イシン株式会社様 – 顧客事例 –

各部署の担当者とマンツーマンでしっかり認識を共有し、自社に馴染むISMSを構築

イシン株式会社は、LRMのサポートを受け、2021年7月にISMS/ISO27001認証を取得し、2022年6月にISMS-PIMS/ISO27701認証を取得しました。取り組むにあたっての不安、LRMに依頼した理由、取り組みの成果などについて、吉沢氏と鮫島氏のおふたりにお話を伺いました。

お客様が抱える課題とISMS構築アプローチ
  • 事業拡大に伴い、社内体制を整備したい
  • 社内にISMSに詳しい人材が不足している
  • プライバシーにも配慮した体制を構築したい
  • 各部署の責任者への意識づけを徹底し、自社に馴染むルールを構築
  • ISMS認証に加えて、ISMS-PIMS認証も取得
  • より顧客に寄り添うために自社サービスのホワイトペーパーも作成
LRMコンサルティングサービスへの感想
  • コンサル変更も、各実施項目への理解が深まり取り組みがより円滑に
  • 細かい打合せを実施してくれたり、親身に対応してくれた
  • 『セキュリオ』のeラーニング教材はシンプルで的確
(イシン株式会社について)

イシン株式会社は、「創発」をキーワードに、メディアPR領域・公民共創領域・グローバルイノベーション領域の3つの事業を柱として展開している。メディアPR領域では、1999年に創刊された名立たるベンチャー経営者のインタビューなどを掲載する雑誌「ベンチャー通信」をはじめとした自社メディアを運営し、企業のブランディング・マーケティング支援をおこなっている。また、企業の採用オウンドメディアを制作・運用するためのクラウドサービス「HIKOMA CLOUD」も展開。この他、自治体の経営力を上げる情報サイト「自治体通信」や、行政課題の解決を支援する製品サービスの比較検討・資料請求サイト「RABAN」、世界のスタートアップ情報やエコシステムの動向を発信する情報サイト「TECHBLITZ」など、複数のメディアを企画・運営。
世界的視野を持った事業家が生まれる「創発」的企業文化を重視し、未来を創るイノベーション機会を世界中に広げるべく、社会の進化に貢献する事業を積極的に展開していく。
設立:2005年4月。本社:東京都新宿区。従業員数:74名(2022年7月末日時点)

LRMへのご依頼内容:ISMS/ISO27001認証新規取得&ISMS-PIMS/27701認証新規取得コンサルティング

— LRMへのご依頼内容をお話しください。

イシン株式会社は、2020年11月にISMS/ISO27001(以下、ISMS)認証取得コンサルティングを依頼しました。

担当者は柴田さんです。2021年6月に第二段階審査を終え、同年7月にISMS認証を取得しました。

その後、ISMS認証のアドオン認証である、ISMS-PIMS/ISO27701(以下ISMS-PIMS)認証取得コンサルティングを2021年8月に依頼しました。こちらも柴田さんのサポートのもと準備を進め、2022年5月に審査を終え、同年6月にISMS-PIMS認証を取得しました。

攻めの事業展開のためにこそ守りを固めるべく認証取得に着手

単純にひな形を落とし込むだけではなく、どうすれば最も馴染むのかを意識しました

単純にひな形を落とし込むだけではなく、どうすれば最も馴染むのかを意識しました(吉沢氏)

— ISMS認証取得を検討されていた当時はどのような状況でしたか。

当時は従業員数が50~60人ほどで、事業数もかなり増えており、会社として攻めの事業展開をしていきたいというフェーズでした。攻めの部分については、ある程度見通しもついていました。一方で、守りの部分について、セキュリティに関する大きな事故などはありませんでしたが、どうしても後回しになっているところもありました。
昨今、情報漏えいが頻繁に報道されており、世間的にもセンシティブになってきていたため、社内的な対策を社外に対してきちんと示したいという思いがありました。

また、公民共創やグローバルイノベーション領域での事業展開に伴い、大手企業からのお引き合いも増加していました。直接的に認証を取ってほしいという要望は少なかったですが、契約前にセキュリティ状況をチェックするアンケートへの回答を求められることはありました。

売り上げをしっかり伸ばしていくためにも、足元を固めておく必要があると思い、ISMS認証を検討し始めました。

— 当時から従業員の方のセキュリティ意識は高かったですか。

役員陣のセキュリティ意識は高かったと思います。ただ、「会社としてどのように在るべきか」や「何をしていけばいいのか」が具体的に落とし込めていない部分もあったと思います。そのため、セキュリティや情報管理への危機意識はありつつも、漠然とした不安を抱えているような状況でした。

一方で、従業員のセキュリティに関するリテラシーは、正直あまり高くなかったように思います。セキュリティが大事ということはもちろん理解していながらも、日常業務においては、ファイルにパスワードをつけることが徹底されていなかったりと、守りよりも攻めを重視してしまう瞬間もあったかなと感じています。

— 今回の認証範囲について教えてください。

ISMSは全社を認証範囲に含めて取得しました。弊社は、事業がどんどん創発されていくような環境です。どのような事業においても、セキュリティは取り組むべき課題だと思うので、特定の事業に絞ることなく、全社で取得しました。

ISMS-PIMSは、PII(Personally Identifiable Informarion=個人識別可能情報)を取り扱う事業者を、管理者と処理者に2つに分けていますが、今回は下記のようにPII管理者とPII処理者でそれぞれ取得しました。

PII管理者:会員制資料提供プラットフォーム、ウェビナー、イベント開催に関連するコンサルティングの提供、及び関連するPIIの管理・処理
PII処理者:採用関連のクラウドサービス、イノベーションマネジメントサービスの提供・運営、及び関連するPIIの管理・処理

— ISMS-PIMS認証もあわせて取得されたのは、どのような経緯ですか。

弊社は、多くの個人情報を取得・管理する立場です。また、ISMS認証取得の取り組みを始めた後から、エンジニアがジョインして、Webアプリケーション開発・提供事業もスタートしました。ISMS認証でもある程度はカバーできると思いますが、個人情報を扱う事業者として、プライバシー情報も含めてよりきちんと管理していることを対外的に示せるものが必要だと感じました。

その上で、LRMさんから「ISMS-PIMSとは何か」をご説明いただいて、ISMS認証を取得した流れのまま、鉄の熱いうちにということで、ISMS-PIMS認証も取得することになりました。

プライバシーマーク(以下、Pマーク)とも悩んだのですが、ISMS-PIMSは、ISMSの延長線上で構築できるのがポイントになりました。Pマークでも、今までの構築したISMSが全く活きないわけではありませんが、より考え方がフィットしやすい、より管理しやすいといった点などを総合的に判断して、ISMS-PIMSを選択しました。

— 認証取得の期限はございましたか。

認証取得の期限は明確には設けてはいませんでした。LRMさんには、弊社の事業展開やスピード感に合わせて対応していただきました。コロナの影響による遅延は若干ありましたが、ISMSの審査の際はリモートによる審査のみでしたので、対面での審査よりも工数が削減できたかなという側面もありました。

— 認証取得にあたって懸念点はございましたか。

全部なんですけれども…(笑)
一番は、ISMSというものの正体があまり分かっていなかった点です。大学であれば、受験における合格率や難易度が何となく分かります。しかし、ISMSについては、温度感や、当時の弊社の体制がISMSという仕組みに耐えうるのかなど、まったく分かりませんでした。

ただ、ISMS認証を取得するプログラムはある程度確立されていたので、対応していく中で磨き込んでいくしかないのかなと思っていましたし、実際に徐々にクリアになっていきました。

丸投げではなく一緒に運用まで考えてくれるLRMにサポートを依頼

— コンサル会社選定のポイントを教えてください。

情報セキュリティを構築する上で、単に認証を取得するだけではなく、会社全体の情報セキュリティレベルの向上を図っていきたいと考えていました。
ただ、社内には知識を持った人間があまり多くなかったので、ノウハウなどインプットをしっかりしてくださるコンサル会社を希望しました。コンサル会社の中には、ISMSまでとにかく最短でこれさえやっておけば大丈夫といったようなところもありました。
しかし、ルールが社内に定着してマネジメントシステムをきちんと運用していくことが本質だと思いましたので、しっかりと社内に根付く仕組みづくりをサポートしてもらえるかを重視しました。

また、弊社にLRM代表取締役の幸松さんと交流のある社員がいたこともあり、そのようなご縁を大切にしたいという想いもありました。もちろんご縁だけで決めたのではなく、何社かピックアップをして、他コンサル会社の話もお伺いしましたが、あくまで審査に受かることを重視している受験的なところや、フォーマットだけ頂いて、後は自社で構築していかなければならない印象を抱いたところもありました。

最終的には、最新のセキュリティ動向を共有してくださったり、丸投げではなく一緒に運用まで考えてくださる印象を抱いたLRMさんを選びました。

ゼロベースからの体制構築が反発なくISMSの仕組み導入に繋がった

しっかり体制構築ができたことは、社員にとっても安心材料になったと思います

しっかり体制構築ができたことは、社員にとっても安心材料になったと思います(鮫島氏)

— 今回のお取り組みのご担当者は、吉沢様と鮫島様のおふたりですか。

実際に手を動かす事務局としては、その通りです。ふたりとも人事総務室に所属しておりますので、情報セキュリティ分野に限らず、総務業務や人事業務を行いながら対応していきました。

後は、トップマネジメントを代表取締役社長の片岡、情報セキュリティ管理者を大野がそれぞれ担当しています。

— ISMS担当者に任命されたお気持ちをお聞かせください。

吉沢様 ISMSなどの言葉は知っていましたが、認証取得に携わったことはありませんでした。代表取締役社長の片岡から認証取得を依頼されましたが、何から手を付けていいか分からない状態だったので、認証について学びながら、コンサル会社を探していきました。

鮫島様 私の場合は、ISMS-PIMS構築から事務局に加わりました。総務としての経験はある程度ありましたが、情報セキュリティに関してはまったく知識がない状態でしたので、まずはISMSから勉強を始めました。ただ、あまり時間に余裕はなかったので、社内のISMSに関する文書を読み込んだり、打合せの中で柴田さんに質問したりして、何とか食らいついていきました。

また、ISMS-PIMSに関わる実作業は私の方でも推進する必要があったので、私自身学びながら、吉沢などの知識がある人と、知識がまだ不十分であった従業員との橋渡しをしていきました。

— お取り組み全体を通していかがでしたか。

まだまだ道半ばですが、一つの形として今回認証が無事取得できたことは大成功だったかなと思っています。
ただマネジメントシステムは今後も磨き込んでいく必要があると思いますので、今後も教育だったり、ブラッシュアップしていきたいと思っています。

— ISMSの仕組みを導入することで社内からの反発などはございましたか。

ある種何もなかった状態だったので、ルールの導入は比較的スムーズに行えたと感じています。そこに対する変なアレルギーや反発もなく、ISMSの考え方をきちんと責任者と共有することができたのは大きな成果です。

また、業務においてリスクがどこにあるのかを考える機会を作ってもらえたのが、今後事業を進めていく上で、事故が起きないようにするための大事なポイントだったと思います。そういった機会を持てたことも、取り組んで良かったと思える一因です。

— お取り組みにおいて想定外の出来事などはございましたか。

大きな出来事はなかったかなと思います。ISMS審査の際は、未知なるものでどのようなものかイメージがつきづらかったので、直前は少しばたばたした印象です。

ISMS-PIMSの取得については想定よりは少し時間がかかり、ISMSとの審査時期を合わせるために後ろ倒しになりました。ISMSの審査と周期を合わせず、ISMS-PIMSのみを取得することも検討しましたが、同じ規格のものですし、数か月の差であればということで、コストなどを鑑みて周期を合わせるようにしました。弊社側の準備としても、審査を年に何度も受けるよりは、1回で受けられた方が心理的負担も少ないと考えました。

— 認証取得による社内外での変化はございますか。

取引先からのセキュリティチェックなどで、認証取得・運用について誇りをもって回答できるようになりました。
また、名刺やHP上にも記載しているので、営業時の会話などにも挙がっているのかなと思います。

社内的には、ずっと何となくでやってきた部分が、対外的に示せる認証を取得したことで「ちゃんとした会社になったな」という実感を持った方が多いのではないかと思います。「ちゃんとした」というのは人それぞれの価値観があると思いますが、ISMSなどの規格を通して、共通認識を持てたことがセキュリティ意識の向上に繋がったと思います。
また、規模が大きくなってきたタイミングでしっかり体制構築ができたことは、社員にとっても安心材料になったと思います。

各部署の責任者とISMSへの認識を共有し、自社に馴染むルールを策定

— 新しく導入したルールやツールはございますか。

大きく分けて下記2つが新しく対応・導入した部分です。

(1)マニュアルや文書の整理
全社横断的に情報資産をまとめているものや、社内的なルールを明文化したものは無かったので、まずはベースとなるものを作成しました。また、従業員向けのハンドブックなども作成しました。

(2)セキュリティ教育クラウド『セキュリオ』の導入
法令管理やeラーニングを実施するために導入しました。
クラウド上で受講管理ができたり、新たな教材もどんどんアップデートされるので、非常に便利でした。

— 最も工数がかかったのは、どのような部分ですか。

やはり文書化は時間がかかりました。LRMさんのフォーマットもありましたので、もちろん活用はしましたが、既存事業にどう融合させていくのかが重要だと考え、単純にひな形を落とし込むだけではなく、どうすれば最も自社に馴染むのかを意識しつつ、時間をかけて検討しました。

— 全社横断的な文書の作成はどのように対応されましたか。

細かいところも含め部署数も多いですし、関わる責任者も多いので、それぞれにISMSの考え方を落とし込むのは大変でした。そこは、各担当者とミーティングを設けて、各部署の業務内容についてヒアリングしつつ、起こりうるリスクの検討を伴走して対応していきました。複数の事業があるので、各々の色にあわせてリスクを洗い出すためにマンツーマンで検討していきました。

また、LRMさんのフォーマットが分かりやすく体系的にまとめられており、情報資産についても噛み砕いて記載されていたり、リスクにおいても何がリスクになりえるのかという基準が記載されていたりしましたので、自力でまとめあげることができた印象です。

— 部署数が多いとのことでしたが、社内周知はどのように対応されましたか。

責任者だけではなく、すべての従業員に周知が必要になるため、作成したマニュアルをメールや社内のお知らせページで展開したり、セキュリティ教育クラウド『セキュリオ』のeラーニング機能を利用して教育を実施したりしました。

また、繰り返しにはなりますが、責任者にマンツーマンで考え方を落とし込むことに注力しました。自発的に考えてもらえるようになるためにはしっかり根付かせることが重要だと考え、時間をかけて対応しました。

— 情報資産を管理する台帳の作成などはいかがでしたか。

情報資産は上げるとキリがないところもありますので、どのような粒度で記載していくかを部署ごとに検討しました。また、コロナ禍の影響でリモートワークも併用しており、情報の保管場所をクラウドに移したりと、情報資産の在り方も変化している状況ですので、きちんとヒアリングをして、実態にあわせて作成しました。

部署数は多いですが、それぞれ担当者を設けていましたし、先ほど述べたようにしっかりと考え方を落とし込んでいたので、ある程度共通認識をもって進められたと思っています。

— ISMS-PIMSの取り組みとして新しく対応されたルールはございますか。

弊社は、「RABAN」と「HIKOMA CLOUD」というWebアプリケーションの開発もしており、今回新たにホワイトペーパーを作成しました。これらのWebアプリケーションでは個人情報も多く取り扱いますので、お客様が利用するにあたってご不安を抱かれるような点をできる限り解消するために作成しました。ISMS-PIMS認証取得においてホワイトペーパーの作成はマストではありませんが、プライバシーに配慮するという観点から、今回取り組んで良かったと思います。

— 本業の業務が圧迫されたということはございませんでしたか。

全くなかったというと嘘にはなりますが、ひな形も用意していただきましたし、想定よりは作業量としては多くありませんでした。特に初年度以降は、次の審査に向けて長期スパンでずっと張り付いていなければならないわけではなく、内部監査や文書の見直し、審査前などポイントで注力すべきところがある形です。

その他の運用においては、責任者への意識づけを行っていたので、事業部ごとにリスクを意識して改善してもらう形で、作業負荷を分散できた側面もあると思います。

— 従業員教育はどのように実施されましたか。

『セキュリオ』を利用してeラーニングを実施しました。

まずは、審査に向けて最低限必要な基本の情報セキュリティを学ぶ教材を、従業員と事務局向けにそれぞれに配信しました。また、プラスアルファとして、セキュリティ事故事例について学ぶ教材や個人情報に関する教材なども利用しました。

個人情報に関しては、『セキュリオ』でPマーク向けの教材が配信されており、そちらを受講しました。Pマークは今回取得はしていませんが、ISMS-PIMSにおいても個人情報という概念は重要ですので、審査において必須ではないですが受講しました。

— 『セキュリオ』をご利用いただいた感想をお聞かせください。

事務的な観点でいうと、テストなども含めて『セキュリオ』で実施できたのは、自分たちで教材などを作成するよりも工数が削減できますし、従業員の理解度が上がる側面もあったかなと思います。また、従業員からも自分の業務を見直すいい機会になったという意見が出ています。

— 内部監査はどのように実施されましたか。

内部監査は柴田さんにお願いしました。将来的には、自社で実施することもあるとは思いますが、審査に加えて内部監査においても、外部の方に第三者目線から確認していただくことは有効な手段だと考えています。我々の情報セキュリティの考え方や取り組み方に対して、自社としては問題ないと思いつつも、自社だけでは見えづらいリスクもあるかと思いますので、直近はLRMさんに実施していただきました。

弊社の事業の特性も理解した上で質問をしていただけたり、我々が認識できていなかったリスクを指摘いただけたりしましたので、非常に良かったと思います。

審査では事業特性を理解した上で運用のアドバイスをもらえた

— 審査を受けたご感想をお聞かせください。

ISMS新規取得の際は、直前に柴田さんと細かくお打合せをさせていただいたり、社内調整をしたりしました。
そのおかげもあり、審査はスムーズに対応できたと思います。第二段階審査では、各部署の担当者が質問を受けていましたが、しっかり認識を共有していたので、大きな指摘事項もなく審査を終えられました。

審査員の方は、会社にとって有益になるように細かいところまで見ていただけて、弊社の事業を理解した上で、その特性に合わせた今後の運用のアドバイスをいただけたという印象です。

規格上、最低限対応すべきところは対応できていたこともあり、「絶対にこうすべき」というよりは「こういう考え方もある」というような提案をしていただきました。意図が掴みづらい指摘については、審査当日に審査員の方とディスカッションさせていただいたので、納得できない指摘などはありませんでした。

— ISMSとISMS-PIMSの審査において違いなどはございましたか。

ISMSの2回目の審査とISMS-PIMSの初回の審査は同日に行われましたが、ISMS-PIMSにおいては、ISMSの観点からプラスアルファで要求事項が増えますので、ISMS-PIMSの対象範囲に含まれる部署については掘り下げて質問されました。PIIと呼ばれる個人識別情報がどのような体制で管理されているのかを詳細に質問された印象です。

本当に親身になって対応いただけたことが、事務局としての不安解消にも繋がったと感じています

本当に親身になって対応いただけたことが、事務局としての不安解消にも繋がったと感じています
(左:鮫島氏、中:吉沢氏 ※右は弊社・柴田)

コンサルの変更も、各実施項目への理解が深まり取り組みが円滑に

— LRMのサポートについてはいかがでしたか。

情報セキュリティやISMSの考え方を分かりやすく教えていただけたのがすごく良かったと思います。ビジネスとしての体系にとらわれずに、本当に親身になって対応いただけたことが、事務局としての不安解消にも繋がったと感じています。認証取得ができたのは、LRMさんのサポートのおかげかなと思います。

— コンサルタントの柴田はISMS新規取得のお取り組みの途中から担当になったかと思います。前任のコンサルタントの際に、コミュニケーションがうまく取れずご迷惑をおかけしたかと思いますが、柴田に代わってからはいかがでしたか。

情報セキュリティとは何かという本質的な部分についても丁寧にご説明いただけて、我々の理解が追いついた上で、ひとつひとつの工程を進めていくことができるようになったことで、取り組みがきちんと回るようになっていったと思います。結果として無事に認証も取得できましたし、当初予定になかったお打合せを実施していただいたり、親身に対応していただけたので、柴田さんに担当していただけて良かったと思っています。

リスクをより低減できる仕組みを磨き込み、事故を減らしていく

— 今後の展望をお聞かせください。

今回、認証を取得できたことは良かったと思っていますが、あくまで一つの通過点です。これからは認証を取得している企業として、相応しい社内体制の運用や見直しを継続的に実施していく必要があると感じています。審査があるから対応するというわけではありませんが、まずは次の審査に向け、ISMSの本質を踏まえて、リスクをより低減できる仕組みを作っていきたいと思っています。

また、会社としては、現在3つの事業を基盤として進んでいますが、「創発」をキーワードにしており、新たな事業が創発していく環境を大切にしています。ですので、今後新しいアイデアが生まれてきた際にも、守りの部分も固めていけるように、従業員一人ひとりのセキュリティに関するリテラシーをより向上させていきたいと思っています。現状に満足するのではなく、より磨き込んでいった上で、セキュリティ事故を無くしていければと思います。

— LRMへの今後のご期待がございましたらお聞かせください。

今回のお取り組みで情報セキュリティの基盤となる考え方については教えていただけましたが、情報も多様化しており、さまざまな面で新しいリスクが生まれてくるかと思います。そのため、運用支援サービス『情報セキュリティ倶楽部』と『セキュリオ』を契約しました。
引き続き、情報提供や運用におけるご相談など、伴走していただければ嬉しいです。
『セキュリオ』についても、最近ハラスメント教材なども追加されたり、教材内容がシンプルかつ的を射ていて非常に良いと感じています。『セキュリオ』を利用することは、事務局としての工数も削減できますし、従業員のリテラシー向上にも繋がると思いますので、引き続き活用していきたいと思います。

イシン株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ イシン株式会社様のWEBサイト
※ 取材日時 2022年8月

  • クラウドサービス(SaaS)開発・提供
  • 広告・マーケティング
  • 認証知識を基礎から学ぶ
  • 50~199名
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら