株式会社Faber Company様 – 顧客事例 –
株式会社Faber Companyは、LRMのコンサルティングを受けてISMS/ISO27001認証の新規取得に成功し、継続して運用改善サービス『情報セキュリティ倶楽部』、eラーニングサービス『LIXIS』を契約しました。認証取得の理由や経緯、LRMへの今後の期待などについて、取締役社長COO 稲次正樹氏にお話を伺いました。
記事index
(株式会社Faber Companyとは)
Webマーケティングの中でもSEM領域に特化した事業を展開。「検索エンジン集客の達人」をコンセプトとして、SEO、リスティング広告の運用代行受託およびコンサルティングを軸に、コンテンツマーケティングやサイト制作、システム開発までワンストップで対応している。本場・北米で最先端情報・技術の収集に注力し、そこで得た情報や技術を、社内のエキスパート(職人)が検証・実証を重ねながら独自のノウハウに昇華させて、クライアント企業へサービスとして提供している。取締役・鈴木謙一氏が運営する『海外SEO情報ブログ』は、国内WEBマーケティング業界で働く人々の貴重な情報源として広く活用されるなど、SEM業界における一次情報者としての地位を確立。クライアントは大手ネットマーケティング企業から小規模事業者まで幅広い。近年は『職人とテクノロジーの融合』をテーマに、会社設立以来約10年にわたる研究成果と人工知能を駆使し、マーケティングツールの独自開発に取り組んできた。
2015年春、WEBサイトコンテンツの分析と改善をサポートする『MIERUCA(ミエルカ)』をリリース。輸入製品が主流を占める中、インターフェイスにもこだわった日本人による日本人のためのマーケティングツールとして大手企業などにも導入が進む。今後は北米市場進出も視野に入れブラッシュアップを重ねる計画だ。
設立;2005年。本社;東京都港区。従業員数;約50名。
LRMへの依頼内容
— LRMへのご依頼内容をお話し下さい。
弊社は、2015年2月、LRMにISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。
コンサルティングを担当した幸松さんのサポートで、同年10月に認証取得が完了し、引き続き、運用改善サポート『情報セキュリティ倶楽部』、eラーニングサービス『LIXIS』を契約しました。
社内体制の確立を目的にISMS/ISO27001認証を取得
『職人とテクノロジーの融合』をテーマとする同社が開発した純国産マーケティングツール『MIERUCA』。大手企業への導入も進む。
— まず、ISMS認証を取得した理由をお話し下さい。
弊社がISMS認証を取得した最大の理由は、社内体制の確立です。認証取得を検討し始めた当時は、社員数の増加に伴い、社内を一枚岩にすることが困難な状況になりつつありました。弊社の事業では、現状、個人情報はお預かりしませんが、取引先のマーケティングデータには触れるので、その際の取扱いには注意が必要です。現在は人材の採用は新卒採用が中心ですが、以前は中途採用が中心だったため、仕事の進め方やセキュリティ意識は統一されていませんでした。コンプライアンスの徹底、事故の事前防衛のためにも、それらを統一する必要があると考えました。
また、副次的には、営業上の機会損失を防ぐ目的もありました。過去に1度だけ、受託案件の受注にISMS認証取得が関係したことがありました。ある業界の最大手企業の案件で、順調に商談は進んだものの、認証がないことを理由に失注してしまったのです。実は、この時に「こういうこともあるのか」と実感したことがISMS認証に関心を持つきっかけとなりました。当時、大手企業との取引、サイト制作やSI案件の受託など、業容を拡大させつつあったため、今後はISMSやプライバシーマーク(以下、Pマーク)のような認証取得は必要になるのだろうと考えました。
— Pマークも検討したのですか。
当時はそもそもISMSがどういうものか、Pマークと何が違うのかも把握していませんでした。そこで旧知のLRMが開催するセミナーに出席し、基礎的な知識を得て、ISMS認証に絞って検討し始めました。
セミナーのわかりやすさがLRMを選んだ決め手に
— LRM以外のコンサルティング会社は検討しませんでしたか。
LRMのセミナーが非常にわかりやすかったので、他の選択肢は考えませんでした。約90分間のセミナーで素人の私たちにでも分かりやすい話をしていただきました。
– セミナーはどのような内容でしたか。
ISMSの認証制度がどういったものか、なぜやらなければいけないのか、企業が最低限知るべき、ISMS認証取得を検討し判断するための指針となる情報をご提供いただきました。対外的な信用を得るには信頼性の高い第三者機関の認証を受けることが一番であること、ISMSの規格を活かしてマネジメントシステムを構築することで社内の体制整備、情報セキュリティ事故の事前防衛が出来るということを学びました。
セミナーで得た情報を社内に持ち帰り、役員会議にかけて承認を取り、約1年後、正式にLRMにコンサルティングを依頼しました。
ISMS/ISO27001認証取得の準備は「LRMの質問にありのまま答えただけ」
情報セキュリティ関連のキーワードで検索するとLRMのブログが上位に。ここまでしっかり情報発信をしているコンサルティング会社はありませんね
(取締役社長COO・稲次正樹氏)
— ISMS認証新規取得の準備はどのように進みましたか。
最も時間をかけたのは、ISMSの詳細管理策114項目の検討です。現在、弊社が行っている業務の状態を洗い出して、規格を当てはめ、ISMSのルールを決める作業です。3月から6月の4か月間、集中的に行いました。そこで決めたルールをもとにマニュアルを作成し、決めたルールを現場に落とし込むという流れで進みました。
この過程で弊社が行ったことは、詳細管理策114項目の検討の中で、幸松さんの質問に答えながらルールを決めることと、決めたルールを現場に落とし込んでいく作業です。
マニュアル作成はLRMが行いました。このような役割分担が出来たので、認証取得の準備における負担は、非常に軽かったという印象を持っています。
— そこで決めたルールとはどのようなものですか。
例えば一般社員に関わるものには各自のデスクの施錠があります。一番上の引き出しは必ず施錠し、名刺などは机の上に置かずに、その中に入れるようにしました。また、合鍵を経営管理部に預けセントラルコントロールし、個人の所有物で重要なものはロッカーにしまうことにしました。これには誰が休んでも良い体制を整える目的もあります。
また「ソーシャルメディア基本方針」を立てました。弊社のスタッフはSNSなどネットサービスの利用頻度が高いため、ユーザー同士のトラブルに巻き込まれるリスクがあります。そこでソーシャルメディアの利用に関するガイドラインを定めました。
管理系の施策としては、オフィスの整理整頓、紙のまま保管していた契約書の整理、サーバーのアクセス権限などの見直しも行いました。
— ルールを決める上でのご苦労はありませんでしたか。
ルールを決める際に「どこで折り合いをつけるか」という判断に迷うことはありました。認証を取得するにはISMSの規格が求める要件を満たす必要があります。しかしその要件と弊社の実情にはギャップがあります。そのギャップを完全に埋めるには膨大な時間と労力が必要です。その結果、業務に携わる社員にとっては窮屈な状況が生まれ、事業の障害に繋がるのではないかと考えました。弊社の実態と規格の折り合いをどこでつければいいか、具体的にはどのようなルールにすればいいのかと迷うことは多々ありました。
— その迷いはどのように解消されたのですか。
基本的にはそのルールが存在する理由や目的を理解することから始めました。迷うことがあれば、なぜこの規格が存在しているのかを幸松さんに質問し、その上で、他社の事例や幸松さん自身の意見を聞いて参考にしました。
ISMSの詳細管理策114項目に沿ってルールを決め、LRMによってマニュアルが完成した後は従業員教育へと進みました。
社員教育全般、採用テストにも活用できるeラーニングサービス『LIXIS』
情報セキュリティのeラーニングサービス『LIXIS』のトップ画面。
— 従業員教育ではLRMが提供する情報セキュリティに特化したeラーニングサービス『LIXIS』を使われたのですね。『LIXIS』とはどのようなサービスですか。
『LIXIS』は、クラウド上で情報セキュリティ関連の従業員教育が出来るサービスです。クラウド上で出来るため、新規取得に向けた準備における従業員教育は『LIXIS』を使い、LRMが用意したPDFのテキストを読んでテストに回答する、という形で実施しました。わざわざ時間を合わせて集まってもらう必要がなく従業員教育という工程を効率化できたというだけではなく、テストの結果を可視化して証跡が残せることが非常に便利だと感じました。認証取得以降も契約を継続し、新入社員の教育に活用しています。今後に向けては、管理者向け、監査役向け、部署ごとなど、様々なバージョンの教材を展開して欲しいという要望を出しています。
— テストの結果を可視化して証跡が残せるとどのようなメリットがありますか。
まず、回答の集計結果から間違える傾向が明らかとなるため、潜在リスクを把握することが出来ます。例えば今回のテストでは「何が個人情報で何が個人情報じゃないか」を間違えている社員が多いことがわかりました。このようなデータは、今後のISMSの改善に活かすことが出来ます。
また、社員1人1人のウィークポイントを把握できることもメリットの1つです。各自、自分のウィークポイントを自覚して、意識しながら業務に取り組むことが出来ますし、会社としても人事を考える際の参考にすることが出来ます。
実際、テスト結果には社員の性格が見事に表れていて面白いと感じました。情報の取り扱い方がわかると、慎重な性格かどうか、自分が関わる仕事に対して最低限のアンテナが立っているかどうか、常識性など客観的な判断が出来ます。情報と技術を扱う会社にとっては大きなメリットです。
— ランニングコストは、負担になりませんか。
『LIXIS』は、負担にならない程度の料金体系が設定されています。年に1回の従業員教育、新入社員の入社時研修など、月に1度の頻度で使う他、LRMが提供する教材の他に自社で作成したコンテンツをアップすることも可能なので、お得なサービスだと考えています。情報セキュリティ分野の教育だけではなく、業務マニュアルの周知や採用時のテストなどでの活用を検討しています。
『LIXIS』の管理画面。従業員教育の証跡が記録できる。
取引先を安心させるためにもISMSに取り組む意義はある
— 従業員教育以降はスムーズに進みましたか。
極めてスムーズでした。審査も幸松さんからアドバイスをいただいて臨んだため対応に困ることもなく、無事に取得を完了することができました。グッドポイントも2点いただきました。1点目は「教育の結果管理」です。何が出来て何が出来ていないかを明確にすることでどこにリスクが潜んでいるかが把握できるという評価でした。2点目は「最新法令の共有」です。LRMが作成した資料が非常にわかりやすいという評価を得ました。
— SEO/SEM分野でISMS認証を取得している企業は多くはないようですが、SEO/SEMの企業としてISMS認証を取得することの意義をどのようにお考えですか。
SEO/SEM業界自体が若いということもあり、現状ではまだ情報セキュリティに取り組むような成熟した会社が少ないのかも知れません。しかし、これまで情報セキュリティ関連のトラブルに巻き込まれた企業は、我々のようなSEO/SEM企業にとっても顧客となりうる企業です。そのような視点に立てば、今後はSEO/SEM業務の委託先に対して、ISMS認証やPマークの取得を求めることがトレンドになる可能性は十分あります。取引先を安心させるためにも取り組む意義はあると考えています。
— ISMS認証新規取得の目的に対する成果はいかがでしょうか。
社内体制の整備に関しては、ルールを構築し、ISMS認証を取得して初めてスタート地点に立ったと感じています。
現在、ISMS担当者を立て、月に1度ミーティングを行って進捗管理をしながら、次の審査に向けた準備を進めているところです。そしてその後も継続して改善していきたいと考えています。
また、ISMS認証を取得して良かったことの1つには、社員に「整理整頓」を徹底させる理由が出来たことがあります。従来は「整理整頓」と言ってもただの小言にしか聞こえなかったと思いますが、認証取得によって、オフィス環境を常に仕事をしやすい状態に整理しておくということに説得力が生まれました。
さらに、先ほど「ソーシャルメディア基本方針」についてお話しましたが、ソーシャルメディア上におけるトラブルは、社内だけではなく取引先にもその危険が潜んでいます。どんなタイプの人がトラブルに巻き込まれやすいか、どのようなところに危険が潜んでいるかを弊社のスタッフが認識しておくことで、弊社のお客様のトラブルを予防する効果を期待しています。
LRMの柔軟なアドバイスが悩みの解消に繋がった
— LRMへのご評価をお話ください。
LRMに依頼して一番良かったことは、杓子定規な対応ではなかったことです。弊社の内部の実情を把握し、ISMSの規格と弊社の実情を踏まえた上で柔軟なアドバイスをしていただきました。それが「どこまで折り合いをつけるか」という悩みを解消する大きな要因となりました。
今、ISMSについて具体的なことを調べようとすると、大抵のキーワードでLRMのブログが上位に表示されます。
情報セキュリティのコンサルティング会社で、これだけしっかりと情報を発信している会社は他に知りません。その姿勢から情報セキュリティに関して真剣に考えていることが伝わってきます。LRMは国内の企業におけるセキュリティ意識の向上に貢献している会社だと感じています。
運用改善サポート『情報セキュリティ倶楽部』契約に込めたLRMへの期待
— 運用改善サポート『情報セキュリティ倶楽部』をご契約された目的をお話ください。
1年後に控えるサーベイランス、そして2年後の更新審査に向けた継続的なサポートです。審査でグッドポイントと評価された最新法令の共有も含め、何かあった時にご相談できる状態を保っておきたいと考えて『情報セキュリティ倶楽部』を契約しました。LRMの継続的なサポートを受けて、PDCAサイクルをしっかり回し、よりセキュアな体制を築いていきたいと考えています。
eラーニングコンテンツの強化にも期待しています
(左;稲次氏)
株式会社Faber Company様、お忙しい中、有り難うございました。
株式会社Faber Company様のWebサイト
※ 取材日時 2015年11月
- システム開発・運用
- Web制作・運用
- 広告・マーケティング
- 認証知識を基礎から学ぶ
- 50名未満
- 東京
- 複数拠点