フォルシア株式会社様 – 顧客事例 –
フォルシア株式会社は、2009年にプライバシーマークを取得し運用し続けてきましたが、取引先からさらなる安心・信頼を得るためにISMS/ISO27001認証新規取得に取り組みました。取り組みにあたり最も心配したのは要員の確保だったそうです。コンサルティング会社の選定、ISMS/ISO27001認証取得までの経緯などを、セキュリティ監理室・井川克也氏に伺いました。
記事index
情報検索テクノロジーに特化したビジネスを展開する。データ検索を速く、賢く、無駄のない形で提供するための技術とノウハウを駆使して構築した情報検索プラットフォーム『Spook®(スプーク)』を基盤に、企業が独自に持つデータベースに合わせ、セミオーダーメイドでサイト内検索システムを提供。膨大な商品の組み合わせを持つ専門商社のECサイト、アイテム数が垓単位に及ぶ産業部品メーカーのカタログサイトなど、数多くのクライアントのビジネスを支えている。特に複雑なデータを抱える旅行業界においては、大手旅行会社約90%への開発・導入実績を持つ。その豊富な実績を背景に、国内では初めてGoogle Hotel Adsの「インテグレーション・パートナー」に認定されている。
設立;2001年3月。本社;東京都新宿区。従業員数;約100名(2017年12月現在)。
LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
2016年12月、弊社はLRMさんにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
LRMの担当者は吉村さんです。12月下旬にコンサルティングがスタートし、2017年7月に第2段階審査を終え、9月中旬、ISMS認証を取得しました。
顧客の安心・信頼感の向上を目的としてISMS/ISO27001認証を取得
— ISMS認証取得の目的・理由をお話し下さい。
弊社がISMS認証を取得した目的は、社内の情報セキュリティレベル強化による、お客様の安心・信頼感の向上です。
弊社は2009年にプライバシーマーク(以下、Pマーク)を取得しました。しかし、Pマークがセキュリティの対象とする範囲は個人情報に限定されています。クライアントによっては、取引先を対象とした情報セキュリティ調査を定期的に実施する企業があり、その調査に回答する際、個人情報の取り扱いに関しては「Pマーク取得」という回答で済みますが、個人情報以外の情報セキュリティ対策に関しては、具体的な施策を細かく記述する必要がありました。
そのようなことから、お客様の安心・信頼を十分に得るには、Pマークだけでは不足ではないかという意見が生じ、より広い範囲を対象とする第三者認証の取得が検討されるようになりました。
Pマーク以外に、情報セキュリティ系の第三者認証と言えば、弊社の業種を考えるとISMS認証が最適です。そこで2016年の夏頃からISMS認証取得に向けて動き始めました。
— まず取り組んだのはどのようなことですか。
まずはコンサルティング会社の話を聞くことから始めました。具体的に動き初めた段階で、弊社が最も懸念していたことは、取得に掛かる人的コストです。金銭的なコストは各社のWebサイトを見ればおおよその相場は把握できます。
しかし何人ぐらいの要員で、どれぐらいの時間を割く必要があるのか、といった人の動きに関する情報はほとんどありませんでした。Pマーク取得の際には大きな苦労をしたと聞いていました。対象範囲がさらに広がるISMSでは、負担がより重くなるのではないかという心配がありました。
「1人でも大丈夫」と言われたことがLRMに依頼した決め手
知識のない担当者もしっかりサポートしていただけそうな期待が持てました
(セキュリティ監理室・井川克也氏)
— Pマークの新規取得および運用では、コンサルティング会社のサポートを受けておられなかったのですか。
Pマークに関しては新規取得時にコンサルティング会社のサポートを受け、運用フェーズに入ってからは外部のサポートは受けずPマーク事務局が主体となって社内だけで運用して来ました。その流れでISMS認証取得もPマーク事務局がISMS事務局を兼ねることになりましたが、ISMS認証に関する知識はほとんど社内になかったので、まずはコンサルティング会社に相談することにしました。
— 相談したコンサルティング会社は何社ぐらいですか。
問い合わせたのは4社です。ネット検索で上位表示されたコンサルティング会社のホームページを順番に閲覧し、実績のありそうな会社をピックアップしました。そして各社に連絡して、おおまかに弊社の説明をし、全社取得の意向を伝えた上で見積依頼をしました。
4社のうち3社から概算見積が届きましたが、その段階でLRMさんしかないと感じ、LRMさんに会って話を聞きました。
— LRMしかないと感じた要因を教えて下さい。
最大の要因は実績です。概算見積の金額は、3社ともに相場の範囲内でした。その一方で実績が最もわかりやすかったのはLRMさんです。ホームページには豊富な事例が掲載されており、何本かの事例を読んで、ISMSの知識がない担当者に対してもしっかりサポートしてもらえるという印象を持ちました。話を聞いて決め手に欠くようであれば、他のコンサルティング会社に会おうと考え、まずはLRMさんと面会しました。
— LRMに依頼した最終的な決め手をお話し下さい。
最終的な決め手は、当初懸念していた人的コストです。営業担当の方に、打ち合わせに参加したり、作業をしたりする人員を何名確保すれば良いか聞いたところ、「1人で大丈夫」ということだったので、それ以上細かく聞く必要はないと思いました。
フォルシア独自の情報セキュリティマネジメントシステムを構築
— ISMS認証取得までの経緯をお話し下さい。
2016年12月下旬から4月までの約4か月間でマネジメントシステムの構築とISMSマニュアルなどの文書作成を行い、その後、従業員教育、内部監査、マネジメントレビューを経て、7月に審査を受け、9月中旬のISMS認証取得へと至りました。
— LRMのコンサルティングがスタートした際、ISMS認証取得に向け、取り組みの基本方針・目標は決めましたか。
はい。LRMさんと一緒に決めた基本方針・目標は、(1)オリジナルの情報セキュリティマネジメントシステムを構築する、(2)全従業員にしっかりと理解してもらう、の2点です。
(1)オリジナルの情報セキュリティマネジメントシステムを構築する
弊社は2009年にPマークを取得しましたが、開発会社として大事に扱うべき情報は個人情報だけではありません。
そのため個人情報の取り扱いのみに注力していたわけではなく、業務で扱う情報を、大事な情報とそうではない情報に仕分けし、大事な情報は個人情報と同様のルールに則って扱ってきました。ISMS取得にあたっては、そのルールをできるだけ活かしたいと考えました。
また、ISMS認証取得後はPマークとの並行運用となります。当初はPマークの返上も検討しましたが、ISMSがどういうものかわからなかったため、ISMS認証を取得した上で、改めてPマーク返上の是非を検討することとしました。そこで二重管理は避けて、運用をシンプルにするために、PマークとISMSの統合出来るところは統合し、弊社独自の情報セキュリティマネジメントとして構築する方針を掲げました。
(2)全従業員にしっかりと理解してもらう
お客様に安心・信頼できる会社であることを実感してもらうには、全従業員の情報セキュリティ意識向上とルールの遵守が重要です。全従業員を対象にきちんと教育を行うことを基本方針・目標に掲げました。
— マネジメントシステムの構築はどのように進みましたか。
マネジメントシステムの構築は、LRMさんが用意したマニュアルのひな形をベースに行いました。LRMさんと一緒にひな形の読み合わせをして、弊社の業務とギャップのある個所は調整していきました。
打ち合わせの時間は1回2時間。回数は月2回の合計8回です。
— 文書類の作成はどうされましたか。
文書類は、打ち合わせをもとに、LRMさんがベースを作り、それを社内でチェックし、必要があれば修正するという流れで完成させました。
— Pマークとの統合はどのように行ったのですか。
Pマークのマニュアルから弊社の業務として不要なルールは割愛し、必要なエッセンスだけ、メリハリをつけながらISMSのマニュアルに落とし込んでいきました。もともとのルールをそのまま引用した箇所もありますし、実際の業務に合わせて書き替えてもらった箇所もあります。Pマークを維持するために分けて管理した方が良い部分だけは、そのままPマークの文書として残しました。
— 方針通りのマネジメントシステムは構築できましたか。
無駄をそぎ落としたシンプルなマネジメントシステムが実現できたと考えています。
これまで運用してきたPマークのマネジメントシステムは、「弊社業務の中で実際にはやっていないがPマークの規格にあるため、何か問題が発生した時を想定してマニュアルに書いてある」ということもありました。そのような余分なルールを省き、実際に弊社が業務の中で行っていることだけをマニュアルに反映したことで、より弊社の実態にあったマネジメントシステムになりました。
— 従業員教育はどのように実施しましたか。
従業員教育は、定期的に開催している全体会議の中で、事務局メンバーが講師を務めて実施しました。業務の都合などで参加できない従業員に対しては、講師の説明をビデオ撮影しておいて、後に録画動画を視聴してもらう形で実施しました。テキストとテストはLRMさんに準備していただいたものを使用しました。
ひとまずは漏れなく全員に集合研修という形で実施することが出来ました。全従業員の情報セキュリティ意識向上とルールの遵守に関しては、今後の運用の中で継続的に取り組んでいきたいと考えています。
— 内部監査はどうされましたか。
内部監査はチェックすべきポイントがわからなかったため、LRMさんに監査員を代行してもらいました。
— 審査結果はいかがでしたか。
不適合など大きな問題はなく、無事に認証取得ができました。
ISMSとPマークの二重管理は避けたいと考えていました。
吉村さんのサポートでシンプルなマネジメントシステムが構築できました
(左;井川氏 ※右は弊社吉村)
“なぜこのルールが必要なのか?”社員からの質問にきちんと答えられるようになった
— LRMのコンサルティングを受けたご感想をお話し下さい。
まず、当初懸念していた人的コストの問題に関しては、契約前に営業担当の方に言われた通りでした。メインの文書作成を吉村さんが担ってくれたため、社内の負担は最小限に抑えることが出来ました。主担当1名、副担当2名で臨みましたが、主担当1人でも十分に対応できる範囲でした。
また、説明がわかりやすく、非常に助かりました。
例えば、マネジメントシステム構築の過程では、自社の業務をマニュアルのひな形に当てはめるために、どうすれば良いかがわからないことがよくありましたが、そのような時は、他社の事例を交えるなどして非常にわかりやすく教えていただきました。
ルールについての説明も同様です。従来運用してきたPマークのルールは、新規取得の際に契約したコンサルティング会社が作ったものですが、それ以来、我々自身は、なぜそのようなルールになっているのかを理解せずに「Pマークのルールだから」という理由で運用し続けてきました。しかし、今回ISMS認証取得に向けてマネジメントシステムを構築する際には、しっかり吉村さんに説明してもらい、その対策がなぜ必要かを理解することが出来ました。そのおかげで社員に説明する際にも、なぜ必要なのか、なぜやらなければいけないかということを、きちんと伝えられるようになりました。
今後の課題とLRMへの期待
— 今後の課題をお話し下さい。
今後の課題は2つあります。
1つ目は、ISMSとPマークの完全統合の検討です。現段階ではISMSとPマークの両方を並行して維持し続ける方針です。今回LRMさんのサポートにより、これまで運用してきたものと比較するとシンプルなマネジメントシステムが構築できましたが、帳票類など、まだ統合していない部分が残っています。現在、これらを完全統合するかどうか、継続して検討しているところです。
2つ目は、業容や事業領域の拡大など、会社の変化に合わせた継続的な改善活動です。マネジメントシステムは、構築して終わりではありません。ルールを陳腐化させないために、業容の変更はいうまでもなく、社内業務の仕組みや手順の変更などにも気を配り、ルールにほころびがないようにしなくてはなりません。ISMS認証取得を通して構築したマネジメントシステムは、会社の変化に合わせた改善を続けていく基盤となりました。この基盤に立ち、改善活動を継続していきたいと考えています。
— LRMへのご期待をお話し下さい。
事務局としては将来的には自社運用を目指しています。しかし、今申し上げた課題に取り組むには、まだその体制が整っていません。そこでISMS認証取得後、LRMさんの継続的なサポートを受けるために、ISMSとPマークの運用改善サポート『情報セキュリティ倶楽部』を契約しました。
いずれは世代交代も起きます。誰が担当者になってもISMSやPマークを運用し続けられる体制を作らなければいけません。LRMさんのサポートのもとで課題に取り組みながら、まずは現在の事務局メンバーで一通り運用できる体制を構築し、後任に引き継いでいきたいと考えています。
フォルシア株式会社様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。
※ フォルシア株式会社様のWEBサイト
※ 取材日時 2017年11月
- システム開発・運用
- 情報処理サービス
- 担当者の負担軽減
- ISMS/Pマークのルール統一
- 50~199名
- 東京
- 1拠点