルールを浸透させる上でのサポートは何かございましたか。
内部監査員代行サービスがあります。現場へのヒアリングを通して構築したマネジメント通りに運用出来ているかどうかチェックしていただき、不足している箇所を指摘してもらいました。それがマニュアルに書かれたことを改めて認識する機会となりました。
また、内部監査を通してご指摘いただいた箇所は、本審査前に全て改善し、審査当日は、余裕を持って受審することが出来ました。
顧客からの信頼を得て事業を発展させることが社会貢献に繋がる
— ISMS認証取得の取り組みを一通り終えた現在、改めてISMSの重要性について考えておられることはございますか。
ISMSは、短期的な視野で見れば、生産性とは矛盾するように見えます。現場が面倒に思うことも理解出来ます。
ただ長期的に見た場合、情報セキュリティ事故を未然に防ぎ、顧客の信頼を失わずに事業を継続した方が、利益にも繋がっていきます。結果的にはそれがサスティナビリティにも繋がっていくのです。
ニュースになる企業の不祥事の多くは、たった1つの誤った判断から始まります。私達も海外のブランドを扱っていますが、万が一にでも発売前の情報を漏らしたら、それで事業継続が不可能になってしまいます。誠実に事業を運営していく上でISMSは必要な規格です。
<LRM>
そういった事故が発生した際も、きちんと管理はしていたと言えるかどうかで、その後の結果は大きく変わります。プロセスそのものに瑕疵があったのか、企業としてやるべき対策は取った上で生じた過失だったのかは、裁判の判断に大きく影響します。
その通りです。ここまでやった上での事故ですと言えるかどうかは大きいですね。
ISMSをきちんと構築して事業を継続していくことは社会貢献にも繋がっていきます。お客様から信頼を勝ち取ってより多くのお仕事をいただければ、企業の利益に繋がりますし、納税額を増やす結果にもなります。それが企業としての社会貢献のあり方であると考えています。
『メールZipper』『セキュリオ』『情報セキュリティ倶楽部』を契約
— LRMのコンサルティングはいかがでしたか。
LRMのお二人には、掛け値なしに頑張っていただきました。ルール構築を始め、様々な相談に乗っていただきました。また、実際の作業面でもお手伝いをいただき、スムーズにISMS認証を取得することが出来ました。今後も、『メールZipper』『セキュリオ』、さらにISMSの運用改善サポート『情報セキュリティ倶楽部』を通して、お付き合いさせていただく予定です。
— サポートを継続するメリットをお話し下さい。
前述の通り『メールZipper』で、添付ファイルを暗号化する手間は簡略化出来ます。また定期的に従業員教育を実施することは、認証を維持するだけではなく、従業員の意識を持続させる上でも重要ですが、『セキュリオ』のeラーニング機能があることで、教材やテストの作成や配信、管理といった手間を省くことが出来ます。LRMは、良いソリューションを持っていると思います。
さらに『情報セキュリティ倶楽部』に関しては、ISMS認証を維持するには年に1度のサーベランス審査、3年ごとの更新審査を受審する必要があります。その度に新しいコンサルティング会社を探して、一から説明するのも大変です。
組織の規模としても、今はまだ社内に情報セキュリティの専任者を置くフェーズではないと思いますので、LRMのサポートを受けながらしっかり運用を維持していきたいと考えています。
クレストホールディングス株式会社の皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ クレストホールディングス株式会社様のWEBサイト
※ 取材日時 2020年10月
- サービス開発・提供
- グループ会社との同時取得
- 50~199名
- 東京
- 1拠点