株式会社ニューコム 様 – 顧客事例 –

ISMS認証取得がスムーズに行ったのは、LRMがしっかり進捗状況を管理してくれたおかげです。今後もより良く運用するために、保守サービスを契約しました

株式会社ニューコムは、自社パッケージ製品の導入数拡大に伴い、対外的な信用力向上を目指してISMS/ISO27001認証の新規取得コンサルティングをLRMに依頼しました。認証取得に向けた取り組みの中で、LRMが果たした役割を、取締役 兼 総務グループ 総務経理マネージャー 石井武司氏に伺いました。

(株式会社ニューコムについて)

自社開発のパッケージ『dbSheetClient』の販売・開発を中核事業として展開するソフトウェア開発会社。『dbSheetClient』は”ExcelをWebシステムにレベルアップできる”ソリューションツールである。管理部門の勤怠管理、経理部門の小口現金管理、営業部門の損益計算書、製造部門の工程管理など、普段業務で使用しているExcelシートをそのまま操作画面に活用してWebシステムを構築できる。入力データは全てWeb上のデータベースに登録するため、Excelでの集計業務などを大幅に効率化することが可能だ。2006年のリリース以来、国内の中堅規模以上の企業や官公庁、教育機関など200社以上で導入されてきた。2015年5月にはアメリカにオフィスを構え、現地の企業への販売も開始している。その他、派遣事業、CADパッケージ販売、業務システムの受託開発なども行う。本社(埼玉県さいたま市)の他、名古屋、大阪に営業所を構える。
設立;2000年。社員数;59名(2015年4月現在)。

LRMにISMS/27001認証新規取得コンサルティングを依頼

普段使っているExcelシートを活かしてWebシステムを構築できる『dbSheetClient』

普段使っているExcelシートを活かしてWebシステムを構築できる『dbSheetClient』。
>>製品サイトへ

— LRMへのご依頼内容を教えて下さい。

弊社は、LRMにISMS/ISO27001(以下、ISMS)認証取得のコンサルティングを依頼しました。2014年8月からコンサルティングが始まり、2015年2月、無事に認証を取得することが出来ました。また、認証取得後は、保守サービス『情報セキュリティ倶楽部』を契約しました。

— ISMS認証の適用範囲を教えて下さい。

今回、適用範囲として定めたのは本社のSI事業部と総務グループです。
弊社はSI事業部とEMS事業部の2事業部制で事業を行っています。EMS事業部はCAD販売の部門で、それ以外の現業部門は全てSI事業部に入ります。
今回は、EMS事業部、営業部、経営企画部、名古屋営業所、大阪営業所は適用範囲に含めませんでしたが、近い将来、適用範囲を全社に拡大していく意向です。

ソフトウェア開発会社としての信用力向上のためにISMS/ISO27001認証を取得

— ISMS認証を取得した理由を教えてください。

弊社がISMS認証を取得した最大の理由は、ソフトウェア開発会社としての信用力を高めるためです。
『dbSheetClient』の導入社数が増えるに従い、社会的な責任が大きくなってきました。特に近年は、取引調査票への回答が必要なケースが増えたことあり、社内体制の整備が求められているという認識を持つようになりました。
弊社はこれまで、プライバシーマーク(以下、Pマーク)の認定基準に沿ったルールを、コンサルタントのサポートの下で構築し、運用し続けてきました。したがって取引調査票で問われる対策はほぼ実行していますが、認証取得のための内部監査や外部審査は経ていません。対外的な信用を得るには、第三者評価機関による認証取得までやり切る必要があると考えました。認証を取得していれば、調査票に回答する労力も軽減することが出来ます。開発現場では、QC活動の中でPDCAサイクルを回すためのより明確な基準を設けるべきという声が上がっていたこともあり、ISMS認証取得に向けて動き出しました。

— PマークではなくISMSを取得したのは何故ですか。

Pマークは個人情報に特化した認証システムだからです。
弊社が扱う情報には個人情報はほとんどありません。弊社の事業内容には、ISMSの方が適しています。
過去、Pマークの基準に沿ったルール構築に着手したのは、『dbSheetClient』の開発を開始した時期です。自社サービスの開発を進める上で、何らかのルール作りが必要だと考えましたが、当時はPマークの方が取り組み易いと判断しました。しかしサービスを開始して7年が経過し、より方向性が明確になったこともあり、今回はISMS認証を取得しました。

LRMと相談して認証取得体制を整えた上でスタートしたことでプレッシャーから解放

— コンサルティング会社選定の経緯をお話ください。

コンサルティング会社の選定は、弊社代表取締役・坂口が行いました。2014年1月、ISMS認証取得を決定した後、LRMのセミナーに出席し、何度か商談を重ねて決定しました。その後、認証取得プロジェクトの推進を、ISMS担当として総務グループが引き継ぎました。それが2014年7月です。

— ご担当者様として、認証取得にあたってのご不安などはございませんでしたか。

ISMSという馴染みのない分野であることもあり、プレッシャーは多少ありました。以前、Pマークのコンサルタントと一緒にルール作りをした際、私は補佐を務めていましたが、主担当者が忙しくしていた記憶があります。今回は、経営上の判断から取得期限を2015年3月と定めていたこともあり、業務量が増える中でやり切れるかという心配もありました。コンサルティングが始まる際、幸松さんに、しっかりリードしていただけるかどうかを確認した記憶がありますが、認証取得に向けた体制作りをしてからスタートしたことと、幸松さんのリードがあったため、結果的には、心配していたほど大変な作業にはなりませんでした。

— どのような体制で取得に臨まれたのですか。

最初に幸松さんと相談して、情報セキュリティ委員会を組織しました。具体的には、認証の適用範囲に含まれる部署から1~2名ずつ、合計9名のメンバーを選出しました。LRMとの打ち合わせには、基本的に全員が出席するため、何か決める場合も話が早く、決まったことを現場に伝達する作業も円滑に進めることができました。
Pマークの基準に沿ったルール作りの際は、主に主担当者とコンサルタントが話し合ってルールを決めていきました。現場のメンバーが入っていなかったので、ルールを決める上で現場への確認や調整などに手間が取られていました。
今回はLRMの提案に従って、最初に委員会を組織してスタートしたことで、メンバーの協力を得ながら進めることが出来ました。また、LRMのリードに沿って作業を進めれば大丈夫、という安心感を得たことで、不安やプレッシャーからも解放されました。

LRMのリードに沿ってリスク対策を決めて実行

LRMのリードがあれば大丈夫と安心して取り組むことが出来ました

LRMのリードがあれば大丈夫と安心して取り組むことが出来ました
(取締役 兼 総務グループ 総務経理マネージャー・石井武司氏)

— 認証取得に向けて、コンサルティングはどのように進みましたか。

情報セキュリティ委員会のメンバーを決めた後、月に1回か2回の頻度で、私や委員会メンバーがLRMとミーティングを行い、各部署の問題点を洗い出した上で、ISMSの詳細管理策114項目を検討し、情報セキュリティ体制の骨格をまとめていきました。

— リスク対策の具体例を教えてください。

例えば、書類の整理、紙ごみの廃棄、パソコンの空き箱の処分、サーバーの移動といったオフィス内の整理整頓、本番データやテストデータの削除といったパソコンの中のデータの整理、リストア手順の作成やBIOSパスワードの設定、コーディング規約の変更、USBメモリの使用規約の策定といった業務遂行上の手順やルールの整備などです。これらはほんの一部です。

— リスク対策の決め方、実施状況の管理の仕方を具体的に教えて下さい。

リスク対策は、ある問題点に対してLRMが他社事例や案を提示し、それをメンバーが話し合い、やるかやらないかを決める、という方法で決めました。そして、やると決まったことは、その場で「誰が」「いつまでに」やるのかを管理表に書き加え、打ち合わせの際に実施状況をチェックしました。

— 認証取得全体を通じて最も大変だったことは何でしょうか。

内部監査です。取得期限の3月から逆算すると2月には外部審査を受けなければいけません。それに間に合わせるには1月に内部監査を行う必要がありました。誰がいつまでに何をするのか、内部監査の結果を受けて外部監査までの間にどう修正するのかなど、年末年始の慌ただしい時期に準備をしなければいけなかったため、心情的に余裕が持てませんでした。

それ以外は、スムーズに進めることが出来ました。文書作成、従業員教育の教材作成などはLRMが行いました。
外部審査では致命的な指摘を受けることもなく、2月の認証取得へと至りました。

ルールの整備が業務効率化、品質向上へ。社員の意識も変化

— 認証取得後、社内に変化はありましたか。

社内の意識が変わりつつあります。例えば、ノートパソコンの管理(ワイヤーロックをかけるか机の引き出しにしまって施錠する)や、机の上や下に物を置かないといったルールは定着してきたように感じています。
認証の適用範囲は今回、SI事業部と総務グループに限定しましたが、いずれ全社に拡大する計画なので、従業員教育やルールの適用は、全拠点の全社員に対して行いました。その結果、全社的に机の周りが整然と片付いた状態が続いています。

— QC活動上の課題についてはいかがでしたか。

ISMS認証取得以前、開発現場が持っていた根本的な課題は、ルールの統一がしっかりできていなかったことにありました。開発メンバーがそれぞれ独自のやり方で業務を遂行していたため、会社としてPDCAを回す基準がありませんでした。そこで皆で話し合って決める必要が生まれました。
実際にルールを決めるためには、環境整備も必要であり、書類の整理やサーバーの移動などに繋がっています。社内の整理、ルールの整備ができたことで、業務効率化、品質向上が見込めるようになりました。

2時間根を詰めて話し合ってもストレスを感じないコンサルティング

— LRMに対するご評価をお話ください。

LRMに依頼して良かったと思うポイントは、主に以下の3つです。

(1)タスク管理表のおかげでスムーズに認証取得ができた
今回、ISMS認証取得がスムーズに行ったのはLRMのリードのおかげです。特に打ち合わせで「やる」と決めたリスク対策の実施は、LRMのサポートがなければスムーズには進みませんでした。管理表を作成して、対策を決めたその場で担当者やスケジュールを具体的に決め、打ち合わせの度にしっかり進捗状況を管理してくれたことが、タスクを実行する支えとなりました。それがなければ、忙しさを理由にして実行できないことが多かったのではないかと考えています。

(2)現場に即した柔軟なルール構築ができた
今回構築したルールは、あまり窮屈なルールになっていません。それはLRMが各委員の意向を汲み取ってバランスよく調整してくれたからです。例えば、USBメモリに関しては使用すること自体がリスクになりますが、現場ではデータを持ち出す必要が発生するケースもあります。そこで原則禁止としつつ、セキュリティ機能付きUSBメモリを用意して総務が管理し、必要な場合は貸し出し、利用が終わったらデータを消去して返す。常時データを社外に持ち出すサポートメンバーについては、申請した上で特別に1人1個与える、というUSBメモリ利用規約を設けました。
ISMSは厳格すぎるルールを構築してしまうと、社員のモチベーション低下やミスにつながることがあります。
今回は、LRMのアドバイスがあったことで、硬直的なルールの構築は免れました。

(3)コンサルタントの人柄の良さ
普段、外部のコンサルタントと何らかの業務を進めることはないため他と比較はできませんが、幸松さんはとても話しやすいコンサルタントでした。弊社は生真面目な社風のため、会議などは堅苦しい雰囲気になりかねません。
幸松さんとの打ち合わせは毎回2時間ぐらいに及びましたが、時折冗談を交えて場を盛り上げてくれるため、根を詰めて話し合ってもストレスに感じることはありませんでした。

適用範囲の拡大を見据えて、しっかり運用していきたいですね

適用範囲の拡大を見据えて、しっかり運用していきたいですね
(右;石井氏 ※左は弊社幸松)

より良い環境作りを目指し、保守サービス『情報セキュリティ倶楽部』を契約

— 今後のビジョンをお話ください。

今回、ISMS認証取得を通じて社内ルールを構築したことで、社員の意識向上や業務改善を進める土台が出来ました。現時点で維持できているオフィスの整理整頓などは、時が経つにつれて元に戻る恐れがあります。
そのため、弊社では3か月ごとに部署内での内部監査、6か月ごとに全社的な内部監査を行うことにしています。
今後の目標としては、次のISMS認証の更新に向けて、構築がしたルールをきちんと運用し、PDCAサイクルを回しながら、より良い環境良い環境作りを進めていきたいと考えています。

— ISMSの保守サービス『情報セキュリティ倶楽部』を契約した理由と、LRMへのご期待をお話しください。

今後の保守に関して、情報セキュリティ委員のメンバー全員で話し合った結果、今後の運用をより徹底するにはコンサルタントのサポートが必要だという結論に至りました。ISMS認証を維持するには、1年に1回、外部審査を受ける必要があります。その際には、従業員教育の資料作成や情報漏えい事故の事例をまとめるなど、私たちだけではハードルが高い作業が必要です。また、関連法令の改定などもフォローできません。LRMのサポートを継続的に受けることで、きちんとISMS認証を運用し続け、適用範囲の全社拡大も可能な限り早期に実現したいと考えています。

株式会社ニューコム様、お忙しい中、有り難うございました。

株式会社ニューコム様のWebサイト
※ 取材日時 2015年4月

  • システム開発・運用
  • 受託開発
  • 担当者の負担軽減
  • 50~199名
  • 埼玉
  • 複数拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら