大洞印刷株式会社様 – 顧客事例 –

より自社にフィットしたマネジメントシステムを構築するために、印刷業務に特化した情報セキュリティマニュアルを追加で依頼しました。業務をしっかり理解した上でサポートしていただけて満足しています

岐阜県の大洞印刷株式会社は、近年の印刷業界における情報セキュリティ意識の高まりに応じ、ISMS/ISO27001認証を取得しました。検討段階から認証取得までの経緯と今後の取り組み課題、そしてLRMにコンサルティングを依頼した経緯と成果などについて、経営企画部 部長・福島正人氏に話を伺いました。

(大洞印刷株式会社について)

設立以来、ビジネスフォーム類の印刷で成長してきた印刷会社。現在は特殊印刷・加工に注力した事業を展開している。2004年に特殊原反や化成品などへのフルカラー印刷を可能とするUVオフセット印刷機を、国内では他社に先駆けて導入し、クリアファイルなどの販促ツール類の製造を開始。
全国の同業者や広告代理店などからの注文が相次ぎ独自のポジションを確立した。2005年には業界の先駆けとしてクリアファイル専門の印刷通販『クリアファイルのボラネット』を開設し、現在まで同市場におけるトップシェアを堅持し続けている。さらに2016年にはB2サイズのパッケージ印刷に対応したデジタルオフセット印刷機を導入。クリアファイルで培った特殊原反や化成品などへの印刷加工技術とノウハウを生かすことで、パッケージをはじめとした全製品の小ロット多品種対応を実現している。2016年4月にはさらなる市場拡大の足掛かりとして東京オフィスも開設。『CHANGE』の精神のもと革新的な印刷サービスプロバイダーとしての発展を目指す。
本社;岐阜県本巣市。設立;1932年7月。従業員数;81名(2017年11月現在)。

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

大洞印刷株式会社・本社工場

大洞印刷株式会社・本社工場

— LRMへのご依頼内容をお話し下さい。

弊社は、2016年10月、LRMさんにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。

また、オプションで印刷業務(データの受け渡しから出荷までの業務)だけを抜き出してより詳細な情報セキュリティルールを定めた「印刷・発送業務における情報の取り扱いマニュアル」の作成もお願いしました。

LRMさんの担当者は井崎さんです。2016年10月下旬からコンサルティングがスタートして、2017年10月、ISMS認証を取得しました。

印刷業界で高まる情報セキュリティへのニーズに応えてISMS/ISO27001認証を取得

— ISMS認証を取得した理由をお話し下さい。

弊社がISMS認証を取得したのは、お客様のニーズに応えるためです。年々、発注者である民間企業の間で情報セキュリティの意識が高まっており、お客様からISMS認証やプライバシーマーク(以下、Pマーク)の取得を要請されることが増えました。中にはいずれかの認証を取得していないと発注できないという企業もあります。以前からこのような声はありましたが、特に最近、急増したため本格的に認証取得に取り組むこととなりました。

– ISMS認証の適用範囲を教えてください。

ISMS認証の適用範囲は、特殊印刷を中心に行う本社工場と、ビジネスフォームの印刷を行う岐阜工場です。東京営業所は開設したばかりのため適用範囲には含めていません。ただし、従業員教育は東京を含めて全社で行いました。

– PマークではなくISMSを選択した理由をお話し下さい。

ISMSを選択した理由は、以下の通りです。

(1)自社の業務にフィットしたルールが構築できる
PマークよりもISMSの方が、自社にフィットしたルールを構築できるというイメージがありました。ISMS、Pマーク、いずれの認証を取得しても、外部機関が定める規格に基づいたルールが適用されますが、その中でも業務が制限されることは少しでも回避したいと考えてISMSを選択しました。

(2)国際規格ISO27001に基づいた規格である
弊社は印刷機のメーカーからお客様をご紹介いただくことがあります。その中で特殊印刷の機械に関しては、海外メーカー製であることから、海外の企業をご紹介いただくこともあります。その場合、国内の規格に基づくPマークより、国際規格に基づくISMS認証の方が認知度は高く、効果的です。

— PマークよりもISMSの方が、自社にフィットしたルールを適用できるというイメージを持っていたのは何故ですか。

弊社は以前、Pマーク取得を検討したことがありました。その際に、Pマークは非常に厳格なルールで縛られるという印象を持ち、取得を一旦保留にしたという経緯があります。 私個人の経験でも、前職時代の会社で、Pマーク取得によってかなり業務が制限された記憶がありました。

それに対し、ISMSは自社の状態に合わせたルールを適用し、PDCAサイクルを回しながら、その時々に合わせて改善していくものだと認識していました。ISMS認証やPマークを取得している企業の方々のご意見も、我々の理解と一致していたため、ISMSに決めました。

柔軟な対応が期待できたLRMにコンサルティングを依頼

クリアファイル印刷WEB通販パイオニア『ボラネット』のECサイト。

クリアファイル印刷WEB通販パイオニア『ボラネット』のECサイト

— コンサルティング会社選定の経緯をお話しください。

コンサルティング会社の選定は、まずインターネット検索からスタートしました。
上位表示された会社のホームページにアクセスして、実績や内容を吟味し、数社を候補に挙げました。そしてメールで連絡を取って、最も良いと思ったコンサルティング会社がLRMさんでした。

— 実際にお会いして話をしたコンサルティング会社は何社ぐらいあったのですか。

実際にお会いしたのはLRMさんだけです。メールで連絡を取り合う中で「行きます」と言ってくれたのがLRMさんだけでした。弊社の所在地が岐阜県で、ピックアップしたいずれの会社も東京や大阪など遠方だったことが要因だと思いますが、実際に会って話を聞いたのはLRMさんだけです。

— LRMに依頼した決め手をお話し下さい。

決め手は3点ありました。

(1)柔軟な対応への期待
ホームページのコンテンツや営業担当者の方の話の中に、取得企業に合わせたルール作りをするといった話が随所に出てくるため、柔軟に対応していただけそうな期待が持てました。

(2)実績の豊富さ
ホームページに掲載されている顧客事例も多く、しっかりした実績があるという安心感がありました。

(3)見積もりの値ごろ感
コンサルティング費用の見積もりが、弊社が用意していた予算よりも安価でした。

以上、3点を決め手として、ISMS認証新規取得コンサルティングをLRMさんに依頼しました。

— オプションで「印刷・発送業務における情報の取り扱いマニュアル」の作成をご依頼された理由をお話しください。

弊社の業務に、よりフィットしたマネジメントシステムを構築したかったからです。現場のセキュリティレベルを上げるために、ISMSのマニュアルから印刷業務の部分だけを切り出してより細かいセキュリティルールを決めることにしました。

コンサルティングの進め方;打ち合わせにはテレビ会議、文書共有には『G Suite』を活用

TV会議での打ち合わせでもしっかりコミュニケーションできました

TV会議での打ち合わせでもしっかりコミュニケーションできました
(経営企画部 部長・福島正人氏)

— LRMのコンサルティングによるISMSの構築は、どのように行われましたか。

キックオフと現場へのヒアリング、内部監査以外は、基本的に『Google ハングアウト』を活用したテレビ会議で打ち合わせを行いました。

また、ドキュメント類の作成・共有は、弊社が普段から使用している『G Suite』を使いました。最初はWordやExcelでドキュメント類を作成していましたが、LRMさんに相談し、『G Suite』に変更してもらいました。

具体的な作業は次のように行いました。

最初にLRMさんに印刷現場へのインタビューを実施してもらい、業務の流れを把握していただきました。その上で、ISMSマニュアルのひな形の読み合わせを行い、弊社の状況に合致しない箇所があれば、弊社に合わせて変更していってマニュアルを完成させました。

— ISMSのマネジメントシステムを構築する上でのご要望はございましたか。

コンサルティングの冒頭で自分たちの仕事がやりにくくなる要素はできるだけ省きたいという話はしました。その要望を汲んでいただいたこともあり、ISMS認証を取得するために最低限必要なルールは適用しましたが、業務に大きな支障があるルールにはなっていません。

— 最低限必要なルールとは、例えばどのようなことですか。

IDやパスワードを付箋に書いてPCのモニターに貼ってはいけない、コピー用紙の裏紙をメモ用紙として利用しない、といったことです。このような類のことで、今までどおりにできなくなったことはあります。
ただ、これらは本来、好ましくないことは承知しつつも、利便性を優先して一部が何気なくやっていたことです。
このようなことはISMS認証取得を機に明確に禁止しました。

— 社内の管理ルールで、新しく取り入れたルールはありますか。

一番大きく変わったのが入退室の管理です。これまでもエントランスにインターフォンを設置して、内側から解錠して入室してもらっていましたが、それに加えて来客記録を取るようにしました。その他、工場見学者から秘密保持に関するサインの取得、共有PCへのパスワード設定、履歴書の管理方法などのルールを定めました。

— 「印刷・発送業務における情報の取り扱いマニュアル 」の作成は、ISMSの構築後に行ったのですか。

「印刷・発送業務における情報の取り扱いマニュアル 」もISMSのマニュアルと同時進行で作成しました。

— 「印刷・発送業務における情報の取り扱いマニュアル」は、ISMSマニュアルとは重複しないものですか。

「印刷・発送業務における情報の取り扱いマニュアル」は、印刷物にまつわる情報の取得から発送、情報を廃棄するまでの業務に特化したマニュアルです。ISMSマニュアルと重複する箇所もありますが、印刷業務に関わるルールをさらに掘り下げて細かく規定しました。例えば、印刷データを長期間保管しない、発送伝票を複数印刷しないなどの禁止事項や、送付ミスなどが起きた時の対処方法を定めて明文化しました。

「印刷・発送業務における情報の取り扱いマニュアル」の有無はISMS認証の取得そのものには影響しませんが、審査ではGoodポイントをいただきました。

— マニュアル類が完成した時期はいつですか。

5月には全てのマニュアル類がほぼ完成し、従業員教育を行いました。

— 従業員教育はどのような方法で行いましたか。

LRMさんのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用し、パート従業員や、認証の適用範囲外とした東京営業所の社員を含め、弊社の全従業員を対象に行いました。

「eラーニングシステムはテストを実施した記録が残る点が便利。
今後の課題解決に向けて継続活用も検討しています」

— 『セキュリオ』のeラーニング機能を活用されたご感想をお話し下さい。

『セキュリオ』はテキストを読んだ上でテストを実施するというシステムですが、管理画面に点数が記録される点が便利だと感じました。第2段階審査で従業員教育の実施記録を求められた際にも、管理画面の記録を提示して対応しました。

ISMSを運用していく上で、今後の課題は、情報セキュリティの取り組みを社内に浸透させることです。その課題に取り組む上でeラーニングシステムは非常に便利なので、継続して活用することも検討中です。

模擬審査を兼ねた内部監査を実施

— 従業員教育の後は内部監査の実施でしょうか。

従業員教育を行った後、6月に全社説明を行い、その後、8月に第1段階審査を受審しました。内部監査はその後、第2段階審査の2週間前に、模擬審査を兼ねて、LRMさんに内部監査員を代行してもらって実施しました。

— 内部監査を第2段階審査を控えたタイミングで、模擬審査と兼ねる形で実施した理由をお話し下さい。

第2段階審査を迎える前に、運用上のエラーがあれば改善したいと考えたからです。第2段階審査の直前に内部監査を実施することと、内部監査員をLRMさんに代行してもらうことは、スケジューリングの段階で決めていました。内部監査で問題点を洗い出して改善し、その状態を維持して、第2段階審査を迎えたいと考えました。

実際、内部監査の段階では、遵守されていないルールがありましたが、それを外部の方にご指摘いただくことで、改めて意識しなおす機会になりました。

— 第2段階審査の結果はいかがでしたか。

第2段階審査の結果は、内部監査の成果もあり、大きな問題もなくスムーズに終えることが出来ました。改善の機会はありましたが、不適合はありませんでした。

ISMS/ISO27001認証取得による日常業務への影響

— ISMS認証取得による日常業務への影響はありましたか。

大きな影響はありませんでした。何も変わっていない、というのが率直な感想です。ISMS認証を取得するため、または情報漏えいリスクを減らすために必要なルールを適用したことで、従来とは行動が変わった部分はありますが、それによって業務自体が窮屈になった感覚はありません。

— 反対にISMSのルールを決めたことで、業務改善を見込むことはできるでしょうか。

業務改善に繋がる可能性はあると考えています。情報セキュリティを考慮した業務フローが構築できれば、業務の質は向上します。例えば、弊社のデジタル印刷技術では、1部ずつデザインを変えるバリアブル印刷が可能であるため宛名印刷などを請け負うことがあります。そこで現在、個人情報を適切に扱うフローを、情報セキュリティの観点から見直して再構築しているところです。

ISMS認証取得の取り組みは、システムの運用を見直すきっかけにもなりました。弊社は社内の業務システムを完全クラウド化しています。『G Suite』の他には、顧客管理に『Salesforce』、社内外のデータ共有にクラウドストレージ『Box』を使用しています。さらにECシステムの基盤にはAWSを活用しています。現在、これらのシステムを利用する上でのセキュリティルールの強化に取り組んでいるところです。例えば、どこからでもログインできないようIP制限をかけるといったことです。これらはいきなり制限をかけると、業務に支障が出るため、ISMS認証新規取得の段階では今後の検討課題としました。

— 対外的には何らかの反響はありますか。

認証書が届いて間もないので、まだ反響の有無を実感できる段階ではありません。しかし提案資料や名刺には認証マークを印刷するので、今後の商談ではISMS認証の有無が問題になることはなくなります。

コンサルタントのしっかりした業務理解が自社にフィットしたISMS構築に繋がった

— LRMのコンサルティングを受けられたご感想をお話し下さい。

満足しています。弊社の業務をしっかり理解していただいた上で、コンサルティングに入っていただいたことが特に良かったと感じました。マニュアル作成の前の社内のインタビューは、井崎さんと社長の幸松さんが一緒に各部署を回って、各部署30分から1時間ぐらいずつヒアリングしていただきました。それが弊社にフィットしたISMSの構築に繋がりました。

— 打ち合わせはテレビ会議で行ったとのことでしたが、コミュニケーションの問題はありませんでしたか。

特に問題はありませんでした。ドキュメントの作成・共有も『G Suite』を利用したことでスムーズにできました。
編集されると自動通知によってリアルタイムで確認できましたし、コメント機能で変更箇所も把握できたので、ストレスを感じることはありませんでした。

特に弊社の業務をしっかり理解した上でコンサルティングに入っていただけたことが良かったです

特に弊社の業務をしっかり理解した上でコンサルティングに入っていただけたことが良かったです。
(左;福島氏 ※右は弊社井崎)

今後の課題とLRMへの期待

— ISMSの取り組みに関して、今後の課題などがあればお話し下さい。

今後は、情報セキュリティの取り組みを、社内へ浸透させることが課題です。現在、弊社では生産性を高めるための業務改善に取り組んでいます。情報セキュリティマネジメントも、その一環として積極的に取り組んでいく必要があります。今回構築したマネジメントシステムをベースにPDCAサイクルを回しながら運用をしていく考えです。

— LRMへのご期待があればお話し下さい。

ISMS認証取得後、運用保守サービス『情報セキュリティ倶楽部』を契約しました。今後、ISMSを運用するにあたってわからないことが沢山出てくると思うので、適宜相談に乗っていただきたいと考えています。

また、弊社は現在、やはり業務改善の取り組みの一環として、ISO9001/QMS(以下、QMS)認証の取得も進めています。LRMさんには、ISMSとQMSには重複する箇所もあるため、統合的なマネジメントシステムを構築することを勧められています。二重管理が不要になり、運用の費用も抑えられるため、前向きに検討しています。今後、この部分でもLRMさんにサポートを依頼するかもしれません。

大洞印刷株式会社様、お忙しい中、有り難うございました。今後ともよろしくお願いいたします。

大洞印刷株式会社様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。

※ 大洞印刷株式会社のWEBサイト
※ 取材日時 2017年11月

  • 製造・メーカー
  • 海外への事業展開
  • 50~199名
  • 岐阜
  • 複数拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら