株式会社フェローズ様 – 顧客事例 –

ISMSを組織に浸透させるにはシンプルなルール作りが不可欠。LRMが提案したPマークとの統合を進めて正解でした。

事業規模が急拡大する中、情報セキュリティ体制の見直しを図るためにISMS/ISO27001認証を取得した株式会社フェローズ。サポートをLRMにご依頼いただき、創業当時から運用していたプライバシーマークとの統合も行いました。
取り組みの経緯と成果を、運用担当者の管理局 人事総務部 総務課担当課長・荻野允氏に伺いました。

(株式会社フェローズについて)

株式会社フェローズは、人材を軸にした事業展開を行う会社である。主力事業は、インターネット回線や携帯電話などの販売店を対象とした営業・販売支援事業である。売上の底上げや立て直しといった課題を持つ店舗や売場に対し、単なる販売員の派遣に留まらず、販売戦略やセールスプロモーション企画の立案から、人員の手配、実際の販売を通して得られた情報の分析、改善までを一気通貫で請け負い、クライアントの事業成長に貢献。独自に築き上げた販売メソッドと人材教育のノウハウを武器に、圧倒的な販売実績を残しながら事業を拡大してきた。近年は人材派遣事業や教育事業などの新規事業にも注力。クライアントや自社の従業員を含む全ての生活者に笑顔のある世界を実現することをビジョンに掲げ、さらなる成長を目指している。
設立;2008年2月。本社;東京都渋谷区。従業員数;約360名(2019年4月現在)。

ISMS/ISO27001認証新規取得とプライバシーマーク統合のコンサルティングをLRMに依頼

— LRMへのご依頼内容をお話し下さい。

弊社は2018年9月、LRMにISMS/1SO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
また、プライバシーマーク(以下、Pマーク)との統合オプションも追加しました。

LRMの担当者は大谷さんです。9月中旬からコンサルティングがスタートし、2019年5月、ISMS認証を取得しました。Pマークとの統合はLRMからのご提案でしたが、結果的に運用がシンプルになり良かったと考えています。

情報セキュリティ体制を見直すために ISMS/ISO27001認証を取得

— ISMS認証を取得した理由をお話し下さい。

ISMS認証取得を検討し始めた直接のきっかけは、既存のクライアントからの要望でした。クライアントから外注先はISMSの規格に沿った体制整備が出来ているのが望ましいというお話をいただき、弊社としても、社内の業務環境を見直す良い機会になると考えました。

— ISMS認証の適用範囲をお話し下さい。

教育事業部以外の全てです。教育事業は、フランチャイジーとして学習塾を運営しておりますが、フランチャイザー(フランチャイズ本部)のルールに沿った運営をしていますので適用外としました。

— Pマークを取得された時期を教えて下さい。

Pマークは弊社が創業してすぐの2008年に取得し、2019年3月に5回目の更新を終えました。

— Pマークだけでは十分ではないということだったのですか。

そうですね。これまで機密情報として重視されてきたものは個人情報のみでした。しかし現在は、守るべき情報の範囲が広がりましたので、状況に応じた管理体制を整備してほしいというクライアントのご希望がありました。

一方、弊社もPマークを更新し続けてきて、緩みが出てきているという危機感がありました。また、急激に従業員が増えたこともあり、文書化されたルールと実態が合わない部分も出てきていました。そこでクライアントからのご要望を機に、見直すべきところは見直して、前向きに整理して行こうという意思決定をしました。

LRMに即決した理由はサポート内容のわかりやすさ

— コンサルティング会社は、何社ぐらい比較されたのですか。

実は他社との比較はしていません。当初は、複数の会社を比較するつもりでしたが、営業の藤居さんと会って話をした際の感じが良く、安心して任せられると判断し、ほとんど迷うことなくLRMに依頼しました。

— 具体的にはどういった点を感じが良いと思われたのですか。

藤居さんのサービスの説明がわかりやすかったことです。コンサルティングの進め方、サポートの範囲、サポート体制など、ISMS認証取得に至るまでのサポートの全体像を、短時間で明確に説明していただきました。この方がバックにいるなら、途中で何かあっても大丈夫だと思いました。

— Pマークとの統合については、どの段階で提案されたのですか。

商談段階です。ISMSとPマークを統合すれば、今後の運用がシンプルになるというご提案をいただきました。
ISMSもPマークも、従業員教育や内部監査を毎年実施する必要があります。統合せずバラバラに運用すれば、何回もやらなければいけませんが、統合すれば1回で済みます。また、日々の運用に必要なマニュアルや、審査に必要な記録類なども、共通する要素をまとめてしまえば、管理がしやすくなります。統合することでISMSとPマークの運用がシンプルになり、PDCAサイクルも回しやすくなると判断し、提案を受けることにしました。

ISMSとPマークの規格に準拠しながら一本化したルールを構築

サービスの全体像が明確だったためほぼ即決でLRMにサポートを依頼しました

サービスの全体像が明確だったためほぼ即決でLRMにサポートを依頼しました
(管理局 人事総務部総務課 担当課長・荻野允氏)

— ルール作りはどのように進んだのですか。

まずLRMにスケジュールを組み立てていただきました。そして弊社側で情報資産管理台帳と、リスク管理台帳の作成を実施し、それをもとにLRMがマニュアルのひな形を作成し、出来上がったひな形を一緒に読み合わせしながら弊社のルールに合わせて修正していきました。その中にPマークと統合する作業も含まれています。

— ISMSとPマークの統合はどのように行ったのですか。

ISMSとPマークの統合というとわかりにくいですが、実際にやったことはISMSとPマークの規格に準拠しながら、弊社独自のルールを一本の軸で構築したというイメージです。従来の弊社の業務手順を整理していってISMSの規格を当てはめてルール化し、その中でPマークにも準拠しているものはPマークの要求に沿った形ではめ込むという手順で構築していきました。

LRMからは「このルールはISMSとPマークの両方に準拠している」「これはPマークだけ」という風に説明していただいたので、やっていることを理解しながら作業を進めることが出来ました。

— 異なる2つの規格に準拠したルールを作るというのは、素人目ではややこしそうに感じますが実際はいかがでしたか。

統合に関してはそう難しいとは感じませんでした。Pマークは「こうしなさい」と決まっているものが多いので、ISMSにも準拠するルールはそのままはめ込み、Pマーク特有のものは別途Pマーク用の文書として独立させるだけでした。

どちらかというと新規で検討したISMSのルール作りが難しかったです。自由に決められる分、簡単なことでも迷いました。特に“可用性”を考慮したルール作りというのは、最初はかなりハードルが高く感じました。それまで、情報セキュリティはガチガチに守りさえすれば良いと考えていました。そのため、例えばサーバーの権限分けについて考えるとき、「アクセス出来る人間が多い方が業務はやりやすいけれど、セキュリティが甘くなる。反対にアクセスできる人間を少なくすれば可用性が下がる。」といった点をどうさじ加減して良いのかがわからず悩むことがありました。

もう1つ悩んだのが、各部署にまんべんなく適用できるルール作りです。各部署でそれぞれ業務が異なりますので、業務のやりやすさを考えたら、各部署の業務に合わせてそれぞれルールを作るのが一番ですが、それではISMSの運用上問題が生じます。

— それは、どのように落とし所を見つけたのですか。

ルールにある程度の幅を持たせるという考え方で決めて行きました。

例えばPCの持ち出しルールは、管理者を決めて許可制にしました。社員をランク分けし、PCを種類別に区分して、あるランクの社員が、ある種類のパソコンを持ち出すことは可能、といった条件をつけました。

またPCにインストールするソフトウェアを、使用可能なものと使用禁止のものに分けてリスト化しました。例えばブラウザなら『GoogleChrome』と『FireFox』は使用可、『Internet Explorer』は使用不可という感じです。その上でクライアントからの要望があった場合などには都度相談するというルールにしました。

— 従来よりも厳しく制限されたこともあるのですか。

全体的に極端に厳しく制限したルールはありません。これまでルールとして明言されていなかったものを明言し、文書化したという側面が強いです。なんとなく「上司の許可を得たからOK」という風になっていたものを、承認者や申請の流れを明確に取り決め、明文化しました。

— ルールを決める際の議論に、LRMはどう関与したのですか。

色々なアドバイスをいただきましたが、最も役立ったのが他社の事例です。弊社と似たような会社の事例を教えていただきました。中にはそのまま適用出来るものもありました。

— Pマークで運用していたルールは、一言一句変更はされなかったのですか。

いいえ、変えています。2017年に改訂された新しい規格に対応させた上で統合しました。

また、新しい規格に対応させる過程で手順を簡素化したものもありました。例えば新しい個人情報を取得する際の手続です。これまでは、新規の事業が始まる際に今まで持っていなかったような個人情報を取得する場合、何枚も申請書を書く必要がありました。正直それらの作業はかなり手間でしたので、申請書を作成して申請・承認するというフローではなく、台帳自体を更新・承認するというフローに変えました。 このように、本当は必要ないのに手間をかけて運用しているルールについて、大谷さんからいくつか指摘を受けましたので、その都度アドバイスをいただいてシンプルなルールに変更しました。

進捗状況とアウトプットのチェックで、社内での取り組みもサポート

— 今回の取り組みで最も苦労されたことをお話し下さい。

最も苦労したのは、弊社内で行った情報資産の洗い出しとリスク管理表の作成です。ISMS事務局は管理局の担当役員と人事総務部長、そして私の3名で担っていますが、現場にどのような情報があるかを全て把握しているわけではないので、情報資産の洗い出しやリスク管理台帳の作成は、各部署の責任者に協力してもらう必要がありました。

認証取得が完了した今では、認証マークを名刺に印刷できるなど、認証を取得することのメリットが感じられ、社内の意識も変わってきたと感じています。ただ、認証取得の段階では、情報資産の洗い出しやリスク管理台帳作成の進捗状況を確認しにいくと、面倒臭がられる場面はありました。私達自身も情報資産の範囲をどう線引きして良いか、理解出来ていないところがある中での取り組みだったので、根気強く、時には一緒に手を動かしながら進めていきました。

— 社内の取り組みを進める上で、LRMはどのようなサポートをおこないましたか。

情報資産の洗い出しやリスク管理表の作成に関しては、事前にどのようなものが情報資産に含まれるのか、どのようなリスクが考えられるのかを、事例を示していただきながら説明していただきました。社内で作業を進める中でわからないことがあった時は、電話やメールで問い合わせをしてアドバイスをいただきました。また打ち合わせの際に進捗管理や内容のチェックをしていただいて、改善点のアドバイスもいただきました。

管理が便利な『セキュリオ』、客観的な評価で社内を引き締める内部監査員代行

— 文書類が固まった時期はいつですか。

2019年2月末です。Pマークの更新審査が3月にありましたので、12月中にPマーク更新の申請書を送る必要がありました。そこで一旦、文書の読み合わせは中断して、Pマーク審査に向けた内部監査と従業員教育を実施して申請書を作成・送付し、1月に文書の読み合わせを再開して2月いっぱいかけて完成させました。

— 今回のPマーク更新審査は、新しいルールで受審したのですか。

いいえ。まだ移行期間中であるということと、今回のPマーク更新では申請前に新しいルールでの運用期間を確保することが難しかったので、従来のルールで受審しました。

— Pマークの更新審査へ向けた準備に、LRMは関与していないのですか。

Pマークの更新審査に向けた準備でも、ISMSとは別途、従業員教育と内部監査をサポートしていただきました。従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能で実施しました。内部監査では、本社の内部監査を代行してもらいました。地方の各支店は社内の人間が内部監査員を務めて実施しましたが、スムーズで有効な内部監査を実施できるよう、チェック項目を作成して頂きました。

— 従業員教育についてお話を伺います。『セキュリオ』をご利用になられたご感想をお話し下さい。

『セキュリオ』は非常に使いやすいです。従来はテキストとテストを紙に印刷して実施していました。それに比べて格段に管理がしやすいですね。まず、一人一人の実施状況が簡単に把握できます。実施記録を紙で保管するとなると、何百名分もの記録用紙を管理しなければいけません。しかし『セキュリオ』なら、クラウド上にデータを持っている状態ですので、必要な時に必要な記録だけ印刷すれば済みます。審査では、ISMSの場合は画面を見せるだけですし、Pマークなら受講記録を1枚印刷して渡すだけで済みます。便利なので、ISMS認証取得後も契約し、使い続けています。

— 内部監査員を代行してもらうメリットをお話し下さい。

正しい方法で内部監査を実施出来ました。従来は自己流で何となくやり続けてきただけでしたので、引き締めることが出来ました。

内部監査は、自社内のリソースで実施するのが理想なのかもしれませんが、現実的には日常業務と並行して実施しますし、顔見知り同士で監査し合うことになりますので、妥協が生じます。その点、外部の方に見ていただければ、ダメなことはダメと釘を刺していただくことが可能です。自分達でやっている時は、何をチェックすれば良いのかわからなかったので、重点的に見なければいけないポイントや、見るべき視点を教えていただけて良かったと思います。

さらに、審査の予行演習にもなりました。事前に弊社からお願いして、より審査に近い形で実施してもらいました。

— ISMS認証の審査はいかがでしたか。

ISMSの審査はやりやすかったです。審査員の方はダメ出しをするのではなく、「もっとこうしたら運用がしやすくなりますよ」と、教えてくれるというスタンスでした。もちろんダメなことがあれば指摘されるはずですが、今回はアドバイスを頂いたという感触がありました。

大谷さんはざっくばらんに何でも話せるコンサルタントでした。会社全体によるサポート体制にも安心感を持ちました

大谷さんはざっくばらんに何でも話せるコンサルタントでした。
会社全体によるサポート体制にも安心感を持ちました。
(右;荻野氏 ※左は弊社大谷)

シンプルなルール体系が従業員の意識向上に繋がった

— ISMS認証を取得して良かったと思うことはありますか。

まず、弊社の実態に合ったルール作りが出来た点です。

社員の情報セキュリティに対する意識が高まったという実感もあります。何かあるとすぐに「こうしたいから許可して欲しい」という問い合わせが来るようになりました。それは自分が所属している組織がISMS認証を取得・運用している会社であるという意識の表れであると認識しています。

また管理者サイドとしても、今回のISMS認証取得を通して沢山の気付きを得ることが出来ましたし、具体的な管理方法も知ることが出来ました。

— ISMSとPマークの統合についてはいかがですか。

統合して良かったですね。統合したことでルールが体系化されシンプルになりました。文書もスリム化し、ルールを確認したいと思った時は、簡単に振り返ることができます。ルールを形骸化させないためには、組織への浸透が不可欠です。だからこそルールはシンプルにしなければいけません。

— 文書類のボリュームはどのぐらい減りましたか。

劇的に減りました。以前はPマーク用の文書だけでしたが、A4ファイルで成人男性の身幅ぐらいの厚さがありました。現在はおよそ30ページの文書類が5冊なので、平均的な雑誌1冊分ぐらいです。以前は何重にも重複した記述があったり、そもそも弊社には不要な記録類があったり、無駄な要素が沢山あったということですね。とにかく大幅に削減することが出来ました。

— 今後の課題をお話し下さい。

今回は、守らなければいけないところは守って、自社の運用を壊さないということに重きを置いて、ルールを作りました。しかし会社が大きくなると、社会的責任も大きくなります。外部からの要請が増えることも考えられますので、そういった声を気にしながら、PDCAサイクルを回していかなければいけません。

目先の課題は、社内システムの刷新です。より具体的に言うと、規模に応じた情報の保管・共有の仕方を検討していく必要があると考えています。弊社は設立から10年以上が経過し、事業拡大とともに、拠点、従業員、情報、全てが増えました。しかし、情報の保管・共有の仕方は、小規模だった時と変わらず、社内に置いたファイルサーバーのままなので、クラウド化すべきかどうかを含めて検討して参ります。

ざっくばらんに話が出来る担当者と会社を挙げてのサポート体制を評価

— LRMのサポートはいかがでしたか。

大谷さんは、ざっくばらんに腹を割って話が出来るところが良かったです。説明も丁寧でした。商談の中で、「対応が悪いと感じられた場合、いつでも担当者を変更します」と言われていましたが、心配無用でした。

またLRMは、会社を挙げてのサポート体制が整っていました。作業を進める中で確認したいことがあった場合、LRMの事務所に電話をすると、担当者不在の時でも事務所にいる方が対応してくださいます。誰が対応してくださっても、我々が求める回答がしっかり返って来ました。全社を挙げてサポートしてくださる安心感がありました。

— 『セキュリオ』は引き続きご利用されているとのことでしたが、ISMSやPマークの今後の運用全般について、LRMにご期待されることはございますか。

先日、ISMSとPマークの運用改善サポート『情報セキュリティ倶楽部』を契約しました。LRMには今後もサポートしていただきます。特に期待していることは、他社の取り組み事例です。『情報セキュリティ倶楽部』と『セキュリオ』を契約をしておけば、メールマガジンでの情報配信のほか、いつでもコンサルタントに相談できます。
また、『セキュリオ』上では、実際に起きた情報漏洩事故の分析や最新関連法令など、関連コンテンツが配信されていますので、それらを見るだけでもずいぶん参考になります。情報セキュリティは組織内部の話ですので、他社の情報を得ることが困難です。世の中ではこういうことが流行っている、こういうやり方をしているといった情報をいただけることは、非常にありがたいです。

また内部監査のサポートもしていただきます。ISMSやPマークを形骸化させないためにも、ダメなところはダメだとしっかりご指摘いただきたいと考えています。

株式会社フェローズ様、お忙しい中有り難うございました。今後ともどうぞよろしくお願いいたします。

株式会社フェローズ様、お忙しい中有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社フェローズのWEBサイト
※ 取材日時 2019年9月

  • サービス開発・提供
  • 人材サービス・派遣
  • ISMS/Pマークのルール統一
  • 200~499名
  • 東京
  • 複数拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら