ネイチャーインサイト株式会社様 – 顧客事例 –
ネイチャーインサイト株式会社は、2016年4月、ISMS/ISO27001認証およびプライバシーマークの新規取得コンサルティングをLRMに依頼しました。自社の業務とは無関係なルールに縛りつけられるのではないかという漠然とした不安を抱えつつ各認証の取得に踏み切った理由や、コンサルティング会社の選定基準、各認証取得の経緯や成果などについて、認証取得の実務を担当した取締役 ビジネスソリューション部 部長・大宮氏、人事部・布施氏にお話しを伺いました。
記事index
世界的に有名な統計ソフトウェア『SAS』を利用した情報系システムの構築、BI(ビジネスインテリジェンス)システムの開発、データマイニング(データの分析・解析)を主軸事業とする。顧客はメガバンクを始め、通信、製薬などの分野における大手企業。1995年、SAS Institute Japan社の第一期コンサルティングパートナーに認定されて以来、20年以上にわたり顧客企業が蓄積したビッグデータの分析や活用による経営判断のサポートをし続けている。さらに、2016年1月には、SFA、CRMソフト『Salesforce』の認定コンサルティングパートナーとして、導入支援や活用支援、営業コンサルティングをスタートし、2017年春には自社サービスとしてソーシャル・ビッグデータ収集検索ツール『beInsight』の提供を開始するなど、業容を拡大している。
設立;1994年1月。従業員数;約80名。本社;東京都千代田区。
LRMへの依頼内容;ISMS/ISO27001認証&プライバシーマーク取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
弊社は2016年4月、LRMにISMS/ISO27001(以下、ISMS)認証とプライバシーマーク(以下、Pマーク)の新規取得コンサルティングを依頼しました。LRMの担当者、幸松さんが立てたスケジュールに基づいて、ISMSとPマークを統合した情報セキュリティマネジメントシステムを構築し、2017年1月にISMS認証を取得しました。続いて同年7月にPマークを取得しました。
また、Pマークの取得後は、ISMSとPマークの運用保守サービス『情報セキュリティ倶楽部』と、セキュリティ教育クラウド『セキュリオ』を契約しました。
取引先の要望に応え信頼を高めることが目的。しかし不安も…
ルールを押し付けられずに柔軟に対応していただけそうな期待が持てました
(取締役 ビジネスソリューション部・大宮氏)
— ISMSとPマーク、それぞれの認証を取得した理由をお話しください。
弊社がISMS認証とPマークを取得した理由は、情報を扱う企業として、その情報を取り扱う社員の情報セキュリティ意識の向上を図るためです。
弊社の業務では取引先が保有する情報を大量に扱います。そのため従来から、社内で独自にルールを定め、情報セキュリティマニュアルなどのドキュメント類も作成し運用していました。ただし、独自の視点で作ったものだったので自信を持って運用ができず、活動が徹底できない部分もありました。そこで、第三者機関が定める規格を取り入れ、より体系化されたルールとして整理しなおすことで、社内に情報セキュリティの活動を定着させたいと考えました。
また、取引先のニーズに応えて、信頼を高める目的もありました。情報セキュリティ体制をチェックされたり、情報セキュリティレベルを高めるよう要請されたりする中、毎年提出する調査票には、ISMSとPマーク、それぞれの認証取得の有無を問う項目が必ずあります。直接的にISMSやPマーク取得を要請されることはありませんが、中には認証さえ取得していれば、それ以上の質問への回答を免除される場合もあります。そのような背景があったため、ISMS認証およびPマークを取得することが、取引先のご要望に応え、信頼を高める最善の方法であると考えました。
— ISMS認証とPマーク取得にあたってのご懸念などはありませんでしたか。
ISMSやPマーク取得をすることで、弊社の業務とは無関係なルールに縛られたり業務工程や管理工程が増えたりするというイメージを持っていました。それは、弊社がISMSやPマーク取得に関する知識を全く持ち合わせていなかったことによる、漠然とした不安でした。そこでまずは、その不安を払拭していただけそうなコンサルティング会社を探し始めました。
LRMへの依頼の決め手は「Security Diet」
— コンサルティング会社の選定基準をお話し下さい。
弊社が最も重視したのはサポートの柔軟性です。
コンサルティング会社のサポートを受けるにあたって、弊社がこれだけは避けたいと思っていたことが2点あります。
1点目は、コンサルティング会社が予め用意したドキュメントを押し付けられることです。2点目は、各認証を取得するために必要な作業を全て担わされることです。それを避けるために、弊社に合わせて柔軟に対応していただけそうなコンサルティング会社を選びました。結果的には、LRMを選んで良かったと感じています。
— LRMを選定の対象に選んだ理由をお話しください。
LRMを選定の対象に選んだ第一の理由は、サービスサイトなどの説明を読み、柔軟性がありそうだと感じたことです。また、サイト全体からスペシャリスト集団という印象を受けました。特に社長の幸松さんのプロフィール欄を読むと、大手SIerでエンジニアを務めていた経歴があり、IT業界の業務に詳しいであろうという期待が持てました。
— 他のコンサルティング会社との比較はされましたか。
LRM以外に、数社のコンサルティング会社の話を聞きました。各社ともに悪い印象はありませんでした。最終的にLRMを選定した決め手は、LRMのコーポレートスローガン「Security Diet」です。弊社の代表も気に入っていました。
WEBサイトやパンフレットに書かれてある「情報利用の効率と業務品質の向上に繋げる情報セキュリティを実現する」という文言や営業担当者の説明から、定型化されたルールを押し付けられるのではなく、柔軟に対応していただけそうな感触を得ることが出来たため、LRMへの依頼を決定しました。
LRMのリードで手間や負担をかけずにISMS/ISO27001認証を取得
“Security Diet”というスローガンがLRMに依頼する決め手となりました
(人事部・布施氏)
— ISMSおよびPマーク取得期限は設定していましたか。
区切りの良いところで2016年中には認証取得準備完了の目途を立てたいと考えていました。弊社の希望はそれだけで、全体のスケジューリングはLRMにお任せしました。
LRMによると、ISMSを取得すれば、Pマークは基本的に申請して審査を受けるだけで良いということだったので、2016年中にISMSの第2段階審査を終えることを目標に、準備をスタートしました。
— ISMS認証取得の経緯について伺います。準備はどのように進みましたか。
LRMと月2回ぐらいのペースで打ち合わせをしながら、ISMSのマネジメントシステムの構築や文書類の作成を行い、その後、従業員教育、内部監査、マネジメントレビュー、審査と進みました。内部監査までの工程は、LRMのリードに従い、弊社は手間や負担をかけずに進めることができました。
— 具体的にはどのような進め方でしたか。
まず、最も重要なのが、ISMSの骨格が決まるベースラインの検討です。この工程は、LRMのヒアリングに答える形で行いました。114個の詳細管理策について、項目ごとに説明してもらった上でどのようなルールにするかを聞かれ、それに対して弊社の希望を答えていきました。そしてそこで決めた内容に基づいて、マニュアルなどの文書類を作成してもらいました。
また、従業員教育では、LRMが提供するeラーニングシステムを活用しました。さらに内部監査では内部監査員をLRMに代行してもらいました。
— 従業員教育で提供されたeラーニングシステムについて教えて下さい。
今回利用したeラーニングシステムは、情報セキュリティに特化したもので、テキストとテストで構成されていました。教材は全て用意されており、それらを使って情報セキュリティの基礎を学ぶことができました。全従業員に受けてもらいましたが、各自のタイミングで受講できるため便利でした。
インターフェースが改善されより使いやすく。LRMの新eラーニングシステム
— ISMS認証新規取得の際に利用したeラーニングシステムは、Pマーク取得後に契約したセキュリティ教育クラウド『セキュリオ』のeラーニング機能と同じシステムですか。
いいえ。認証取得の段階で利用したeラーニングシステムは、『セキュリオ』以前にLRMが提供していた旧型のシステムです。『セキュリオ』は、弊社がPマークを取得した後にリリースされ、運用改善サービスと併せてご案内いただきました。
— 認証取得後に情報セキュリティに特化したeラーニングシステムを改めて契約した理由をお話しください。
ISMSやPマークを維持するためには、毎年従業員教育を実施し、実施した記録を残す必要があります。
eラーニングシステムを使えば、従業員教育を行うために客先に常駐するエンジニアを含めた全従業員を招集する必要がありません。また、システム内には、テキストを読んだ履歴や、テストを受けた点数が記録されます。
更新審査の際は、その記録が従業員教育を実施した証明になります。
— 以前のeラーニングシステムと比べて変わった点はありますか。
『セキュリオ』は、新規認証取得時に利用したシステムと比べて、インターフェースが改善され、より使いやすくなっていました。また、ユーザー登録が自分たちで自由に出来るようになりました。以前は、ユーザー登録をするためにLRMのサポートに依頼する必要がありました。さらに最新版の教材が定期的に追加されるようになっていました。
— 『セキュリオ』の活用方法を教えて下さい。
今は主に新入社員への研修で活用しています。弊社がISMSとPマークを取得してPDCAサイクルを回しながら運用していることを周知するとともに、ISMSやPマークの基礎知識を理解してもらうために使っています。
— 内部監査員を代行してもらうメリットをお話し下さい。
今回は初めてだったため審査に対する不安がありました。そこで、LRMに内部監査員を代行してもらい、改善すべき点を改善した上で審査に臨みたいと考えました。実際、セキュリティソフトの更新ができていない端末を発見するなど、細かいエラーをいくつか発見して改善することができました。
— 内部監査までの工程で、御社側が担った作業はありませんでしたか。
ネットワーク図の作成、退職者のチェックリストの見直し、WEBサイトへの情報セキュリティ方針や個人情報保護方針の掲載などの作業は行いました。他はほとんどLRMにお任せしました。
— ISMSの審査はいかがでしたか。
第1段階審査、第2段階審査、ともに順調に終えることができました。指摘事項も特になく、出来ることなら変えた方が良いという検討事項を頂いた程度で終わりました。そして、無事にISMS認証を取得し、Pマーク申請へとつなげることが出来ました。
ISMS/ISO27001のドキュメントをそのまま活用しプライバシーマークを取得
– Pマークの申請に向けた準備はどのように進みましたか。
ISMSを構築する段階で、Pマークを統合したマニュアルを作ったので、Pマークの申請に向けた準備作業はほとんどありませんでした。関連法案一覧を最新版に更新しただけで、他に特別な作業は行っていません。
– Pマークの審査はいかがでしたか。
こちらも問題なくスムーズに完了しました。更新までに修正しておくようにという軽微な指摘事項があっただけです。
— ISMSおよびPマーク取得前と取得後で、社内の業務や管理の仕方などで大きく変わったことはありましたか。
情報セキュリティの取り組みは本質的に変わりました。従来、独自に構築していたルール、または明文化できていなかった業務手順などを、ISO27001の規格を用いて体系化したマネジメントシステムに整理しなおし、計画的に運用するようになりました。
ただ、新しく追加したルールはほとんどありません。弊社のエンジニアは全員客先に常駐し、お客様先のセキュリティルールに従っているので、現場に関係するルールは、ISMSやPマークに関するeラーニングを受けることぐらいです。
また、人事部の業務として、求人の際に応募者から同意書を取得することを追加しました。他に、システムの運用に関して、これまで不定期に行っていたファイルサーバーの整理を計画的に実施することを決めました。他には、大きな変化はありません。ISMSやPマークを意識することなく、従来と比べて負担もほとんど増えることなく運用出来るマネジメントシステムが構築できました。
これまで通り、ISMSやPマークを意識することなく業務が回せています
(右から;布施氏、大宮氏)
何もわからない状態から全体像を理解するまでに
— ISMSとPマーク取得全体の経緯を振り返って、どのようなご感想をお持ちですか。
何もわからない状態からスタートしましたが、LRMとの打ち合わせを重ねていくうちにISMSの求めていることが何となく理解できるようになり、審査準備の段階では、ISMS運用の全体像を把握することができました。
ルールは自分たちで決めて良いということ、従業員教育、内部監査、改善活動など、年間を通してやるべきことが決まっていること、またそれに対応するドキュメントが決まっていること、そしてそのやるべきことを計画に落とし込み、順番に実施していくことがISMS運用の本質である、ということがわかりました。今回はISMSとPマークを統合したルールを構築したので、ISMSをしっかり運用していればPマークも維持できます。
このような理解が進んだのは、LRMのサポートのおかげです。難しい言葉を使わず、わかりやすい言葉で説明してもらえたことが理解の促進につながりました。
— 今後の情報セキュリティに関する取り組みとして考えておられることはありますか。
ISMS認証の取得が完了した後、定期的に担当者2人で打ち合わせをして課題を出し、期限を決めてその課題に取り組むなど、自立してPDCAを回し始めました。
情報セキュリティは最初に構築したマネジメントシステムが100%ではありません。新しいビジネスが始まれば、そのビジネスに応じたルールを追加する必要があります。例えば、ISMSとPマーク取得完了後、弊社はソーシャルリスニングツール『beInsight』をリリースしました。このサービスを新しい事業として管理するか、既存事業の一部として管理するかを判断してドキュメントに反映しなければいけません。そういったことも含め、常に改善し続けていかなければいけません。
まだ、取り組みは始まったばかりですが、このような取り組みを定着させることが、会社の業務レベル向上につながるものと考えています。
情報セキュリティに関する相談相手を求めて『情報セキュリティ倶楽部』を契約
— ISMSとPマークの運用保守サービス『情報セキュリティ倶楽部』を契約された理由をお話し下さい。
ISMSおよびPマークを運用する上で困ったことがあった際、すぐに質問できる相手が必要であると考えました。
今回、LRMのコンサルティングを通してISMSの全体像を把握することが出来ましたが、私たちは情報セキュリティマネジメントに関して素人です。自動車が故障した時にすぐに相談できる知人がいれば安心であるのと同様、ISMSやPマークを運用する上でも、身近に相談できる相手がいれば安心です。ISMSおよびPマークを運用するための良き相談相手になっていただけることを期待してLRMの『情報セキュリティ倶楽部』を契約しました。
ネイチャーインサイト株式会社様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ ネイチャーインサイト株式会社様の Webサイト
※ 取材日時 2017年8月
- システム開発・運用
- 情報処理サービス
- ISMS/Pマークのルール統一
- 50~199名
- 東京
- 1拠点