株式会社オースタンス様 – 顧客事例 –
シニアDXを支援する株式会社オースタンスはLRM株式会社のサポートを受け、2023年2月、ISMS/ISO27001認証を取得しました。同社が認証取得に向けた準備をスタートさせたのは2022年11月のこと。
ISMS事務局を担った趣味人倶楽部事業 事業責任者・松尾様に、ISMS/ISO27001認証取得の理由と、約3ヶ月間での取得が実現できた要因を伺いました。
- お客様が抱える課題とISMS構築
-
- 短期間で認証取得したい
- 自社の状況に適した体制を構築したい
- 具体的にどのように取り組むのかイメージがしにくかった
- 顧客事例が豊富なコンサル会社を選択
- ある程度自分で作業しながら効率を重視した進め方
- 負荷をかけないような方法で全社にルールを周知
- LRMコンサルティングサービスへの感想
-
- 効率を優先して短期間での取得を可能にしてくれた
- リクエストに柔軟に対応しつつ適切にリードしてくれた
- 返信がいつも早く細かいところでもサポートが行き届いていた
(株式会社オースタンスについて)
「私の好きが、世界を、動かす。」を創業理念とし、シニア世代の“発信・つながり・健康”をテーマに多様なサービスを展開している。現在の中核サービスは、会員数36.5万人、月間3000万PVを誇る、国内最大級の中高年向けSNSサービス『趣味人倶楽部(しゅみーとくらぶ)』だ。
定年退職を迎えたり、子育てを終えたりした世代が集まり、3万件以上のコミュニティを作り、活発に活動している。
一方では、1日1人のペースでシニア世代にインタビューを行うなど、シニア世代のライフスタイルや、生活する上で抱える課題などを調査・分析。その研究成果と『趣味人倶楽部』の会員データを活かしたシニアDX推進事業を展開中だ。企業向けにシニアを対象としたビジネスや商品開発の立ち上げからグロースに至るまでのマーケティングやプロモーションを支援する他、自治体による、シニア層のQOL(生活の質)向上に向けた取り組みをICTで支援している。
また、今年からシニア向けのオンラインスクール事業である「セカスク」も立ち上げた。これらの事業を通し、“年齢を重ねることを少しでもポジティブにできる社会”の実現を目指す。
設立;2015年1月。本社;東京都渋谷区。従業員数;約40名(2023年3月現在)。
記事index
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話しください。
株式会社オースタンスは2022年11月、LRMにISMS/ISO27001(以下、ISMS)認証新規認証取得コンサルティングを依頼しました。LRMの担当者、高橋さんのサポートを受け、2023年1月末には第2段階審査を受け、2月にはISMS認証を取得しました。当初目指していたスケジュールよりも1か月早く取得できました。
— 非常に短期間でのプロジェクトでしたね。
3月末までには認証取得が正式に完了している状態を作る必要がありました。余裕を持って対応できるよう、2月末の取得を目指して取り組みをスタートしました。
自治体案件、BtoB事業の拡大に備えISMS/ISO27001認証を取得
— ISMSを取得された理由をお話しください。
きっかけは、自治体の案件で、ISMSかプライバシーマーク(以下、Pマーク)のどちらかが必要になったことです。
その一方で、弊社は大手企業や大手銀行との取り引きもありますので、いずれは第三者機関からの認証を受けている状況を作る必要がありました。
中高年向けの事業立ち上げや戦略策定の支援、コンサルティング、調査などを行うBtoB事業は昨年度立ち上がったばかりですが、順調に推移しており、今後もさらに注力していく計画です。
こういった背景のもと、個人情報が対応範囲であるPマークではなく、情報資産全体を管理対象として運用することが求められるISMS認証を選択しました。
— ISMS認証取得前の情報セキュリティに関する取り組み状況をお話しください。
情報セキュリティに関する標準的な対策は採っていました。代表が大手企業で、人事、営業、事業開発などに携わってきた経験上、押さえるべきところは押さえていたと思います。
— ISMS認証取得に向けた社内体制をお話し下さい。
ISMSとPマークの比較検討から、コンサルティング会社の選定、ルール策定、文書作成、社内へのルール周知、審査対応に至るまで、基本的には私が1人で進めました。
— 松尾様は、もともとISMSの予備知識を持たれた状態でスタートされているのでしょうか。
ISMSの規格に関する知識は全くありませんでした。LRMに依頼した際も、特に予備知識をインプットせず、依頼しました。ただ、私はもともとエンジニアからキャリアをスタートし、WEBディレクションなどを経て、現在のポジションに就いています。その過程で、情報セキュリティも担当してきた経緯があり、ISMSに関しても概念的には理解できました。ISMSとPマークのいずれかが必要になった時、社内が忙しく、具体的な検討がなかなか進まなかったことから、私の方で引き受けて担当することになりました。
— ISMSを導入・運用することについて、もしくはISMS認証を取得するまでの過程について、不安はございませんでしたか。
不安はありませんでしたが、現在の自社の状況に適したセキュリティレベルを判断する難しさは感じていました。
基本的には取得する事業者ごとに、どのようなルールを設定し、どのように運用を回していくかが決められるという認識は持っていました。ただ、規格の要求を満たすために、どこまでやるべきなのかはイメージできませんでした。ISMS認証取得を決めた際に、自社取得も検討しましたが、取得難易度が測れず、3月に間に合う確信が持てませんでしたので、コンサルティング会社のサポートを受けることにしました。
既存のMSマニュアルとの統合を視野に入れたドキュメント作成
— コンサルティングではなく、代行サービスは検討されませんでしたか。
代行サービスはコミュニケーションコストがかかると思って選択肢から外しました。丸投げして、弊社に合わせたマネジメントシステムを構築するには、弊社について知ってもらう必要があります。そのための認識合わせに手間暇が取られてしまいますと、結局は自社取得と変わらない工数がかかりますし、その分お金がかかってしまうと考えました。
— コンサルティング会社選定の経緯をお話しください。
インターネット検索で上位表示された会社の中から何社かピックアップして、ホームページを見て比較した結果、顧客事例が豊富なLRMに問い合わせました。時間もありませんでしたので、とりあえず、大きな懸念点がなければ、依頼しようと思っていました。営業の方と話をして、特に不透明さは感じませんでしたので、LRMに依頼しました。
LRMへのリクエスト;短期取得を実現するための、効率を重視した進め方
— プロジェクトの進め方で、LRMにリクエストされたことはございますか。
コンサルティングというサービスは、コンサルタントが顧客に寄り添い、丁寧に、一緒に作業を進めるというやり方がデフォルトであるという理解がありましたが、弊社としては今回、時間的な問題もありましたし、私自身の情報セキュリティに対する理解度は高いと思っていましたので、ある程度、こちらで作業をして叩き台を作ったものを、高橋さんにチェックしてもらうという進め方の方が効率的であると考え、その通りにお願いしました。
— LRMからは特に進め方は提示されませんでしたか。
キックオフの際にプロジェクトの進め方を話し合いましたが、「こうしなければいけない」というものはありませんでした。基本的には一緒に進めることが多いというお話はありましたが、私の中でなんとなくイメージはできましたので、こちらでいったん作ります、という話をさせていただきました。
— 実際、ご自身で文書作成を進められて難しさは感じられませんでしたか。
文書作成自体は、イメージした通りで、難しいとは感じませんでした。定例会で話をしている時に不明な点があれば、逐一、高橋さんに質問して疑問を解消した上で作業しましたので、特に難はありませんでした。
— 作業は全て、松尾様お1人で行われたのですか。
ルールを決め、文書を作成する際に、各部門のマネージャーに協力していただいた部分はございます。
ルールを決める際、各部署の業務に依存する部分は私の一存で決められませんし、情報資産の洗い出しやリスクアセスメントなど、それぞれの部署で行っていただくべき箇所もありました。ルールを検討したり、作業を進めていただいたりするには、きちんと理解していただく必要がございましたので、必要に応じて場を設けて、丁寧に説明しながら進めていきました。
LRMのひな形とフォーマットを活用したルール作成
— LRMとの打ち合わせ回数は、3か月間、毎週実施されたのですか。
実施しない週もありましたので、高橋さんと打ち合わせした回数は8回ぐらいです。毎週1時間ずつ日程を押さえさせていただき、毎回、アジェンダをご準備いただいて、そこで与えられたタスクを持ち帰って作業を進めました。
文書類のひな形やフォーマットはご提供いただいていましたので、それを基に作成し、次の定例会で確認事項と不明点のみ確認し、次のタスクをご指示いただいて、また作業を進めるというサイクルを繰り返しました。
定例会を待たずに、作成した文書を『Slack』で送付して確認してもらうこともありました。非常にスマートな進行が出来たと思っています。
— ISMSの構築前後で、業務フローなど、大きく変わった点をお話しください。
大きく変わった点はありませんが、以前から仕組みはありましたが、社内規定や業務マニュアルなどの文書には落ちていない、またはルール化はされていないものがありましたので、それらを明確なルールとして規定し言語化した上で、運用した記録を残すフローは作りました。
— 一般社員の方々の業務に関わる部分で変わった点はありませんでしたか。
細かい点では、デバイスのパスワード管理ソフトやセキュリティソフトを全社導入しました。これらによって、デバイスの管理や運用における安全性が担保できる状況を作れました。また、インシデント管理は従来もやっていましたが、改めてルールと書式を定めました。
— そういったルールを導入することに対し、抵抗はございませんでしたか。
大きな抵抗はありませんでした。業務に使っているPCのセキュリティに関しては、ISMS認証を取得しているかどうかに関わらず、お客様から問われる部分ではありますので、この機会に整備しておく必要はあると判断しました。また、パスワード管理ツールなどは、属人的な管理から解放され、利便性は向上しますので、抵抗はなかったかと思います。
— 細かいルールの策定は、LRMのひな形に沿って決めていかれたのでしょうか。
基本的にはひな形の各項目を検討しながら策定しましたが、パスワードツールやセキュリティソフトなど、ひな形によらず、独自に定めたルールもございます。
— ルールを決める上で、コンサルタントにご相談されたことはありましたか。
文書作成を進める上で確認しなければいけないことは、そんなに多くはありませんでした。もちろん、打ち合わせの時の会話で、「これは高橋さんの経験則に基づくアドバイスかな」と思うようなところもありましたので、それを参考にして決めていったこともあります。また、「このようなルールにしようと思っているけれどどうか」といった質問は、『Slack』上で何度かしたと思います。
従業員教育、内部監査、審査対策もサポート
— 従業員教育はどうされましたか。
LRMのセキュリティ教育クラウド『セキュリオ』のeラーニングを活用しました。『セキュリオ』は、法令管理、サプライチェーンセキュリティ機能による委託先管理にも利用しました。
— 『セキュリオ』をご利用になったご感想をお話し下さい。
全体的に便利に活用させていただきました。特に、eラーニングは従業員一人一人の受講状況が可視化されて管理しやすかったですし、従業員側にとっても各自、都合の良いタイミングで受講出来ましたので利便性は高かったと思います。
— 外部の委託先は数が多いのですか。
はい。開発やデザイン、WEB制作、マーケティングリサーチなど、個人から法人まで様々な委託先がございます。
これまでも、秘密保持契約の締結など、最低限、必要な取り決めはしておりましたので、特別なリスクはなかったと考えていますが、さらにきめの細かい管理が出来るようになりました。
— 『セキュリオ』は今後もご利用になるのですか。
継続利用を検討中です。従業員教育の教材や問題を作る必要もありませんし、法令管理、委託先管理の工数も削減できますので、利用したいと考えています。最終的には、コストとの兼ね合いで判断したいと考えています。
— 内部監査はどうされましたか。
内部監査は私ともう一名、セキュリティ周りの担当者が内部監査員を務め、部署ごとに実施しました。
— 内部監査に関して、LRMのサポートはございましたか。
LRMからチェックシートのひな形をご提供の上、留意点をご説明いただきました。チェックシートのひな形は、一部、自社に合わせてカスタマイズして使用しました。また、ISMSの事務局の内部監査は、高橋さんに内部監査員を代行していただきました。
— 外部審査に向けた対策などのサポートはございましたか。
はい。審査に必要な書類の整理など、審査に向けた準備で若干遅れていたところをサポートしていただきました。
また、審査員の着眼点を教えていただきました。審査員がどのような点に重点を置いて審査をされるのか、非常に気になっていましたので、助かりました。
— 審査はいかがでしたか。
指摘事項は、改善の機会がいくつかあったぐらいで、スムーズに終えられました。
LRMの高橋さんには、細かい点でいろいろと助けていただきました
(左:松尾様、※右は弊社高橋)
情報セキュリティ意識の高まりがリスクを軽減
— ISMS認証取得の取り組みが一通り終わって感じられたことはございますか。
はい。『セキュリオ』のeラーニングや、ルールの周知を行ったことで、全社的に情報セキュリティに対する知識が深まったのではないかと感じています。お客様とのやりとりを含め、日々、様々な業務が発生している中で、全てにセキュリティ担当者が入れるわけではありません。その中で、客観的な基準に則ったセキュリティの視点を、従業員全員が持てたというところは、何らかの不具合が生じるリスクを低減することに繋がっています。認証の有無とは別に、そのような成果もあったと思います。
— ルールの周知はどのような形でされたのですか。
ルールが固まった時点で、要点を15分ぐらいで理解できるようドキュメントにまとめて、全社に周知しました。
その上で、審査を控えているのでインプットしておくようお願いしました。きちんと見ていただければインプットできる資料を作成しましたので、さほど負荷をかけずに理解していただけたと思います。
— 今後、情報セキュリティの取り組みに関して、展望がございましたらお話しください。
弊社は「中高年の方々に対し、ポジティブな変化や影響を与える」ことをテーマに事業を展開していますので、個人情報漏洩を始め、情報セキュリティ上、ネガティブな要素が生じる事態があれば本末転倒です。そうならないよう、以前から徹底してきたつもりですが、ISMS取得を契機により強化していきたいと考えています。
LRMの柔軟なサポートで実現したISMS/ISO27001認証の短期取得
— LRMのコンサルティングを受けたご感想をお話しください。
振り返って見ても、3ヶ月での取得はLRMのサポートなしでは無理だったと思っています。コンサルティング会社にはそれぞれやり方があるとは思いますが、今回は、効率を優先して弊社がやりやすい方法に合わせていただきました。
高橋さんは私のリクエストに柔軟に対応しつつ、適切なリードをして下さいました。土日や夜遅い時間にも返信していただくなど、細かい点でもいろいろと助けていただきました。
— これからISMS認証を取得される企業のご担当者様へアドバイスをいただけますか。
弊社の場合、企業規模など、取得しやすい条件が揃っていたのだと思います。ただ、個人的には、ISMSはルールや運用のフローを作って、PDCAを回しながら改善していけば良いものだと考えていました。その前提に立てば、あまり考え過ぎず、自社のレベルに合ったもの、最低限必要な要件に合ったところから始められれば、スムーズに進められるのではないかと思います。
株式会社オースタンス様、お忙しい中ありがとうございました。
※ 株式会社オースタンス様のWEBサイト
※ 取材日時 2023年3月
- サービス開発・提供
- 短期取得
- 50名未満
- 東京
- 1拠点