エコマス株式会社様 – 顧客事例 –
社会全体で労働力不足が深刻化する中、エコマス株式会社では、雇用形態の多様化への備えとしてISMS/ISO27001認証を取得しました。取り組みをスタートさせた背景、コンサルティング会社の選定理由、取り組みの経緯と成果について、代表取締役・安藤竜馬氏、ISMS事務局・石川紘子氏にお話を伺いました。
記事index
企業、自治体、教育機関などをクライアントとし、業務システムの開発ならびに導入後の運用サポート、システム保守を受託するシステム開発会社。設立当初から大量の情報を扱う事を得意とし、そのノウハウを生かしたシステム開発を行っている。近年特に注力しているのがIoTシステムの開発である。自社開発のクラウド型サービスと集めたデータを集約してクラウドに送信するデバイスからなる『Ecoemon(ECOmas Energy MONitoring System)』をベースに、電力、温度、湿度、風向風速などの監視システムを構築し、工場や建設・土木などの現場を支援する。
設立;2002年5月。本社;山口県宇部市。従業員数;6名。
LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
弊社は2018年7月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得のコンサルティングを依頼しました。
Web会議システムを活用してLRMと打ち合わせをしながら認証取得に向けた準備を進め、2019年1月、ISMS認証を取得しました。LRMの担当者は村田さんです。第2段階審査後のクロージングまで、しっかりサポートしていただきました。 認証取得後は、ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。
雇用形態の多様化に備え、ISMS/ISO27001認証を取得
文書作りが目的になるような事態を避けたいと考えコンサルティング会社を選びました
(ISMS事務局・石川紘子氏)
— 御社がISMS認証を取得した理由をお話し下さい。
弊社がISMS認証を取得した理由は、社内における情報資産管理の仕組み化を進めるためです。人が変わっても品質を一定に保てるよう、“人に説明が出来る情報管理の仕組み”を構築したいと考えました。
社会全体で人材不足が深刻化する中、弊社においても、リモートワークや時短への対応、あるいはパートタイマーの活用など、あらゆる可能性を考えて備える必要があります。
多様化が進むことで起こりえる問題は、管理の煩雑化です。それに対する備えとして弊社は2018年5月頃から、スケジュールやドキュメント類の管理・共有の効率化、就業規則の見直し、情報資産管理の仕組み化を3本柱として環境整備を進めてきました。
スケジュールやドキュメント類の管理・共有の効率化にはMicrosoft Office365を採用し、就業規則の見直しは社労士とともに進めています。
特に、情報資産管理の仕組み化は、品質を一定に保つ上でも重要な課題です。
多様な働き方を受容することで人材不足が解消出来ても、品質が落ちてしまってはお客様に迷惑がかかりますし、会社の信用も失墜してしまいます。守らなければいけない情報資産は何か、どのようなリスクがあるのかを全員で認識し、継続的に管理し続けられる仕組み作りを目指しました。
そのための手段としてISMS認証取得を選んだ理由は、第三者機関が定めた規格に則ったマネジメントシステムを構築するためです。これまでは社内に明文化したルールがなく、各自の経験に基づいて判断していました。それを標準化していくためには、個人の判断によって左右されない確固とした基準が必要です。そこで弊社は、その基準として世界的に認知されたISMS認証を採用しました。また対外的にも、社内にしっかり情報管理が出来る体制が整備されていることを証明する手段になると考えました。
LRMを選定した決め手は希望に合わせた柔軟な対応
— コンサルティング会社選定の経緯をお話し下さい。
インターネットで検索して、5社ぐらいに問い合わせ、その中から最もフットワークが軽く、柔軟に対応していただけそうなLRMを選定しました。
— コンサルティング会社を選定する上で、ご心配されていたことや、ご希望されたことはございましたか。
1つ懸念していたのが、作成する文書類のボリュームです。できるだけ少ない方が、認証取得までのスピードも速いですし、後々運用しやすいと思っていました。
弊社は以前、プライバシーマーク(以下、Pマーク)を取得しかけたことがありました。その時は大手コンサルティング会社に依頼して、結果的にうまく行きませんでした。依頼先が大手であることが原因かどうかはわかりませんが、作成すべきドキュメント類が膨大で、いくら作業をしても前に進んでいる実感が持てませんでした。またあまりにドキュメント類が多いので、Pマーク取得後の運用がしづらくなることが懸念され、取り組み自体を見直すことになりました。
過去にそのような苦い経験があったため、今回はそうはならないようにしたいと考えました。目的はあくまでも標準化した手順に則った仕事が出来る状態を作ることです。ドキュメントを作ることが目的のようになってしまうことは避けたいと考えました。
また、私どもの希望として各社にお伝えしたことは、打ち合わせはWeb会議で進めていただきたいということでした。ISMSの打ち合わせのために、必ずオフィスにいなければいけないとなると、行動が制限されます。ほとんどのコンサルティング会社が東京や大阪など遠隔地の会社でしたので、移動時間や交通費がもったいないと考えていました。
この2点を営業の方にお伝えし、希望に沿った対応を提案していただいたLRMへ依頼することに決めました。
LRMのひな形とサンプルを活用し、全体を俯瞰して作業を進めることが出来た
— ISMS認証取得の期限は設けていましたか。
年内を目標に設定していました。第2段階審査が年内で終わり、改善の機会が2箇所あったぐらいですので、ほぼ計画通りに終えることが出来ました。
— 今回は最後までコンサルタントとは直接お会いされることはなかったのですか。
2回目の打ち合わせと内部監査の時は弊社にお越しいただきました。2回目の打ち合わせでは、リスクアセスメントを実施しました。それをもとにLRMがマニュアルのひな形を作成し、3回目以降、そのひな形をもとに、Web会議形式で読み合わせをしながら細部を固めて行きました。内部監査は、第1段階審査の前と第2段階審査の前の2回実施しました。
— Web会議の打ち合わせではどんなことをされましたか。
例えば初回の打ち合わせでは、実際にどのようなスケジュールで、どのような作業を行うのかという説明がありました。打ち合わせ回数は、訪問・Web会議を合わせて10回ぐらいです。
— そのおよそ10回の打ち合わせで、ISMSの審査を受けるための準備は完結するのですか。
いいえ。自分達だけで作業を進めなければいけない部分もあります。例えば、情報資産の洗い出し、記録類の様式やフロア図、ネットワーク図の作成などです。その他、従業員教育や内部監査を実施し、審査前には文書類が揃っているかどうかをチェックしました。
— そういった作業を行う上でご苦労はございませんでしたか。
ほとんど苦労はしませんでした。強いて言うなら情報資産の洗い出しぐらいです。もちろんこれまでもお客様の情報を大事に扱わなければならないという認識は持っていましたが、どこからどこまでを台帳に載せるべきか線引きするのが難しかったです。
— それをどう整理していったのですか。
情報資産台帳だけではなく、記録類の様式も、サンプルが用意されていましたので、それをもとに作成しました。
情報資産台帳についても、記入例は用意されていましたので、それを参考にリストアップしつつ、打ち合わせの際に村田さんに確認して仕上げました。
— 情報資産台帳やマニュアル、記録類の様式、その他、ISMSの運用に必要な書類が一通り揃ったのはいつ頃ですか。
11月の上旬頃です。同月中旬に1回目の内部監査を実施する前には社員に周知し、マニュアルを配布して運用を開始しました。
— ここまでの過程で、LRMのアドバイスやサポートが有効に働いたことがございましたらお話し下さい。
リスクアセスメントが終わった段階で、審査に必要な文書類のひな形やサンプルを一式ご提供いただけたため、その後の作業は、全体を俯瞰して、何をすべきかイメージしながら進めることが出来ました。
— 従業員教育はどのような形で実施されたのですか。
LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用して実施しました。ISMSの運用では毎年従業員教育を実施する必要がありますが、その都度教材やテスト問題を社内で作成するのは困難なので、ISMS認証取得後も契約を継続しました。
— 内部監査はLRMが内部監査員を代行されたのですね。
はい。2回とも村田さんに内部監査員を代行していただいて実施しました。
— 内部監査員を代行していただくメリットをお話し下さい。
そもそも内部監査が何をするものかがわかりません。もちろん概念的にはわかりますが、具体的にどんな行動を取れば内部監査を実施したことになるのか、明確にこうしなさいと何かに書いてあるわけではないので、素人には難しいと思います。
また、客観的な視点でチェックすることも大切だと思います。自分達は毎日見ているので、気がつかないことが多いのです。実際に、村田さんに内部監査をしていただいて、いくつかご指摘いただいたことがありました。第三者視点でチェックしていただいて、問題があればご指摘いただき修正をしていく。そういった意味で内部監査員を代行していただくメリットはあると感じました。 さらに実際の審査に向けた対策にもなりました。こういう点がチェックされるのか、こんな質問がされるのかという心構えが出来ました。
“きちんと運用していくためのツール”としてマネジメントシステムを構築
ある程度の負担は受容するつもりで取り組みましたが今回は予想以上に楽でした
(代表取締役・安藤竜馬氏)
— 情報資産管理の仕組み化という目標は達成出来ましたか。
まだまだやらなければいけないことは沢山ありますが、そのためのレールに乗ることは出来たと考えています。
— 他に、社内に変化はございましたか。
社内で管理している書類が整理されました。もともと紙の文書類が多い事務所ではありませんが、契約書などは存在しています。そういったものが整理され、台帳化されて所在が明確になりました。
— 現場の業務手順にも、変化はございませんでしたか。
今回はルール作りといっても、社内の標準ルールを決めて、文書に落とし込んだだけなので、現場の手順として大きく変わったことはありません。
— 社内の標準ルールとは例えばどのようなものですか。
例えばパスワードポリシーや開発の流れです。実際の運用方法を全員から集約し、標準的なルールを決めていきました。
これまでは口頭で継承したり共有したりしていただけでした。そのため「こうするんだよ」と言えば、伝えられた方はその通りに行動しますが、しばらく経っていろいろな要因が加わってルールが変更になった場合、共有に漏れが生じる恐れがありました。今回手順を明文化したことで、ドキュメントに書かれた内容に従うという体制が整備されました。
— 審査に向けた準備を進める中でご不安はございませんでしたか。
ドキュメントの分量が思っていた以上に少なかったので、却って本当にこれで取れるのかなという不安がありました。
Pマークの時の経験がありましたので、もっと沢山文書を作らなければいけないのではないかと考えていました。
また、情報資産管理の仕組み化や標準化を進めるということは、世間一般の標準に合わせて社内を変えることだと考えていました。ですから業務手順も変えるものだと考えていましたし、そのための規格だと思っていました。そういった意味では、第1段階審査を迎えるまで常に不安はありました。
— 結果はいかがでしたか。
致命的な指摘は全くありませんでした。第1段階審査の時は、現場の内部監査とマネジメントレビューなどがまだ終わっていなかったので、第2段階審査の日までに計画通りに実施して下さいと念押しをされただけでした。第2段階審査でも改善の機会が2点あっただけですので、終わってみれば、さらりと認証が取得できたという感覚がありました。
また、業務手順を変えずに、文書を整備しただけでISMS認証を取得することが出来たということは、弊社が従来やっていた業務の進め方自体には、問題がなかったことが証明されたということでもあるのかなと感じています。
— コンサルティング会社選定の経緯のところで、「文書類はできるだけ少なく」とおっしゃっていましたが、多少はご負担が重くなるという想いは持っておられたのですか。
ある程度の負担は受容すると考えていました。取ると決めたら担当者を決め、運用も含めてやりきる。そのために周りの人間も協力するという気持ちでした。そう思って取り組みましたが、思った以上に負担は軽かったです。
今回、社内における実作業を担ったのは1名だけでした。Pマークの時は、会社のメンバー全員で取り組んでもやりきれないのではないかと思うぐらい作業が多かったですし、ひな形やサポートもありましたが、ほとんど役に立ちませんでした。それと比較すると今回は楽でした。
Pマークで失敗した要因は、「これで良い」ということがいくら作業をしても見えてこなかったことにあると思っています。そのためどんどん深掘りしていって、収拾がつかない状態になってしまいましたし、誰もストップをかけてくれませんでした。文書類が緻密になればなるほどセキュリティは強まるのかも知れませんが、Pマークの取り組み時はそこにたどり付く前に疲弊してしまう感覚がありました。
しかし、今回はLRMから取り組みの全体像を事前にご説明いただいていましたし、適宜きめ細やかなサポートをしていただきましたので、無闇に深掘りすることもなく、疲弊することもありませんでした。以前の体験とのギャップがありすぎて却って不安になることもありましたが、ドキュメントや規格に重きをおかず、あくまでもきちんと運用していくためのツールとしてマネジメントシステムを構築できたことは、非常に良かったと感じています。
過去の受託案件の見直し、テレワーク制度導入へ向けた具体的なルール作りが課題
— 今後の課題をお話し下さい。
今後の取り組みとして考えていることは、過去の受託案件の情報資産管理の見直しです。過去の受託案件のうち、現在も稼働しているものの中には、今回明文化した開発手順に則っていないものも存在しています。今後、機能追加やバージョンアップなどが発生する可能性もありますので、ISMS認証取得後のフローに合わせられるよう準備しておきたいと考えています。
また、多様な働き方への備えとして今回、LRMのひな形に、テレワークセキュリティガイドラインを追加しました。
今後は実際にテレワーク制度を導入する段階を迎えますので、より具体的なルールを詰めて行きたいと考えています。
若い方だったので大丈夫かなと思いましたが、始まってみれば気さくで
何でも聞きやすかったですし、回答も的確で取り組みやすかったです
(右から;安藤氏、石川氏 ※左は弊社村田)
困った時の相談先として『情報セキュリティ倶楽部』を契約
— 今回、LRMのサポートを受けたご感想をお話し下さい。
村田さんは堅苦しい雰囲気がなく、気楽にお話しができました。質問もしやすいですし、作業する中でわからないことがあった際などはメールやWeb会議ですぐに回答が返ってきましたので、やりやすかったです。
— ISMSの運用改善サポート『情報セキュリティ倶楽部』をご契約された理由をお話し下さい。
先ほど申し上げた課題に取り組む上で困ったことが起きた際に相談に乗っていただきたいと考えて、『情報セキュリティ倶楽部』を契約しました。内部監査と一緒で、自分達だけで運用していると 、誤った判断をしてしまう危険があります。新しい取り組みが発生した時に、ISMS上どのような対策を取れば良いのか、何が必要なのかわからないということが出てくると思いますので、そのような時は相談に乗っていただきたいと考えています。
エコマス株式会社様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※エコマス株式会社様のWEBサイト
※ 取材日時 2019年3月
- システム開発・運用
- クラウドサービス(SaaS)開発・提供
- 担当者の負担軽減
- 50名未満
- 山口
- 1拠点