株式会社アイル 様 – 顧客事例 –
株式会社アイルは2016年9月、ISMS/ISO27001認証を取得しました。コンサルティング会社として選んだLRMへのリクエストは、内部統制、プライバシーマークなどの取り組みを通じて構築してきた社内ルールを生かしたマネジメントシステムの構築です。認証取得の理由、コンサルティング会社選定の経緯、そして取り組みの成果について、CROSS開発部長 執行役員・池本任男氏、経営管理本部情報管理課 課長・三丸洋史氏、内部監査室 課長・伊藤誠氏に話を伺いました。
記事index
中堅・中小企業向け基幹パッケージシステム『アラジンオフィス』シリーズの開発・販売・サポートを軸に、近年は、複数ネットショップ一元管理ソフト『CROSS MALL』、ポイント・顧客情報一元管理サービス『CROSS POINT』、Web受発注システム『アラジンEC』などのサービスを提供。リアルとWEBを融合させた『CROSS-OVERシナジー』で企業力アップを支援している。創業以来、鋼材料メーカーや食品メーカー、ネジメーカー、アパレル小売業などニッチな市場に特化した戦略で成長してきた。2007年、ヘラクレス(現JASDAQ)市場に上場。取引社数は6,000社を超える。専属チームによるサポート体制、対応履歴データベースによる情報の共有、応答率99.88%のコールセンターという充実したサポート体制により、98.0%というリピート率を誇る。
設立;1991年。従業員数;525名。本社;大阪、東京。※数字は全て2016年7月現在
LRMへのご依頼内容;ISMS/ISO27001認証の新規取得コンサルティング
– LRMへのご依頼内容をお話し下さい。
弊社は2012年4月、LRMにISMS/ISO27001(以下ISMSと表記)認証の新規取得コンサルティングを依頼しました。
2013年4月下旬、審査を無事に終え、5月上旬に認証マークが届きました。
株式会社アイルは、2015年11月、LRM株式会社にISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。LRM担当者・吉村さんのサポートでマネジメントシステムの構築を行い、2016年9月に認証を取得しました。認証取得後は、ISMSとプライバシーマーク(以下、Pマーク)の運用改善サポート(『情報セキュリティ倶楽部』)の契約をし、現在、ISMSとPマークとの統合に向けた準備も始めているところです。
ユーザー企業に自社サービスの導入を安心して検討してもらうための環境整備
ECサイトと実店舗のポイント情報を一元管理できるクラウド型ASPサービス『CROSS POINT』。
– 御社がISMS認証を取得した理由をお話し下さい。
弊社は以前より内部統制やPマークなどの取り組みを通して、情報システムの運用や個人情報の取り扱いに関する社内ルールを構築してきました。そのため業務手順も管理のためのルールもある程度は確立している自負はありました。ただ、そのような説明では、サービス導入を決める際の根拠としてISMS認証取得という明確な基準を持っているお客様には説得力がありません。取得しない方のデメリットが大きいと判断して取得することにしました。ISMS認証取得は弊社がこれまで築いてきた仕組みを精査する機会にもなりました。
IT業界のコンサルティング経験が豊富なLRMを選定
「IT業界に詳しいならコミュニケーションも楽だと思い最初から決めていました」
CROSS開発部長 執行役員 池本任男氏
– 自主取得は考えませんでしたか。
自主取得は全く考えませんでした。これまでに築いてきた仕組みをできるだけ生かしたいと考えていたため、専門家のサポート抜きで取得することは考えられませんでした。
– コンサルティング会社の選定経緯をお話し下さい。
まず、インターネット検索でコンサルティング会社を何社かピックアップし、ホームページを見て比較検討しました。その段階でほぼLRMに決めていました。2014年の夏頃には、LRMが大阪で開催したISMS取得セミナーにも参加し、おおよその予算感とスケジュール感を確認しています。依頼までに期間が空いたのは、適用範囲の検討に時間を要したためです。適用範囲を全社と決めた段階でLRMに打診し、正式に依頼しました。
– LRM選定の決め手となった要因をお話し下さい。
これまでの実績です。特に、チャットワーク社、カゴヤ社など、普段から接点のある企業へのサポート実績があることが決め手となりました。IT業界に詳しいなら、コミュニケーションで苦労することも少ないと考えました。また在籍するコンサルタントが、ISMSの審査員として活動していることも安心材料になりました。正式に依頼する前に念を入れて、別の1社からも話を聞きましたが、決定を覆す要因は見つかりませんでした。
内部統制やPマークで築いてきた社内ルールを有効活用
「実効性のあるISMSを構築したいということは何度も確認しながら進めました」
経営管理本部 情報管理課 課長 三丸洋史氏
– LRMにご依頼する時点でリクエストされたことはありましたか。
弊社には、これまでPマークや内部統制の取り組みを通して構築してきた仕組みがあります。吉村さんが営業で来られた段階で、それらの仕組みや各種申請用の様式類を有効活用したいとお伝えしました。
ISMS認証を取得することで、既存のルールと異なる独立した仕組みが出来てしまうと、運用がしにくくなり、形骸化された無駄なものとなってしまう可能性があります。いくら厳格なルールを作っても実際に運用が出来なければ意味がありません。したがって、あくまでも実際に今やっていることをベースに運用できるマネジメントシステムを構築することは、コンサルティングがスタートしてからも吉村さんと何度も確認して、共通認識として進めていきました。
– ISMSとPマークの統合もされたのですか。
Pマークの様式類は可能な限り流用したいと思っていましたが、ISMSとPマークのルールの統合までは考えませんでした。ISMSに関わるのが初めてなのでどこまで統合できるのか我々自身が判断できないこと、ISMS認証を全社取得としたことで準備に時間がかかりそうだったことなどを総合的に考えて、今回は確実に取得することを優先しました。
ISMS認証審査のすぐ後にPマークの更新審査を控えていたことも1つの理由です。手を入れすぎてPマークの更新審査にマイナスの影響が出ることを心配しました。2004年にPマークを取得して10年が経ち、その間会社の規模が拡大しサービスも増えました。Pマーク運用の仕組み自体、見直すべき点が多いので、更新審査が終わってからじっくり取り組むことにしました。
ルールの構築、文書作成はLRMに任せ、自分たちがやるべきことに専念できた
– 認証取得が2016年9月ですが、これはスケジュール通りですか。
はい。2015年11月にスタートした時点で、10か月あれば取得できると見込み、LRMにも確認して2016年9月を取得期限に設定しました。取得までのスケジュールは吉村さんに作ってもらい、ほぼその通りに進んでいきました。
– 認証取得に至るまでの工程でご苦労はありませんでしたか。
内部監査と審査対応が一番苦労しました。内部監査は、6月から審査直前までかかりました。決めたルールをもとに、LRMに文書作成をしてもらったのが5月末です。その後、審査を迎えるまでに各拠点、各部署にヒアリングして是正まで行う必要があり、非常にタイトなスケジュールだったので苦労しました。吉村さんにも少し手伝ってもらいました。審査対応では、審査員のヒアリングに答えていくのが予想以上に大変でした。ただ、結果としては致命的な指摘を受けることなく審査を通過しました。
– マネジメントシステムの構築や文書作成に関してはいかがでしたか。
特に苦労はありませんでした。全社取得なので、LRMによる現状把握のための各部署でのヒアリングが2月いっぱいかかりましたが、その後のルール構築、文書作成は苦労せずに完了しました。もともとの仕組みや規定類があったこと、それをベースに吉村さんがアドバイスし文書を作成してくれたので、私達は社内へのルールの落とし込みに集中することが出来ました。
ISMS認証取得が社内ルールを体系化し課題を洗い出すきっかけに
「ISMSとPマークの統合に向け保守改善サポートも契約しました」
内部監査室 課長 伊藤誠氏
– 当初リクエストされた「これまでに構築した仕組みの有効活用」は、どの程度達成されましたか。
従来の仕組みをベースにISMSを構築するという部分においては、現段階で可能な範囲では実現したと考えています。前述のとおり今回はISMSとPマークの統合までは着手しませんでしたが、今後、統合に向けてブラッシュアップしていくためのベースはできました。
– 新しいルールの追加、またはルールの大幅な変更などはなかったのでしょうか。
ISMSのルールは、基本的に従来の社内の仕組みにISMSの規格を当てはめて整理する形で構築していきましたが、従来の仕組みに加えて新しいルールの追加や大きなルール変更はありませんでした。
反対に厳格すぎるルールがあり、是正すべきという指摘を受けた点はありました。1つの例がパソコンの持ち出しルールです。現在の社内規定では、パソコンを持ちだす際には管理簿に記入することになっています。しかし毎日持ち出す営業担当者などは、いつの間にか書かなくなっていました。Pマークなどの審査が近づいてきた時に改めて周知すると、一時的には書くようになりますが、そのような状況に対して私達自身「このルールは意味があるのかな」とは感じていました。吉村さんからもISMSの審査員からも「そこまでやる必要があるのか」という指摘を受けるとともに、毎日管理簿に記入するのではなく、誓約書などの形でシンプルに管理できる仕組みにすれば良いのではないかという提言をいただきました。
このような指摘を含めて、何点か観察事項はいただいているので、今後の運用の中で改善していく計画です。
– ISMS認証取得を通して得られた成果をお話し下さい。
今まで内部統制やPマークを通して築き上げてきた仕組みを、情報セキュリティマネジメントという軸で体系化できたことが最大の成果です。自分たちが構築してきたルールが、国際的な基準と照らし合わせても、遜色ないものだったという評価もできました。また、コンサルティングや審査を通して、抜けている部分を補ったり、過剰なルールを是正したり、最適化を図るきっかけにもなりました。
また、コンサルティングの現状把握のためのヒアリングや内部監査、現地審査などの機会が、現場の意識を高めるきっかけにもなりました。
– 営業活動における効果はいかがですか。
外部に対して認証取得が完了したことが周知できるようになり、商談時の気苦労の要因が1つ減りました。また、定期的にユーザー企業様から回答が求められる情報セキュリティの取り組みに関するヒアリングシートへの記入が、「ISMS認証取得」にチェックを入れるだけなので大変楽になりました。
「打ち合わせの場だけではなく、メールや電話でもかなり話し合いましたね。
言いたいことは包み隠さずに話せました」
左から;三丸氏、伊藤氏、池本氏
取得企業の意向を汲んだコンサルティングを評価。運用保守契約も
– 今回の認証取得を通じてLRMのコンサルティングをどのようにご評価されましたか。
吉村さんは我々の意向を十分に汲んだ対応をしてくれたと考えています。
我々が常に意識していたのは、実践的で実効性のある情報セキュリティマネジメントシステムの構築です。それを実現するために吉村さんとは沢山話をしました。打ち合わせの場だけではなく、メールでのやり取りもしましたし、メールで伝わりにくい場合は電話でご説明いただくなど、コミュニケーションもしっかりとれたと考えています。吉村さんは堅苦しさがなく話しやすかったので、言いたいことは包み隠さず言えました。
ルール決めをする際に、非常に参考になったのは、他社の事例を踏まえたアドバイスです。実例を示していただくことでスムーズに判断できた場面は沢山ありました。
そのように的確に対応していただけたこともあり、次の課題であるISMSとPマークの統合に関してもLRMにサポートしていただくことにしました。
– 『情報セキュリティ倶楽部』のご契約ですね。
はい。吉村さんにはISMSの構築をサポートしていただき、社内の現状を詳細にご理解いただいています。その上で、ISMSとPマークの両方で実績を持っているため、今後サポートしていただくには最適なコンサルティング会社だと考えています。
生きた情報セキュリティマネジメントシステムを構築する上で、ISMSとPマークとの完全統合は重要な課題です。
8月末にPマークの更新審査を終え、現在、結果を待っているところですが、審査が通過したら、PマークとISMSの完全統合に向けた取り組みを進めたいと考えています。そのための準備をすでに吉村さんと始めています。
また、ISMSの規格は定期的に改定されます。継続運用する中では、その改定への対応も求められます。その際、自分たちだけではスリムな体制を築くことが困難です。そのような際に軌道修正していただくことも期待しています。
株式会社アイル様、お忙しい中、有り難うございました。
株式会社アイルのWebサイト
※ 取材時期 2016年9月
- システム開発・運用
- クラウドサービス(SaaS)開発・提供
- ISMS/Pマークのルール統一
- 既存の社内規程/文書類を活かす
- 社内の運用を変えない
- 500~999名
- 大阪
- 複数拠点