エンプラス株式会社様 – 顧客事例 –
エンプラス株式会社はLRM株式会社のサポートを受け、2021年1月5日、ISMS/ISO27001認証を取得しました。
コロナ禍の影響をダイレクトに受けた今回の取り組みについて、ISMS事務局の執行役員 コーポレート本部長・堀内武志氏、津田卓哉氏、井高裕善氏、今野瑠美氏の4名様に振り返っていただきました。
- お客様が抱える課題とISMS構築アプローチ
-
- 海外のお客様も含めて、弊社サービスを安心してご利用いただくために認証を取得したい
- 社内から業務負担が増えるのではないかという不安の声が上がった
- 取得に向けて、何が必要なのか分からない
- コロナ禍の影響で4か月の休眠期間を経て、想定よりも短期間(約6か月間)で集中的に取り組む
- 各部署に担当者を設け、全社を巻き込んだ取り組みになるように体制を構築
- ドラスティックに変えるのではなく、既存システムを整理して改善し、認証を取得
- LRMコンサルティングサービスへの感想
-
- マイルストーンを明確に示し、リードしてもらえた
- 自社で普段利用しているTeamsで打合せやコミュニケーションをとれた
- 『セキュリオ』のeラーニング機能はISMS取得のために必要なものが揃っている
(エンプラス株式会社について)
「日本のグローバル化に貢献する」というミッションを掲げ、企業・人のグローバル化に貢献するサービスを開発・提供している。一時滞在外国人に向けた「サービスアパートメント」(家具やコンシェルジュといったサービス付きの住宅)の運営からスタートし業容を拡大。現在は、グローバルリロケーションカンパニーとして、国を超えた人材の異動(国内への外国人受入、国内からの海外赴任、外国間の異動など)に関わる様々な手続を、人事のパートナーとしてマネジメントしている。インバウンドサービスでは、「サービスアパートメント」の運営に加え、外国人社員を採用する際に発生する、VISA・引越・航空券の手配、賃貸物件への仲介、家具レンタルまでワンストップで対応。アウトバウンドサービスでは、日本人の海外赴任だけでなく、外国人駐在員の母国への帰任、海外駐在社員の海外間転勤、住宅探しにも対応する。グローバル企業のワールドワイドな人事異動に伴う複雑な諸手続きをアウトソーシング出来る企業としては先駆け的な存在。長年の実績を背景に、大手企業を中心に厚い信頼を得ながら事業を拡大している。
本社;東京都千代田区。設立日;2004年5月。従業員数;47名(2021年4月現在)
記事index
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
エンプラス株式会社は2020年3月、LRMにISMS/ISO27001(以下、ISMS/ISO27001)認証新規取得コンサルティングを依頼しました。担当者は金子さんです。ルール作りから審査対応のアドバイスまでサポートしていただいて、2021年1月5日、ISMS認証を取得しました。
— コロナ禍の最初の緊急事態宣言が発令された時期と重なり、大変だったのではないですか。
そうですね。3月頭にキックオフをして、各部署の情報整理とリスクの洗い出しに着手しようとしたところで、コロナ禍が直撃しまして、ISMS事務局の活動はしばらく休眠状態になりました。グローバルな人の移動は完全にストップしてしまいましたし、弊社もリモートワークに入ったので、色々と体制を整える作業に追われ、4月から7月までの4ヶ月間は全く動けませんでした。ただ、一方では、情報管理の仕組みを整備することの重要性を、会社全体で認識する良い機会になりました。フルリモートに移行したことで、緊急事態宣言以前の業務の進め方ではうまく回らないことが出てきました。今後も出社率を抑制しながら業務を継続していくことになりますので、ISMS認証取得をきっかけに、そのための体制整備を進めることが出来て良かったと考えています。
— 3月にキックオフした時点で、いつまでに取りたいというご希望はございましたか。
12月末までの取得を目指していました。金子さんと話し合った結果、11月20日までに第2段階審査を終え、12月中には認証書が届くイメージでスケジュールを組みました。
— 結果的に1月5日の認証取得となりましたが、社内的なご評価はいかがでしたか。
社内的に特に問題はありません。第2段階審査の最後に審査員から認証推薦をしますとおっしゃっていただきましたので、ほぼスケジュール通りに終えることが出来たという認識です。
今回は弊社が普段使っている『Teams』のオンライン会議と
チャットを使ってプロジェクトを進めました
(右から;井高氏、堀内氏、津田氏、今野氏 ※左は弊社金子)
対外的な信頼性の向上と、社内の情報セキュリティ体制整備を目的にISMS認証を取得
ルール作りで落とし所を決めるのが大変でした。LRMのアドバイスが役に立ちました
(VISION推進室 シニアリーダー・津田卓哉氏)
— ISMS認証を取得された目的をお話し下さい。
弊社がISMS認証を取得した目的は2点あります。
(1)対外的な信頼性の向上
顧客に情報管理をしっかりしている企業とご認識いただくことで、弊社サービスを安心してご利用いただきたいと考えISMS認証取得を目指しました。特に海外のお客様に向けてはISMSを持っていることが一種のアピールになると考えました。
ISMS認証取得の検討を始めた時、社内ではプライバシーマーク(以下、Pマーク)とISMSのどちらにすべきか迷っていましたが、LRMに依頼する際、ISMSとプライバシーマークの違いから教えていただき、グローバル企業との取引が多い弊社の場合、国際規格のISMSの方が適していると判断しました。また、弊社のような中小ベンチャーは、内部環境の変化が激しいため柔軟な設計が必要です。ISMSの方が柔軟に自社のルールを決めることが出来るという説明を受け、弊社にとってはISMSの方が運用しやすいと考えました。
(2)社内の情報セキュリティ体制整備
弊社はお客様から個人情報や機密情報を大量にお預かりします。それらをきちんと管理するには、社員一人ひとりの情報セキュリティ意識を高め、共通認識としてのルールを整える必要があります。ISMS認証を取得することがそのきっかけになると考えました。情報管理の体制が整備されれば、業務効率化が進み、生産性も上がります。生産性が上がれば、対外的な強みとなり、業績の向上にも繋がります。さらに、情報管理が整備されればリスクが下がり、管理コストが低減され、利益向上にも繋がっていきます。
— ISMS認証取得の取り組みを始めるにあたり、ご心配はありませんでしたか。
ISMSの取得経験がある方から、「とにかく大変だ」ということだけは聞いていましたが、取得に向け何が必要なのか全く理解していなかったため、どれぐらいの工数や負荷がかかるのか不安はありました。何をすれば体制整備が出来たことになるのか、自社はどのぐらいのレベルなのか、果たして1年足らずでISMSを取得出来る状態が作れるのかどうか、全くイメージが出来ませんでした。
一方、社内からは業務負担が増えるのではないかという不安の声が上がりました。面倒臭いことが増えて、何をやるにしても時間がかかるのではないかというネガティブな意見もありました。その意識をどう変えていくか、現場をどう巻き込んで行くかがポイントになるなと思いました。
自社に似た企業へのサポート事例も参考にしてLRMへの依頼を決定
LRMのアドバイスで現場に入り込み、一緒に取り組んで行きました
(コーポレート本部 シニアリーダー・井高裕善氏)
— LRMを知ったきっかけをお話し下さい。
弊社がLRMを知ったのは、ISMS認証とPマークの違いを知るためにインターネットでリサーチをしていた時です。WEBサイトの「取得率100%保証」という表記に目が留まり、本当かなと思って問い合わせたところ、細かく丁寧に教えていただきました。
さらに費用やスケジュール感などを詳しく聞いていくと、予算もスケジュールも弊社の希望は満たせそうでしたし、営業の方の対応も良く、ここなら安心して取り組めると考え、LRMに依頼しました。
— 他社とは比較せずにLRMにご依頼されたのですか。
WEBサイトで何社かリストアップして、公開されている情報をもとに、コンサルティング費用、スケジュール、実績などは比較しました。しかし実際に問い合わせをして話を聞いたのはLRMだけです。LRMからは、弊社と同様に管理体制が整備されていない会社へのサポート事例や、ISMSの認証制度そのものに関してもご説明いただき、非常に参考になりました。
一体感のある取り組みにするため、各部署に担当者を配置
— 3月にキックオフをした直後に取り組みが中断し、4ヶ月後に再開した際のお気持ちはいかがでしたか。
再開するタイミングでは本当に間に合うのかという焦燥感はありました。しかし金子さんから「しっかり取り組めば大丈夫」とおっしゃっていただけたので、その言葉を信じて年内取得というゴールは変えずに取り組みました。
— 4ヶ月間の遅れを取り戻す作業は大変ではなかったですか。
ただ、コロナ禍を理由にはしてはいますが、それがあってもなくてもスケジュール感は変わらなかったのではないかという思いもあります。こういう取り組みは期間を取り過ぎると緩みがちなところもありますので、短期間で集中して取り組むべきものだと思っていました。結果として、中断している間にリモートワークが定常化する中で、情報整理の必要性を共通認識として持つことが出来ました。再開してからは、事業部の業務が落ち着いていたこともあり、ISMSの活動に集中する時間を確保することが出来ました。
— ご苦労はありませんでしたか。
一番苦労したのは、現場を巻き込んで行くところです。情報資産の洗い出しやリスクの洗い出しは、各部署に取り組んでもらう必要があります。ISMS認証を取得することに関しては誰もが賛成しましたが、具体的な作業に入っていくと「やっぱりこんなこと無理だ」という雰囲気になりがちです。そうならないよう、ISMS事務局の3名が中心となりつつ、各部署に担当者を置いて、その担当者を教育して動かしてもらうようにしました。
— 取り組みをスタートさせるタイミングで、そのような体制を作っておられたのですか。
最初はISMS事務局だけでスタートしましたが、どうしても他人事になりがちなので、途中で体制を再構築しました。
全社を挙げた取り組みにするにはどうすれば良いか、金子さんに相談させていただき、各部署に担当者を置くことになりました。
担当者は、ある程度責任ある立場の社員に動機付けをして担当してもらいました。その上で、部署だけでは動きづらいと思い、ISMS事務局のメンバーが分担して各部署に入り込んで、一緒に取り組みました。
最初のうちはなかなか一体感を醸成出来ませんでしたが、最後の1ヶ月は会社全体で乗り切って行こうという機運が高まり、非常に有意義な取り組みになりました。
もう1つ、苦労したのがルール作りです。これはISMS取得の良いところでもあり、わかりづらいところでもありますが、あくまでもマネジメントシステムなので「これをやれば取得できる」という決め事がありません。実際にルールを決めていく時に、これが適切なのかどうか、さじ加減を計るのは難しかったです。これに関しても、金子さんに相談して、アドバイスを頂きながら落とし所を探って行きました。
目指すべきゴールと現状に極端なギャップはないと理解したことが推進力に
最後の約一ヶ月間は一体感の
ある取り組みが出来るようになりました
(コーポレート本部 リーダー・
今野瑠美氏)
— ISMS認証が取得できたことで、「対外的な信用性の向上」という1つめの目的は達成出来たと思います。もう1つの「社内の情報セキュリティ体制整備」という目的は満たすことが出来ましたか。
データを管理しているフォルダを整理し、権限管理をしただけでも、非常に大きな成果があったと考えています。従業員の意識も取り組み以前と比べると格段に向上したとは感じます。それを示すものとしてISMS取得できたことで、現時点では目的を果たすことが出来ました。
— これまでなかったルールを導入したことで、業務がやりづらくなったような感覚はございませんか。
業務がやりづらくなったという感覚はありません。むしろ「やるべきことをきちんとやるようになった」という意識です。もちろん、クリアスクリーンポリシーなどは、これまで重要性を認識していなかった人にとっては「面倒くさい」と感じたと思います。しかし、お客様の情報を適切に扱う上では必要なことだと認識すれば、これまでやっていなかった人も徐々に慣れて行きますし、実際、行動として定着してきました。
— 1年弱の取り組み期間でISMS認証が取れる状態になるのかというご心配もおありだったとのことでしたが、実際に取り組まれたご感想として、何かとてつもない壁を乗り越えたような感覚はありましたか。
いいえ、そんなにドラスティックに変えた感覚はありません。高い壁を乗り越えたというより、これまでにあったシステムを整理して改善していくことによってISMS認証を取得することが出来ました。
目指すべき姿が見えない時は不安しかなくて、「これで本当に取れるのか」と何度も確認しました。しかし、その姿と社内の現状に恐れるほど大きなギャップはないということが少しずつ理解出来て行ったことで、ISMS事務局のメンバーも各部署の責任者も、徐々にやる気が出てきたように感じます。それが全体的に一体感のある取り組みに発展させられた1つの要因にもなりました。
豊富な実績に基づいたテンプレートとコンサルタントのリードで審査を無事に通過
取り組みを定着させるためには認証取得後の1年間が重要。
楽しみながら継続出来る仕組みを作っていきたいです
(執行役員 コーポレート本部長・堀内武志氏)
— LRMのコンサルティングはどのように進みましたか。
初めに決めていただいたスケジュールに沿って、隔週に1回程度LRMとミーティングを実施し、その中で適宜質問しながら作業を進めていきました。ミーティングには、弊社内で普段使用している『Teams』を使用しました。また、各部署で作業を進める際に出てきた質問への回答や、文書作成で困った時、審査準備を進める中で疑問が生じた時などは、チャット機能を使って質問し、回答していただきました。
全体の作業を進める間、終始不安に襲われましたが、金子さんの「大丈夫」と言う言葉だけを頼りに粛々と作業を続けました。
また、文書類のひな型も作業を進める上で非常に役に立ちました。さすが、過去のサポート実績が豊富なだけあって、しっかり作られたひな型だなと実感しました。そのひな型を、弊社の実態に合わせてカスタマイズしていけば、審査に必要な文書類はすべて揃います。あれを一から作って行くのは自力では難しかったと思いました。
— 従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能をご利用になられたのですか。
新規取得の際は『セキュリオ』を利用しました。リモートワークの環境下で全従業員にテストを受けてもらうにはeラーニングは効果的だと思います。eラーニングを利用せずに、物理的な教材やテストを渡して実施するのは困難な状況です。ペーパーレスにもなりますし、全員の実施状況が把握しやすいことも便利な点です。
— 『セキュリオ』はeラーニング以外の機能は使われましたか。
「法令管理」と「標的型攻撃メール訓練」の機能を利用しました。
「標的型攻撃メール訓練」はオプションですが、金子さんにご提案いただき、BCP対策の一環として実施しました。
このように『セキュリオ』には、ISMS取得を目指す上で必要なものがある程度揃っているため、便利だったなと思います。これらを自前で揃えるのは大変だと感じました。
— 内部監査員代行サービスはご利用になられましたか。
はい。内部監査では、実際の審査でチェックされるポイントを教えていただきながら実施していただきました。
現場で何を見られるのか、どのようなことを聞かれるのか、何を用意しておけば良いのかを具体的に教えていただいたことで、しっかり準備して審査に臨むことが出来ました。
今回は初めてということもありますので、社内で実施したら的外れな監査をしてしまったのではないかと思います。
実際に審査を受けて見て、金子さんがしっかりポイントを押さえてチェックしてくれていたことがわかりました。
今回、金子さんに代行していただいたことで、どういう観点で監査すれば良いか理解することが出来ましたので、自社で内部監査が出来るシステムを作っていきたいと考えています。
— 実際の審査はいかがでしたか。
現場へのヒアリングは心配でしたが、事前に金子さんからいただいた審査対応方法のアドバイスを共有していましたし、ISMS事務局メンバーも各部署のヒアリングに交代で同席してフォローするなど、しっかり対応出来たと思います。
また、審査員もコミュニケーションが取りやすい方で、弊社の事情をご理解いただいた上で、取り組みを評価していただきました。
ISMS活動を定着させるには認証取得後の1年間が重要
— 今後の展望を話し下さい。
今後、名刺にISMSの認証マークを印刷しますので、営業面にも寄与していくことは間違いありません。ISMS認証取得は、お客様にとっては安心材料の1つになると思いますので、アピールポイントとして利用していきたいと考えています。
また、マネジメントシステムがしっかり整備出来ていれば社員教育もしっかりできますし、社員としても情報管理に関する不安がなくなることで、安心して仕事が出来るようになります。ロイヤリティを高め、離職率を下げるためにも、情報セキュリティマネジメントシステムを維持することは大切です。
金子さんからもよく言われたことで、我々自身も認識していることは、運用の重要性です。お客様の重要な情報を取り扱っている以上、我々を安心してお使いいただくためにも、一人ひとりがもっと高いレベルで意識して取り組む必要があります。そういう意味でも認証取得後の1年目は、取得に向けた取り組み期間と同等に重要な期間になると考えています。ISMS認証を取得したことによる安堵感で気持ちが緩まないような施策は打っていかなければ行けません。
そこでISMS認証取得後は、ISMS事務局が中心となり情報セキュリティ委員会を設け、月1回~隔月のペースで部署の担当者とISMS事務局が集まり、課題や取り組み状況の確認をしています。加えて、eラーニングで定期的な教育の機会を設けました。当社のWEBサイトにはすでにISMSの認証マークを掲載していますので、それに恥じないように展開をしていきたいと考えています。
— 定期的な教育の機会というのは、認証を維持していくために行う、年一回の従業員教育ですか。
弊社では年に1回、まとめて実施するのではなく、もっと細かく、頻度を上げて実施したいと考えています。
一度に何十問もテストすると、受ける方にとって負担が重くなります。1回あたりのテスト項目は減らして、その分、数ヶ月に一回ぐらいの間隔で実施することで、意識を定着させて行きたいと考えています。教育という表現をすると、敷居が高く感じられますので、楽しみながら取り組める仕組みを作って行きたいと考えています。
ISMS認証取得後、『情報セキュリティ倶楽部』を契約しました。
困った時に相談できる体制があれば安心です
(右から;井高氏、堀内氏、津田氏、今野氏)
運用上困った時にコンサルタントに相談出来る『情報セキュリティ倶楽部』を契約
— LRMのコンサルティングを受けられたご感想をお話し下さい。
情報セキュリティのコンサルティング会社はLRM以外に存じ上げませんので、相対評価は出来ません。ただ、担当して下さった金子さんは、我々の実情を理解した上で、しっかりリードして下さいました。特に4ヶ月の休眠期間を経て再開する際には、取り組みを年内取得というゴールを達成するためのマイルストーンを明確に示していただけましたので、信じて取り組むことが出来ました。また、内部監査を含め、出来ていないことは出来ていないこととしてしっかりご指摘いただけたことで、審査もスムーズに済ませることが出来ました。
そもそもISMSとは何か、全体像が把握できないことによって不安を抱えながらの取り組みでしたが、そんな中でも取り組みを維持出来たのは金子さんのサポートがあったおかげです。
— 今後の運用においてLRMに御期待されることがございましたらお話し下さい。
今後もLRMのサポートは継続していただきます。ISMSの運用・改善サポート『情報セキュリティ倶楽部』を契約しました。先ほど申し上げた通り、認証取得後の1年目は非常に重要な期間であると認識しています。次の維持審査、3年後の更新審査に向け、社内では判断できないことがまだまだありますので、困った時にチャットや電話でコンサルタントに相談出来る体制が出来ていれば安心材料になります。内部監査の体制を作って行く際もアドバイスを頂きたいと考えています。
エンプラス株式会社の皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ エンプラス株式会社様のWEBサイト
※ 取材日時 2021年3月
- 人材サービス・派遣
- 建設・不動産
- 認証知識を基礎から学ぶ
- 海外への事業展開
- 50名未満
- 東京
- 1拠点