フォントワークス株式会社様 – 顧客事例 –
ソフトバンクグループのフォントワークス株式会社は2021年3月、ISMS/ISO27001認証を取得しました。
認証取得に向けた取り組みをスタートするにあたって、認証取得後の運用も見据えてコンサルティング会社を選定したとのこと。ISMS/ISO27001認証取得の理由と取り組み前の不安、コンサルティング会社選定を含む認証取得までの経緯などについて、管理部人事総務グループサブマネージャー・上野誠司氏、管理部人事総務グループ・片山隆氏に話を伺いました。
- お客様が抱える課題とISMS構築アプローチ
-
- 個人情報だけではなく情報資産全体の保護体制を確立したい
- 年度内(約8か月)に取得したい
- 社内にISMS取得や運用経験ある人材がいない
- 情報資産の洗い出しなど、事務局から各部署に情報を伝達し対応したことで全体の意識レベルが向上
- LRMのひな形をベースにコンサルタントと協議しつつ、スムーズに台帳や文書を作成
- 業務の進め方や管理方法には大きな変更を加えずにルールを構築
- LRMコンサルティングサービスへの感想
-
- ISMS取得企業の体制に合わせてマネジメントシステムを構築するコンサルティング方針
- 質問に対して、否定せずにアドバイスや提案をしてくれた
- 細かい質問にもすぐに返事をしてくれた
(フォントワークス株式会社について)
デジタルフォント(書体)の企画・開発・販売およびソフトウェアの開発を行う。1993年、文字を通じて新しい文化創造の担い手になることを企業理念として創業し、業界初の和文Type1フォントパッケージをリリースした。2002年、業界初の年間定額制のデスクトップフォント配信サービス『LETS』の提供開始をきっかけに、ゲーム業界、放送業界などを中心にシェアを伸ばしてきた。『LETS』のリリース以降も、「もじともっとじゆうに」をコンセプトに掲げ、特定の用途ごとに最適な書体をパックにし、使いやすい価格帯で提供するセレクトフォントサービス『mojimo』など、時代と環境に適した機能・サービスを提供し続けている。
本社;東京都港区。設立日;1993年8月。従業員数;約50名(2021年5月現在)
記事index
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— 御社がLRMに依頼した業務内容を教えて下さい。
フォントワークス株式会社は、2020年8月、LRM株式会社にISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。二宮さんと石濱さんのお2人に、ルール構築やドキュメント作成をサポートしていただき、2021年3月にISMS認証を取得しました。また、現在はISMS運用改善サポート『情報セキュリティ倶楽部』とセキュリティ教育クラウド『セキュリオ』を契約しています。
情報セキュリティの取り組みを社内外に示すためにISMS認証を取得
— ISMS認証の適用範囲をお話し下さい。
福岡支社も含めた全社全部署を適用範囲として取得しました。
— ISMS認証を取得した理由をお話し下さい。
弊社がISMS認証を取得した理由は、お客様に弊社のソリューションやサービスを安心してご利用いただくための環境を整備するためです。弊社はSBテクノロジーの100%出資子会社です。ソフトバンクグループはグループ全体で、情報セキュリティの取り組みに注力しています。弊社もその方針に沿った取り組みをして来ましたが、対外的にもその実績を示す必要があると判断しました。また第三者機関による認証を取得することで、社内に対しても、情報セキュリティの取り組みをしっかりやっている会社であることを認識してもらう意図がありました。
ISMS認証とプライバシーマーク(以下、Pマーク)を比較し、最終的にISMS認証取得をすることになりました。
— PマークではなくISMS認証を選択した理由をお話し下さい。
Pマークの保護対象は個人情報に限定されているからです。ISMSは保護対象を情報資産全体としています。
それがISMSを選択した最大の理由です。
— グループ会社からの要請もおありだったのでしょうか。
いいえ。ISMS認証取得の取り組みは、あくまでも内発的な動機で意思決定しました。2020年6月ぐらいに社内で検討し、2020年度内に取得する方針を固めました。
— グループ全体で定められた規定はおありでしたか。
毎年、セキュリティチェックへの回答を行っています。しかしながら、SBテクノロジーグループの一員でもあり、弊社も個人情報を取扱う会社でもあるため、セキュリティ体制のさらなる強化が必要と考えました。
— 例えばどのような対策を講じておられるのでしょうか。
セキュリティ・ソリューションの導入が中心です。例えば、エンドポイントセキュリティとして、マルウェア対策やサイバー攻撃を阻止するためのソフトウェア、MDM(モバイルデバイス管理)ソリューションなどを導入しています。
また、弊社は数年前からペーパーレス化を進めて来ました。コロナ禍でテレワークが増えた現在も、自宅に紙の書類を持ち帰らないよう徹底しています。
ISMS取得・運用の経験者が不在。期限内に取れるのかが不安
— 社内の取り組み体制を教えて下さい。
ISMS認証取得は管理部人事総務グループが中心となって取り組みました。情報セキュリティ責任者(CISO)は、管理部の部長が兼務し、上野、片山の2名に上司を加えた3名がISMS事務局を務めました。
— LRMとのお打ち合わせやドキュメント類の作成などの実務はお2人が担当されたのですか。
LRMとの打ち合わせはISMS事務局のメンバーが行いましたが、情報資産の洗い出しやリスクの洗い出しなどは各部署で実施しました。それぞれ部長が責任者を務め、実務担当者を1名任命してもらいました。それを統括する立場として人事総務内に事務局を置いています。
— ISMS認証を取得するにあたりご心配されたことはございませんでしたか。
8ヶ月という比較的短期間で取る必要がありましたので、色々と不安はありました。何から手をつけて良いのかがわかりませんし、様々なセキュリティ対策は講じてはいたもののそれがそのまま活かせるのかどうかもわかりません。
また、各部署で作業する部分については、どれだけ協力してもらえるかという不安もありました。技術に関しては片山をはじめ、社内にも詳しい人材がいますが、ISMSの取得や運用の経験を持つ社員は皆無でしたので、このような状況で本当に取得できるのかという懸念はありました。
LRMの説明に納得。当初の不安を払拭し取り組みをスタート
他社と比較して丁寧で
わかりやすい説明が依頼の決め手となりました
(管理部人事総務グループサブ
マネージャー・上野誠司氏)
— LRMにコンサルティングをご依頼になられた経緯をお話し下さい。
LRMは親会社から紹介されて知りました。上場企業と取引しているコンサルティング会社なら間違いないだろうと判断し契約しました。
— 他社との比較はされませんでしたか。
紹介を受ける前に、インターネット検索で何社かピックアップして話は聞きました。
その中でLRMは、ISMS認証取得までの道筋に関する説明が非常に丁寧で説得力がありました。
— その説明を聞いて、先ほどおっしゃったご懸念やご不安は払拭されましたか。
はい。営業の段階で、ISMS取得企業の体制に合わせてマネジメントシステムを構築していくというコンサルティング方針やスケジュール感に関するご説明がありましたし、キックオフミーティングで最初に二宮さんとお会いした際にも、改めてご説明いただきましたので、安心して取り組むことが出来ました。
— 認証取得後の運用改善サポート『情報セキュリティ倶楽部』と『セキュリオ』も同時にご契約されたと伺いました。
その通りです。ISMS認証は取得して終わりではなく、継続していかなければいけない認証です。維持審査、更新審査を受ける度に、コンサルティング会社を探すとなると、1から説明をしなければいけません。コンサルティング会社ごとに方針が異なると、こちらの作業も増えますので、予め認証取得後の運用まで見据え、LRMに依頼しました。
『セキュリオ』もISMSを運用するために必要な機能が揃っているため、大変有用であると判断して契約しました。
各部署での取り組みを通して社員の意識レベルを統一
— 取り組みの結果を伺います。目的は達成することが出来ましたか。
そうですね。計画通り年度内にISMS認証を取得し、それを社内外にアピールすることが出来ました。認証取得後の3月下旬にはWEBサイトでの周知も出来ました。
— グループのセキュリティチェックに関しては、ISMS認証を取得したことで回答が楽になることもあるのですか。
回答する際の負担は軽減されました。項目の一部はISMSの規定にも含まれていますので、その項目について回答に困ることはなくなりました。
— 社員の皆さんに対する意識付けに関してはいかがでしょうか。
取り組みの中でISMS事務局から各部署に情報をおろして対応をしてもらったことで、徐々に全体の意識レベルが高まり、個人差は埋まっていきました。さらに、一般社員向けのハンドブックを配布して読んでいただいたことで、自社が情報セキュリティにしっかり取り組んでいる会社であるという意識付けは出来ました。また新入社員に対しても、入社時点で弊社のルールを周知する準備も整いました。
— 情報資産の洗い出しやリスクの洗い出しなど、各部署にご協力いただいた作業はスムーズに進みましたか。
はい、当初の予想に反して非常に協力的に取り組んでいただけたと考えています。各部署の担当者も初めての体験ですし、それぞれ本業がありますので、説明したことが理解されにくかったり、締め切りに間に合わなかったりしたこともありましたが、全体のスケジュールに影響が及ぶようなトラブルや作業の遅延はありませんでした。
問い合わせへの返信も早い。LRMのサポートでドキュメント作成もスムーズに進行
LRMのコンサルタントは質問への回答が早いので助かりました
(管理部人事総務グループ・
片山隆氏)
— ルール構築やマニュアル作成、または各部署から上がってきた情報をとりまとめていく作業をする中でご苦労されたことはございませんでしたか。
特に苦労することはありませんでした。ルール構築やマニュアル作成は、LRMに提供してもらったひな形をベースに作業を進め、不足している部分はLRMと協議して対策を決めていきました。また、台帳をまとめる作業に関しても、LRMからご提供いただいたひな形を利用して作業を進めましたので、非常にスムーズに進行することが出来ました。
— これまでに講じてきた対策の変更を求められたことや、不本意ながら取り入れざるを得なかった対策などはございませんでしたか。
業務の進め方や管理方法において、大きな変更を加えたことはありません。従業員へのセキュリティ教育や内部監査の実施、委託先管理、情報資産やリスクの定期的な見直しなど、ISMSを維持していくためのルールが確立された以外に大きな変化はありません。
— LRMとの打ち合わせは何回ぐらい実施されましたか。
2020年8月から10月にかけて約2時間の打ち合わせを5回ほど行いながらマニュアルを作成しました。マニュアル作成が終わった後も、各部署から上がってくる情報をまとめる作業を行う中でわからないことがあった時に、約1時間の打ち合わせを何度か実施してもらいました。また社内で作業を進めるにあたっては、メールでも問い合わせをしました。
インシデント報告書に記録すべきか、委託先に該当するか、など細かい質問をしてもすぐに返事が返って来ましたので、すごくありがたかったです。
— 『セキュリオ』をご利用になられたご感想をお話し下さい。
『セキュリオ』はeラーニングの他、法令管理、委託先管理、社内アンケートを使っていますが、管理者にとっては手間の省けるツールです。非常に役に立っています。
(1)eラーニング
予め教材が用意されている点が便利です。セキュリティの勘所を押さえた適切な教材が提供されています。
(2)委託先管理
委託先の入力は事務局で決めたルールに沿って、各部署で入力してもらっています。これまで部署ごとに管理していた委託先が会社として一元管理出来るようになりました。
(3)社内アンケート
試験的に内部資料の回覧に活用してみました。グループ会社全体で共有する資料を配信して、閲覧が済んだら「イエス」にチェックを入れてもらうという使い方をしました。従来はMicrosoft社の『Excel』を使って閲覧した日付を記入してもらっていましたが、『セキュリオ』のアンケート機能を使えばクリック一つで済みます。回答がない場合はリマインドをかけられる点も便利です。
(4)法令管理
管理画面で自社に関連する法令を登録しておけば、必要に応じて各法令の詳細や改訂内容、履歴を確認することが出来ます。
— 内部監査のサポートはありましたか。
内部監査では内部監査員を二宮さんと石濱さんに代行していただきました。何をどう監査すれば良いのか見当も付きませんし、内部監査と言っても内部の人間がやらなければいけないという決まりはないということでしたのでお願いしました。
— 内部監査員を代行していただいて良かった点をお話し下さい。
専門家の視点でしっかり監査していただいたことで、審査を迎える備えが出来ました。内部監査でご指摘いただいた箇所は全て改善したこともあり、第2段階審査では大きな指摘を受けることもありませんでした。
また、LRMに弊社の事情をより深く理解していただける機会にもなりましたので、今後の運用改善サポートも、より安心してお任せすることが出来ます。
ISMSを維持するには現場の協力は不可欠。意識の定着が課題
— ISMSの取り組みに関して、今後の展望をお話し下さい。
ISMSの新規取得は、LRMのサポートを受けたこともあり、スムーズに進めることができました。
ただ、今後、運用を継続していく部分に関しては、ISMS事務局のメンバー自身、慣れが出てきてしまうといけませんし、日常業務との時間配分も考えなければなりません。どうしても本来の業務を優先しがちになりますので、ISMSのための時間を自分の中で確保する必要を感じています。また、ISMSの活動を社内に浸透させるには、ISMS事務局の方から意識的に繰り返し発信していく必要がありますが、それがあまりにも多すぎると、社員にとっては煩わしさの要因になってしまいますので、バランスが難しいと思っています。
さらに、ISMSの活動を維持していくには各部署の協力も不可欠です。各部署のISMS担当者にも、定期的にリスクを見直すことを意識の片隅に持っておいて欲しいとは思いますが、その意識をどう定着させていくかは今後の課題です。
慣れてしまうことが怖い。いかに意識を定着させるかが今後の課題です
(右奥から;上野氏、片山 ※左は弊社二宮、石濱)
話しやすいコンサルタント。『セキュリオ』の改良にも期待
— LRMのコンサルティングを受けたご感想をお話し下さい。
LRMに好感を持った点は、こちらの問いかけに対して否定から入らないということです。まず受け入れた上で、質問に対する回答やアドバイス、提案をするというスタイルなので質問がしやすいと感じました。あまり否定されると「こんなこと聞いて良いのかな」という気持ちが芽生え、自由に話せません。LRMの二宮さんと石濱さんにはそれがなかったので、話しやすかったです。
— 今後、継続的にサポートを受けられる上で、LRMへの御期待をお話し下さい。
今後、年間実施項目上のタスクに取り組んでいく上で、様々な問題に直面することになると思います。
毎年訪れる維持審査や更新審査に向けた内部監査や、指摘事項に対する対応など、社内の人間だけでは難しいと思いますのでこれまで通りのサポートを期待しています。
また『セキュリオ』のさらなる改良にも期待しています。これまでも使っていて感じた点を、『セキュリオ』のカスタマーサポートに要望を出して改善してもらったことがありました。私達自身、過去に様々なツールを触ってきましたし、開発する立場でもあります。そういった目線で見て、改善や改良に繋がると思ったポイントを連絡させていただいています。『セキュリオ』はISMSを運用していくために必要な機能が全て揃ったプラットフォームです。
ただ、弊社として活用しきれていない機能も沢山ありますし、もう少しこういう使い方が出来れば良いのにと思う点も多々あります。最大限に活用出来るよう、カスタマーサポートとやりとりしているところです。
フォントワークス株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ 取材日時 2021年5月
※フォントワークス株式会社様のWEBサイト
- サービス開発・提供
- 認証知識を基礎から学ぶ
- 社内の運用を変えない
- 50~199名
- 東京
- 1拠点