IMV株式会社 様 – 顧客事例 –

ISMSの新規格2013年度版への対応実績がLRMを選定した決め手です。テストラボ事業本部で認証取得後、範囲拡大についても相談しています

IMV株式会社はテストラボ事業本部の顧客のニーズに応えるためにISMS/ISO27001認証の新規取得を行いました。コンサルティング会社選びの決め手は2013年度版への対応実績でした。LRMのコンサルティングについて、事務局のメンバー、経営企画本部 経理部 情報通信担当課長 渡邉誠司氏と有本優氏に、コンサルティング会社選定から認証取得に至る経緯、そしてLRMへの評価と期待を伺ってきました。

(IMV株式会社について)

自動車をはじめとする工業製品の振動耐性をシミュレーションする振動試験装置の設計・開発・製造を中核事業とする。国内シェア約5割、世界シェア約3割を誇るリーディングカンパニーであり、業界唯一の上場企業である。振動試験装置を構成する振動発生機、振動制御器、電力増幅器の全てを、設計から開発・製造まで自社内で行う。それにより顧客の高度な要求や課題に応えられることが最大の強みである。1988年には、顧客から振動試験を請け負うテストラボ事業を開始。パイオニアとして、鉄道車両専用の大型シミュレーションシステムなど、他社の追随を許さない設備を整える。テストラボ事業は現在、東京、名古屋、大阪、タイの4か所で展開している。他に、地震計や振動を測定するメジャリングシステム事業を展開している。
設立;1957年。本社;大阪市。上場証券取引所;東京証券取引所JASDAQ市場。

テストラボ事業本部におけるISMS/27001認証新規取得のコンサルティングをLRMに依頼

– LRMへのご依頼内容を教えてください。

弊社は2014年4月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得のコンサルティングを依頼しました。
担当コンサルタント・小池さんのサポートを受け、2014年12月、認証取得が完了しました。今回はスケジュールの都合上、適用範囲をテストラボ事業本部に絞りましたが、早速、全社に拡大することが決まっています。
LRMからも2015年12月取得に向けた提案書を頂きました。現在、具現化に向けて社内で調整を進めているところです。

– 御社内の認証取得体制を教えてください。

弊社は経理部の中に情報通信課を置いています。今回は情報系の認証なので情報課のメンバーが事務局を担当することになりました。また我々がアサインされたもう一つの理由には、弊社が環境マネジメントシステム・ISO14001の認証を取得しており、渡邉が事務局長を担当しているという背景もあります。事務局として、東京、名古屋、大阪の各テストラボの各所長で構成するISMS委員会メンバーやLRMとの連絡・調整役を務め、プロジェクトを推進しました。

ISMS/ISO27001認証を取得した理由

「LRMは悩んだ時の相談相手として非常に心強い存在です」(経営企画本部 経理部 有本優氏)

「LRMは悩んだ時の相談相手として非常に心強い存在です」
経営企画本部 経理部 有本優氏

– ISMS認証取得の目的を教えてください。

弊社がISMS認証を取得した目的は、テストラボをご利用いただくお客様に、安心してご依頼いただける環境を整備することです。テストラボで振動試験を行う際には、お客様の開発品をお預かりします。発売前の製品がほとんどなので、その情報はお客様の競合他社に漏れてはいけません。また試験方法そのものもお客様のノウハウにあたります。近年、情報セキュリティ意識が高まる中、そのような大切な情報をお預かりするテストラボには、お客様から弊社の情報セキュリティ体制に関する問い合わせが増えていました。

そこで、事業本部から、そのような問い合わせがあった際に、お客様に納得していただける回答ができるような対策を求める声が上がりました。
弊社は環境マネジメントシステムISO14001の認証を取得していますが、それに相当するような情報セキュリティ分野の認証制度を探し、ISMSの存在を知りました。国際規格に基づいた認証制度を取得していれば、お客様に情報セキュリティに関するご心配をしていただく必要はありません。また、弊社の競争力向上にも繋がると考え、2014年4月に取得することを決定しました。

– ISMS認証取得に向けて目指していたことはありますか。

スタート時点では、できるだけ早い方が良いということで、2014年11月頃の取得完了を目指していました。しかし4月スタートで11月取得を目指すというスケジュールでは全社取得は厳しいと判断し、適用範囲をテストラボ事業本部と営業部に絞ってスタートしました。さらにコンサルティングがスタートして実際に小池さんにヒアリングをしていただくと、営業部の業務をテストラボとその他の部門で明確に切り分けることが難しいということが見えてきました。そこで小池さんから、今回はテストラボ事業本部に絞ろうというご提案をいただき、弊社も承諾しました。

また、目標とは別に、ISMS認証を取得する効果として期待したのが、社内ルールを明確化する一つのきっかけになるということです。もともとテストラボの所員は、社員、パート含め、お客様の機密情報を取り扱っている意識は持っています。しかしルール化されていたわけではなく、個人の判断、力量に依存している状態でした。統一ルールを明確にすることは、漏えい事故の防止だけではなく、業務効率の向上にもつながります。

新規格2013年度版への対応実績を重視し、LRMにコンサルティングを依頼

– ISMS認証取得に向けて、コンサルティングサービスを導入した理由を教えてください。

ISMSの規格を使って自社に合ったマネジメントを構築する作業には、専門家のサポートが必要です。関連書籍を事前に読みましたが、規格が難解なことに加え、メンバーそれぞれ日常業務があるため、全行程を社内のメンバーだけで行うのは不可能と判断し、コンサルティング会社のサポートを導入することにしました。

– コンサルティング会社は何社か比較されましたか。

3社比較しました。1社目はISO14001認証の審査機関から紹介していただいた会社です。他の2社は我々自身で調べてピックアップしました。そのうちの1社がLRMです。
LRMをピックアップした理由は、インターネット検索で上位に表示されたからです。インターネット検索で上位表示されるということは情報発信力がある証だと考えます。「情報を扱う」と言っている企業が検索順位で下位というのは、信頼性に欠けます。また拠点が大阪にあることも好条件でした。

– LRMに依頼した決め手は何だったのでしょうか。

決め手は実績です。3社の中ではLRMの実績が最も充実していました。特に弊社が重視したのが2013年度版への対応です。
2013年10月、ISMSの規格が改訂されました。その前の2005年版で認証を取得している企業は、2015年9月までに対応する必要があります。新規取得でも2005年版で取得して期限までに対応を完了するということも可能のようですが、弊社の場合、タイミング的にあらかじめ2013年版で取得する方が自然な流れです。ただ全てのコンサルティング会社が対応できるわけではなさそうだったので、候補に挙げた3社に2013年度版で認証を取得したいという意向を伝え、提案内容を比較しました。

他の2社のうち1社は、規格が改定されたことは知ってはいても、詳しい説明はありませんでした。もう1社はこちらの要望とは全く違う提案をしてきたので、その時点で選定の対象からは外れました。
これらに対し、LRMは実績の裏付けがありました。営業担当の吉村さんから、LRM自体が新規認証を2013年度版で取得した企業だと伺い、それなら詳しいはずだと考えました。吉村さんの対応にも好感が持てたこともあり、安心して業務を任せられると考え、正式に依頼しました。

LRMのサポートを足掛かりに事務局業務を遂行

「訪問回数無制限、100%取得保証など、自社の事業への高い意識とプライドを感じました」(経営企画本部 経理部 情報通信担当課長 渡邉誠司氏)

「訪問回数無制限、100%取得保証など、自社の事業への高い意識とプライドを感じました」
経営企画本部 経理部 情報通信担当課長 渡邉誠司氏

– 認証取得はスムーズに進みましたか。

進捗は全体を通して概ね順調に進みました。5月から7月にかけて本来の業務で忙殺され、こちらでやらなければいけない作業が滞り、小池さんとの打ち合わせのための時間が思うように取れない時期がありましたが、8月以降、小池さんと相談しながらなんとか9月には一次審査が受けられる状態を作ることができました。そのまま審査を受ければ11月中の取得は可能でしたが、ちょうど9月が決算期でテストラボ事業本部も対応できそうになかったため、一か月ずらして審査を受け、12月取得という結果になりました。

– 事務局の業務で最もご苦労されたことは何ですか。

各テストラボとの調整です。
委員会のメンバーは各テストラボの所長です。所長ともなれば、ISMSの重要性は十分に理解しています。もともと事業部自体の課題であるということもあり、積極的に取り組んでもらったことで、ほぼ予定通りにプロジェクトを進めることが出来ました。とはいえ、各メンバーとも忙しい立場です。

事務局として、隔週ペースのLRMとの打ち合わせの日程を調整したり、各ラボで担当する作業の進捗状況をチェックして促したりする必要はありました。
ISMSを構築する上で重要なことは、いかに業務に影響を与えずセキュリティを確保するかです。そのために情報資産を特定し、それぞれの情報を取り扱う上でのリスクを洗い出して、適切なルールを決めていきますが、その際には各テストラボの所長に動いてもらう必要があります。しかも各テストラボで条件が異なるので、それぞれの状況を把握して最大公約数的な解決策を見出さなければいけません。我々事務局はそのような橋渡し的な役割を担うために、最大のエネルギーを使いました。

– LRMのコンサルティングはどのような役割を果たしましたか。

LRMと弊社は4月から9月頃までは隔週のペースで打ち合わせを行いましたが、LRMはその中で我々が業務を遂行するための足掛かりを作ってくれました。
ISMS認証の審査を受けるには、様々な資料を準備しなければなりません。そのためには規格書を読んだだけでは理解できないことが沢山あります。LRMはフォーマットを事前に用意し、規格書の文言の解釈の仕方や自社の実態に合わせたルール構築の方法などをアドバイスしてくれました。
また、毎回打ち合わせの最後には次回までに行うべき作業を明確に指示してくれました。そしてその指示に沿って作業を進めて成果物を事前に送っておけば、次回打ち合わせまでに目を通してくれるため、ポイントを絞った話が出来ました。そのため打ち合わせが長時間に及ぶこともありませんでした。
さらに、3か所のテストラボの現地視察した上で事前対策のアドバイスをしていただいたことで、現地審査もスムーズに行きました。現地審査は3か所とも同日に行われるため我々事務局が全てに立ち会うことができません。そのため心配もありましたが、事前にチェックしていただいて乗り切ることができました。

ISMS/ISO27001認証取得がもたらした社内の変化

– 今回の作業を通して、業務フローの変更や新たな設備投資などはありましたか。

主に、以下の2点があります。

(1)自動化によるセキュリティの確保
業務フローに大きな変更はありませんが、セキュリティを確保するための施策はとっています。例えば、メール送信で添付ファイルがある場合、従来のセキュリティポリシーでは、「暗号化した方が良い」としていましたが、添付ファイルを「暗号化して送ること」と文言を変えました。その分、手間が増えますが、それを防ぐために、自動暗号化ツールを導入しました。このようにルールを追加するだけではなく、社員の負担を増やさないよう極力システム導入による自動化を行いました。

(2)老朽施設のセキュリティ強化
東京のテストラボがかなり老朽化しており、セキュリティ面で不安がありました。2014年2月、大雪の影響で壊れた屋根を補強する必要があったため、その工事に合わせてセキュリティ強化を行いました。具体的には、施設入り口のロックシステムにICカード認証を導入し、事務所の入り口のロックシステムには暗証番号を導入しました。また、お客様が立ち入れるスペースと執務室を分けるために、ゲストルールを整備しました。

– ISMS認証取得を通じて、社内には変化がありましたか。

テストラボの所員の情報セキュリティ意識は以前よりも向上しました。
劇的に変化したのは整理整頓です。特に一次審査が行われた大阪では、事務所の整理整頓が審査員から指摘されました。普段、お客様の目に見えないところには意識が向かず、棚の上に物が置きっぱなしになっていました。審査にはテストラボのメンバーも同席しており、指摘を受けて対策を取りました。事務所は他部署とフロアを共有していますので、フロア全体に周知し、一週間もたたずに棚の上に放置された荷物を片づけました。一か月後の二次審査では、劇的な変化に審査員も驚き、高く評価されました。従来のIMVなら2か月も経つと元に戻ってしまいますが、今回は徹底して守られていますので非常に効果があったと考えています。

テストラボの所員は他部門に比べると、機密情報を取り扱っている意識は高いと思います。しかし、第三者的な視点が入ることで、思い至らないことがあることに気がつきました。LRMの小池さんに現地を見ていただいて率直な意見を伺い、審査機関からのより厳しい指摘を真摯に受け止めることで、業務環境の改善につながりました。そういう点もISMS認証を取得した成果だと考えています。

「100%取得保障」に反映される、情報セキュリティの専門会社としての意識の高さ、プライド

– LRMに対するご評価をお話ください。

LRMは、ISMS認証を取得し、運用し続けるための道筋を付けてくれました。
関連知識を全く持っていない私たちにとってISMSは非常に難解です。それに対して小池さんは、規格の意図や解釈の仕方を理解させるとともに、様々なアドバイスを行い、プロジェクトを計画通りに進めてくれました。申請に必要な文書類を作成する際も、悩んだ時に相談する相手として心強く感じました。

また、サービス内容にも心強さを感じました。特に(1)訪問回数無制限(2)100%取得保障、の2点からは自社サービスに対する責任感の強さ、意気込みを感じました。

(1)訪問回数無制限
他社のケースでは訪問回数が限定されています。それに対してLRMの場合は、計画に合わせて想定訪問回数を設定していますが、契約上の制限は設けられていません。

(2)100%取得保障
「仮に認証取得が予定通りにいかない場合でも、全面的に責任を持って取得までサポートします。万が一取得できない場合は、全額お返しします」と契約書に書いてあります。

自社の仕事に対する高い意識やプライドがなければ、このようなことは謳えません。そういう意味でもLRMは優良なコンサルティング会社だと感じています。

「テストラボ事業本部で認証取得後、早速全社拡大の計画が進んでいます。LRMには引き続きサポートをお願いしたいと考えています」右から、渡邉氏、有本氏

「テストラボ事業本部で認証取得後、早速全社拡大の計画が進んでいます。
LRMには引き続きサポートをお願いしたいと考えています」
右から、渡邉氏、有本氏

LRMへの期待~適用範囲の全社拡大に向けて~

– 次の課題は、適用範囲の全社拡大ですね。豊富をお話ください。

今動試験装置やメジャリングシステムもお客様ごとの開発品なので、機密情報をお預かりして業務を進めます。弊社の設計ノウハウや開発ノウハウも外部に漏れないようなマネジメントを行う必要があります。新規取得は完了したとはいえ、他事業とテストラボ事業は全く異なります。小池さんにも一からヒアリングしていただく必要があるし、対象部署も増えるため、ハードルは低くはないと思います。しかし我々事務局は、1年前と比べてある程度の経験値を蓄積できました。LRMのサポートを受けて頑張れば、手堅くミッションをクリアできると信じています。

IMV株式会社様、お忙しい中、有り難うございました。

IMV株式会社様、お忙しい中、有り難うございました。

IMV株式会社様のWebサイト
※ 取材日時 2015年2月

他のコンサル導入事例を見る

  • システム開発・運用
  • 製造・メーカー
  • 200~499名
  • 大阪
  • 複数拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら