株式会社日本SPセンター 様 – 顧客事例 –

情報セキュリティの体制づくりにおいて、LRMがISMS認証取得のペースメーカーの役割を担ってくれたため、IT戦略室にはシステム化と社内体制の整備に専念することができました

セールスプロモーション会社であるという特性上、クライアントから新製品情報をはじめとする機密情報を預かることが多い株式会社日本SPセンターでは、2012年1月より、情報セキュリティ体制の構築に本格的に取り組んできました。その一環としてISMS/ISO27001認証を取得。そのコンサルティングをLRMに依頼しました。情報セキュリティ体制の構築経緯、その中でLRMが果たした役割についてIT戦略室 室長の松岡輝夫氏と情報セキュリティ委員会事務局の倉内直也氏にお話をうかがいました。

(株式会社日本SPセンターについて)

セールスプロモーションに関するトータルソリューションを提供。市場調査・分析から新製品の市場導入プロモーション、パンフレット・カタログなどの紙媒体やDVDなどの電子媒体、Webコンテンツ、iPad販促アプリなど各種ツールの企画・制作まで幅広く対応している。徹底した商品研究とマーケット分析に基づいた説得力のあるコンテンツ制作が強みである。国内トップクラスの家電メーカーや住宅メーカーなどと代理店を挟まない直取引を行い業容を拡大してきた。現在は、学校法人、保険会社、葬祭サービスなどなど多種多様な業界にクライアントを持つ。
創業は1967年。事業拠点;東京本社、大阪支社。従業員数;96名(2013年7月現在)。

LRMにISMSの新規認証取得を依頼。取得後は保守契約も

– 御社が、LRMに依頼した業務内容を教えてください。

松岡 弊社は2012年1月、LRMにISMS/ISO27001認証(以下、ISMS認証と表記)の新規取得コンサルティングを依頼しました。2013年6月上旬、認証取得が完了しました。取得後は保守サービス『情報セキュリティ倶楽部』を契約しました。今後も継続してISMSの運用をサポートしていただきたいと考えています。

情報セキュリティ体制づくりの一環としてISMS認証取得を決定

LRMは我々と同じ視線で考え行動してくれるため信頼できます

LRMは我々と同じ視線で考え行動してくれるため信頼できます
(情報セキュリティ委員会事務局・倉内直也氏)

— ISMS認証の新規取得からうかがいます。まずは御社がISMS認証を取得した理由を教えてください。

倉内 弊社がISMS認証を取得した理由は、より強固な情報セキュリティの体制づくりを推進するためです。

弊社は業務を遂行する上でクライアントから新製品情報をお預かりします。新製品の情報が漏れるとクライアント側に大きな損害をもたらすことになりますので、情報を外部に漏らさないよう万全の対策をとらなければいけません。弊社は従来から独自に情報セキュリティのガイドラインを設けて対応してきましたが、近年、クライアントからセキュリティ強化の要望が出てきていました。社会的にセキュリティに対する関心が高まり、クライアント自身がISMS認証を取得してセキュリティ基準を策定する中で、我々委託先にもその基準に合わせた対策が求められるようになったのです。

このような経緯から、情報セキュリティの体制づくりが事業継続のための大きな課題として浮上していました。そして情報セキュリティの体制づくりの一環としてISMS認証の取得を決めました。

— 「情報セキュリティの体制づくり」として、ISMS認証の取得以外に行ったことは何ですか。

倉内 情報セキュリティの体制づくりを進めるための具体策として弊社が考えたことは2つあります。1つめはISMS認証取得で、2つめはITシステムとセキュリティの専門スキルを持った人材を採用した上でのIT部門設立です。
弊社は、ISMS認証の取得はあくまで情報セキュリティシステムを策定する上での一つの物差しとして考えています。ISO27001という国際規格に基づいた認証を取得することで、セキュリティレベルの向上が図れると考えました。またISMSは運用を維持しなければいけませんので、社内でしっかり運用するために、2012年5月、情報セキュリティとITシステムの専門スキルを有する松岡を迎え、IT部門(IT戦略室)を設立しました。

— 従来の情報セキュリティに関する取り組みを教えていただけますか。

倉内 弊社は、2005年ごろから社内に情報セキュリティ委員会を設置していました。各部門から1名か2名のメンバーを選抜し、毎月定例会で意見交換をしていました。その中で機密情報を取り扱うためのガイドライン(社内マニュアル)を定めて実行していました。
ただ、そのガイドラインは、その時々の状況に合わせて設けられたものだったため体系化されたルールにはなっていませんでした。また、委員会のメンバーは専任ではなく、各部門のマネージャークラスでもないため、実際の現場では強制力が働きにくく、決めたルールが徹底されにくいという問題がありました。
このような問題を解決するために、客観的な評価基準に沿ったガイドラインを改めて確立し、社内の運用体制を強化するための取り組みをスタートしました。それが今回のISMS認証取得とIT戦略室の設立です。

ISMSの形骸化を防ぐため、情報を守るためのフローを可能な限りシステム化

LRMのサポートがあったため本音と建前が乖離しないルール作りができました

LRMのサポートがあったため本音と建前が乖離しないルール作りができました
(IT戦略室 室長・松岡輝夫氏)

— IT戦略室の役割を教えていただけますか。

松岡 IT戦略室の役割は、情報セキュリティマネジメントシステム(ISMS)の運用を楽にすること、業務効率化のためにIT化を進めることです。このうちIT戦略室を開設した2012年5月から現在までは、直近の課題であるISMSの部分を優先して取り組んできました。
ISMSは、情報を守るためのルールを作り、そのルールを守り、またルールそのものを見直す活動です。しかしルールばかり増えてしまうと、現場は疲弊してしまい、せっかく構築したISMSが形骸化してしまう恐れがあります。それを防ぐために情報を守るためのフローの中でシステムで補完できる部分はシステム化し、情報を守るための社員の負担を軽減して、ISMSをしっかり運用できるようにすることが情報セキュリティ面におけるIT化の課題だと考えています。

— システムで補完するとは、具体的にはどのようなことですか。

松岡 今回導入したシステムの例では、ファイルサーバのアクセスログ監視があります。情報を守るためには、ファイルへのアクセス履歴を管理する必要がありますが、ログ監視システムを入れ自動的に記録することで管理を容易にできます。システム化しなければ属人的な方法で記録を取らなければいけませんが、その方法では手間が増えるだけではなく確実に記録することは不可能です。また、ActiveDirectoryを導入し、社内ネットワーク上のPCアカウントやファイルへのアクセス権などの一元管理を行っています。
一方で、どう頑張ってもシステム化できないフローもあります。例えば商品サンプルの受け渡しや管理などは人を介さなければできません。
ISMSの形骸化を防ぐためには、このような人を介さなければいけないフローと自動化できるフローを仕分けして、自動化できるフローは可能な限りシステムに置き換えていくことが必要となります。どんなに注意を払っても人がやることに間違いは避けられないので、そのリスクを減らすためにはいかに人の介入を減らすかが重要です。今回もルールを設ける部分は人を介さなければできないフローに絞り、それ以外のISMS認証取得に必要な対策はできるだけシステムで補完しようという方針のもとISMSの構築を行いました。

— 人が介するフローに関して、改めて設けたルールはありましたか。

松岡 認証取得のために改めて設けたルールはありません。従来のガイドラインを軸に、全体のバランスを整えるために細かなルールを加えた程度です。
もともとあったルールは、全体を通して一貫性のない部分がありました。そこで個々のルールを見直して、一貫性を持たせました。また、今回システムで補完したフローがありますので、それに合わせて業務プロセスを見直しました。

ISMSを継続的に運用していくための環境整備と意識改革を優先

— ISMSの構築はどのように進んだのですか。

松岡  ISMSの構築だけではなく、IT化による業務の効率化など入社時点でかなりタスクが山積していたので、まず課題の整理から始めました。その上でやらなければいけないことを洗い出して、3年ぐらいのマスタースケジュールを作りました。ISMS認証の取得もその中の1つのタスクとして位置付けました。
当初、社内では2012年の秋から年末にかけて認証を取得したいという目標がありましたが、あくまで認証取得後のISMSの継続的な活動を視野に置き、認証取得は少しペースを落として、まずはISMSを運用するための条件を整えることを優先して進めました。

— ISMSを運用するための条件とは具体的にはどのようなことですか。

松岡  それは大きく分けて二つあります。(1)ISMS認証の取得と取得後の運用に必要なIT化(2)情報を扱う社員の当事者意識の醸成、です。

(1)ISMS認証の取得と取得後の運用に必要なIT化
先ほどシステムで補完するという話をしましたが、そのためには最低限、社内ネットワークやPCの一元管理システムなどが整備されていなければいけません。入社してIT戦略室のタスクに着手しようとした際、その整備ができていなかったため、まずはISMS認証取得に必要なインフラストラクチャの整備を行いました。

(2)情報を扱う社員の当事者意識の醸成
システムで補完できない、人が介する部分はルールを設けることで守っていかなければいけません。そこで重要なのは情報を取り扱う社員自身の当事者意識です。情報を守るためのルールを作り、そのルールを守り、またルールそのものを見直すというPDCAサイクルに、社員一人ひとりが当事者意識を持って参加しなければ、ISMSは形骸化してしまいます。IT戦略室が設立された時点では、社内に情報セキュリティに関することは全てIT戦略室が担うものという意識が強いように感じました。そこで認証取得に向けた作業の中で、委員のメンバーや部門長の方々にも規定づくりに参加していただき、時にはLRMに第三者の立場から厳しい意見を言っていただくなどして、当事者意識の醸成を図りました。

以上のような取り組みを行いながら、ルールづくりなども無事に終えて、2013年6月の認証取得に至りました。

ISMS認証取得による社内の変化

社員の間に責任感も出てきて、全社あげて情報セキュリティに取り組む体制が整いました

社員の間に責任感も出てきて、
全社あげて情報セキュリティに取り組む体制が整いました
(左;倉内氏、右;松岡氏)

— ISMS認証取得を終えた現在、情報セキュリティの体制づくりという目標は、どの程度まで進んだと考えておられますか。

松岡 マネジメントシステムの構築ができて、セキュリティを守るための行動指針が明確になった、という段階です。IT化を進めたことでセキュリティルールを順守しやすい環境を作ることができ、また、ISMS認証取得を通じて、社員の当事者意識も芽生え、全社で意識を共有できるようになったと感じています。
ただ、ISMSは一度構築して終わりではありません。これを土台として、今後も運用を維持・拡大していく必要があると考えています。

— 倉内様からご覧になられて、社内の変化はどのように感じておられますか。

倉内 ISMS認証取得を手段としてセキュリティの体制づくりを進めるという目的はある程度達成できました。
プロジェクトがスタートした時点では、社内の横断的な組織がなかったため、会社として一体化した取り組みが出来ていませんでした。しかしIT戦略室の活動によって、社員一人ひとりのセキュリティ意識が向上し、責任感も芽生えたように感じています。LRMとの打ち合わせには社長が必ず出席するなど積極的な姿勢を見せたこともあって、社内におけるセキュリティのプライオリティはかなり上がりました。

さらにシステム管理とルールの体系化によって、社員が安心して業務を行うことができるようになりました。
以前は一人がミスをすると、それが大きな事故につながる可能性がありました。今は何ヶ所かの防波堤があって、どこかで止まるという安心感があります。もちろん完璧なセキュリティというのはありませんが、格段にセキュアなシステムは作れています。それは大きな成果だったと考えています。

コンサルタント選定の経緯とLRMに決めた理由

— 次にLRMの関与に関して伺います。まず、コンサルタントの選定はどのように行いましたか。

倉内 インターネットで検索して、4社ぐらいピックアップして、対面によるヒアリングを行い選定しました。
LRMをピックアップした理由は、ホームページに実績やコンサルティングの進め方などが詳しく記載されており、安心してお任せできそうだと判断したからです。

— 選定にあたっての基準は何かございましたか。

倉内 弊社特有の事情にどれだけきめ細かく対応していただけそうか、という部分を重視しました。弊社の業務には、クライアントからお預かりした情報が業務を遂行する中で無限大に増殖してくという特殊性があります。
このような特殊性を考慮して柔軟に対応していただけそうなコンサルタント会社を選定しました。

— LRMを選定した決め手は何でしたか。

倉内 お話しを聞いて疑問や不安を感じることがなかったことです。最初にお会いしたのは、今回コンサルティングの主担当を務めた吉村さんですが、非常にしっかりした印象がありました。また、広告系の企業での実績もあると聞いて、安心してお任せできると感じました。

対面したコンサルティング会社の中には「何でも出来ます」という会社もありましたが、詳しく話を聞いていくと、本当にできるのかと不安に感じたり、きめ細かく対応していただける感触が持てなかったり、ホームページを見ても期待した通りの安心感は持てませんでした。LRMは選定時の期待感が損なわれることがなかったので、委託を決定しました。

LRMはISMS認証を取得するためのペースメーカー

— 今回、ISMS認証取得において、LRMが果たした役割の中で特に重要だったことは何でしょうか。

松岡 (1)ISMS認証取得を進める上でのペースメーカー(2)ルールづくりを進める上での柔軟なサポート、の2点です。

(1)ISMS認証取得を進める上でのペースメーカー
プロジェクトの開始から認証取得完了に至るまで一貫して、ペースメ―カーの役割を果たしていただけたことはIT戦略室の立場からは非常に助かりました。
特に部署が立ち上がってからの3か月間は、やらなければいけないことが見えているのに、私自身がほとんどアウトプットができていない状態でした。それだけタスクが山積していました。
そのような状況で、ISMS認証を取得するまでのマイルストーンはLRMがしっかり管理してくれたので、私自身はシステム化やガイドラインの見直し、社内の体制づくりに専念することができました。ISMS認証取得の進捗管理に関しては、LRMにまかせっきりでした。

(2)ルールづくりを進める上での柔軟なサポート
ISMSのルールづくりでは、100点を目指した進め方は不可能です。規格を踏まえつつ、自社の実態に応じた無理のないルール作りが課題となります。その課題を解決するには、ISMSの知識に加え、社内の事情をしっかり把握する必要があります。LRMは何度も弊社を訪れて我々の話をよく聞き、社内の実情を十分理解した上で、経験に基づいた提案をしてくれました。LRMの豊富なコンサルティング経験を踏まえた現実的な助言も非常に参考になりました。
また、ISMSのルールの素案はLRMが作成したのですが、弊社の考え方や文化を反映したものを作成してくれました。

さらにISMSのルールづくりでは、ガイドラインやメインクライアントのセキュリティ基準と齟齬のないよう調整を繰り返しましたが、ほぼ出来上がった段階で弊社側がガイドラインに変更を加えた際にも、ルールの微調整や読み合わせなどに根気強く対応していただきました。
このような柔軟な対応をしていただいたことで、ISMSのルールという建前と現場の手順が乖離しないマネジメントシステムが構築できました。

仲間意識が感じられるLRMの柔軟な対応

— 選定時の期待感に対して、LRMは十分に応えることができましたか。

倉内 はい、期待通りでした。一般的にコンサルタントの方というのは、形式的であることが多いと感じます。
LRMの場合は、個別の事業に応じて、非常に柔軟に対応してくれます。例えば、やらなくて良いことはやらなくて良い、という柔軟性はすごく大事です。ISO27001の規格ありきでスタートすると、弊社にとっては無駄なことが増えて、却ってリスクが高まります。「情報を守る」という視点を軸に考えれば、そのような無駄はなくなります。
融通が効きすぎるのも問題ですが、LRMは最低限押さえるべきところは押さえ、本質を踏まえた対応をしていただけたため、弊社にとってちょうど良いマネジメントシステムが構築できたと考えています。

松岡 そうですね。私は立場上、完璧を求めてしまいがちなのですが、LRMが適度に間引いてくれました。
それによって、業務フローに大きな影響が出ないルールが作れました。

倉内 LRMの対応の仕方には仲間意識のようなものを感じます。社内の人間と同じ目線で考え、行動していただけたことが信頼関係へとつながりました。

セキュリティは品質の一部。これからもその品質を高める取り組みを継続していきます

セキュリティは品質の一部。これからもその品質を高める取り組みを継続していきます
(左から、倉内氏、松岡氏)

情報セキュリティの体制づくりを進めていく上でLRMに期待すること

— 認証取得後、『情報セキュリティ倶楽部』に契約をした理由を教えてください。

松岡 情報セキュリティの体制づくりを進めていく上で、専門家のサポートが必要だからです。

現段階で、ISMSを運用していく土台は出来ましたが、IT戦略室としての課題はまだまだたくさんあります。
これまでは情報を守るためのシステム化を中心に進めてきましたが、今後は効率化も進めて行かなければいけません。その一方で、ユーザーが安心・安全に情報を扱えるような仕組みづくりも継続していく必要があります。
これらのタスクをこなしながら、ISMS認証の運用維持をしていくには、社内のリソースだけでは対応しきれません。

例えば、これまで取り決めていない事案が発生した際、自信を持った判断・対応をするためには、LRMが持っている他社の事例やノウハウは大変役立ちます。また、法律は解釈を伴いますので、ISMSの法律が絡む場合の判断には心許なさを感じることがあり、一般的に妥当な判断なのかどうか判断するためにも、専門家のサポートは必要です。
逐一行うことが困難な規格の変更のチェックも、安心して任せることができます。

セールスプロモーション業界の変化は激しいので、事業構造そのものが変わっていく可能性もあります。ISMSの運用を維持するためには、そのような変化に柔軟に合わせていかなければいけません。LRMにはそういうことも含めて相談に乗っていただきたいと考えています。

— 情報セキュリティに関する今後のビジョンをお話しください。

松岡 情報セキュリティやITは、現代の企業が事業を進めていくためのベースです。そこがしっかりしていないと事業はうまくいきません。セキュリティの品質は事業品質の一部であり、継続的に高めていくことが重要です。特に弊社の事業ではクライアントに情報を預けていただいてはじめて仕事が成立します。セキュリティに対する信頼がなければ、その情報をお預かりすることができなくなり、事業の継続や発展は困難となるでしょう。
ですからセキュリティは投資であって、コストではありません。セキュリティを上げることは事業の継続・発展に必ずつながります。そのような考えに立ち、今後も情報セキュリティマネジメントシステムの運用には会社全体で力を入れて取り組んでいきたいと考えています。

倉内様、松岡様、お忙しい中、有り難うございました。

倉内様、松岡様、お忙しい中、有り難うございました。
※左端は当社・吉村、右端は当社・幸松

株式会社日本SPセンターのWebサイト
※ 取材日時 2013年7月

  • Web制作・運用
  • 広告・マーケティング
  • 既存の社内規程/文書類を活かす
  • 50~199名
  • 東京
  • 複数拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら