株式会社クエステトラ様 – 顧客事例 –
京都市を拠点にビジネスを展開する株式会社クエステトラは、2020年9月、LRMのサポートを受けISMS/ISO27001認証を取得しました。自社サービスのSaaS型BPMS『QuestetraBPMSuite』を活用して構築した管理体制やルール作りにおいて目指したことなどについて、ISMS事務局を兼任するマーケティング部部長・矢作基氏にお話を伺いました。
記事index
株式会社クエステトラは、クラウド型の業務プロセス管理システム(SaaS BPMS)『Questetra BPM Suite』の開発と、BPMコンサルティングを提供するITベンダー。
BPMとは業務のプロセス(手順、役割分担、ルール)を、役割分担している関係者で共有することで、日々の業務の成果を向上させる経営手法を指す。BPMSは、そのBPMの手法によって可視化・設計された業務プロセスを実行・管理する情報システムである。業務プロセスの設計や画面作成、基幹システム連携など業務アプリケーションの作成、業務の始まりから完了までの業務リストの生成や担当者の割り振りと進捗管理、実績に基づいた業務の振り返りや改善検討までを支援する。申請承認系のワークフローシステムでは実現不可能な、問い合わせ業務や受注業務などの複雑な業務でのプロセス管理で用いられる。
同社が開発・提供する『Questetra BPM Suite』の最大の特徴は、当初からクラウドベースで開発されていることだ。そのため『Salesforce』や『G suite』などのクラウドとの親和性が高く連携がしやすいことから、業務の自動化やペーパーレス化をより高度な次元で実現することが可能である。2009年のリリースから国内で順調に導入社数を増やして来た他、米IT調査会社ガートナーの『Cool Vendor in BPM, 2010』(グローバル5社)に選定され、『Market Scope for bpmPaaS, 2013』(グローバル14製品)で Promising 評価を受けるなど、世界中で高く評価されている。
世界中のビジネスプロセスを最適化することを目指す。
本社;京都市中京区。設立;2008年4月。従業員数;20名(2020年9月現在)。
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
LRMのコンサルタントは建設的な対応が良かったです
(マーケティング部 部長・
矢作基氏)
— LRMへのご依頼内容をお話し下さい。
株式会社クエステトラは、LRMに、2020年2月、ISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。LRMの担当者は松岡さんです。
第2段階審査を8月に受審し、9月にISMS認証を取得しました。
— コンサルティング会社の選定経緯をお話し下さい。
きっかけは知人の紹介です。ご紹介いただいた際に、ISMS認証取得までの流れや全体的なコストを明確に示していただいたこと、審査会社を何社かピックアップして見積りまで取っていただいたことなどから、LRMに依頼すれば、我々は社内の整備に集中するだけで、他の煩雑な手続に悩まされず認証取得まで出来ることがイメージ出来ました。
対応も非常にスピーディーでしたので、迷わず発注しました。
さらなる事業拡大に向けた原動力としてISMS/ISO27001認証を取得
— ISMS認証をご取得された理由をお話し下さい。
今回、弊社がISMS認証を取得した理由は、さらなる事業拡大に向けた原動力を得るためです。
弊社は今年、創業から13期目を迎え、着実に成長を重ねているところですが、今後さらに成長スピードを上げていくには、お客様によりご安心してお取り引きしていただける体制作りが重要な課題となってきます。やるべきことが沢山ある中で特に重要であると判断したのがISMS認証取得です。
既存のお客様は、ISMS認証がなくても契約して下さっていましたが、これまで以上のスピードでお客様を増やすには、ご安心いただけるラベルのようなものも必要だと考えました。
— お客様からのご要望があったというわけではないのですね。
いいえ。ご要望はサービスをリリースした当時から常に頂いていました。お客様によってはお取り引きを開始するための要件として、ISMS取得が必須条件である場合もあり、そういうお客様との商談はそこで終わっていました。
一方、セキュリティチェックシートに回答するなどの対応が求められるケースもあります。その場合、ISMS認証さえ取得していれば「ISMSを取得しています」の一言で片付きます。取得していないことでお客様にも面倒な手間が生じますし、弊社にとっても営業効率が落ちます。
これから成長曲線の角度を上げていくためには、当社営業の増員が必要です。これまではそういうやりとりに慣れた営業が頑張っていましたが、今後も同じ事が出来るとは考えられません。ISMS認証を取得することで、そういった非効率性もなくなると考えました。
やらなくて良いことは省き、やるべきことは価値あるものに
— ISMSを取得に向けて意識していたことはありますか。
私自身、過去に在籍した会社でPマークを取得した経験があります。その経験を下に、今回の取り組みで意識したことは、「やらなくて良いことは出来るだけ省く」ことです。PマークやISMSなどの認証制度ではルールを定めて管理していくことが求められますが、管理そのものにかける工数はできるだけ減らしたいと考えました。
もちろん、そうはいかない部分もあります。重要なことはそのせめぎあいの中でいかにバランスを取るかです。今回の取り組みでも、ルールを作り過ぎて無駄な仕事を増やしたり、ISMS認証を維持するために無理矢理ルールを作ったりすることがないよう意識はしました。
ただ、意識はしていたものの、そうなっていないところもありますので、今後の運用で改善していきたいと考えています。
また、今後の取り組みでは、やらなくても良いことは可能な限り省いていく一方で、やらなければいけないことに関しては価値のあるものにしたいと考えています。
例えば今回作成した文書の中で全社員が最も使うセキュリティハンドブックには、PCのゴミ箱にお客様のデータが残ったままにしない、スクリーンセーバーにロックをかける、新しいスマートフォンを使い始める際には報告をするなど、さまざまなルールが記載されています。管理者側はそのルールの実施状況を確認する必要がありますが、社員にとってはいずれも手間がかかることばかりです。社員にとってメリットがないルールは形骸化してしまう恐れがありますので、それを防ぐために工夫が必要です。例えば報告と学習のタイミングをセットにして、なぜその報告が必要なのかを再認識してもらうなど、そのルールを守る価値が実感できる仕組みも作っていかなければいけないと考えています。
BPMS『Questetra BPM Suite』を活用しISMSを運用
— 今回構築したマネジメントシステムは御社が開発・提供しているBPMS『Questetra BPM Suite』に組み込んで運用しているとうかがいました。これは当初から計画されてたことなのですか。
そうです。BPMとは、業務プロセスを決めて、ルールを定め、その通りに運用していくことです。ISMSに限らずISOなどの規格もそういったルールを定めて運用していくことが目的なので、BPMに載せるのが自然です。
実際、『Questetra BPM Suite』でISOの運用をされている実例は既にあります。弊社の取り組みも審査員の方から非常に高いご評価をいただきました。
–具体的にはどのような管理をされているのですか。
ISMSでは、構築したマネジメントシステムに沿った運用がされていることを適正に記録する必要があります。
例えば委託先管理では、委託先管理の方法を決定してルール化し、そのルールに基づいた管理が求められます。
弊社の委託先管理は以下の手順でルールを策定しました。
①担当者が委託先を特定しリストアップする
②担当者は各委託先に情報セキュリティの取り組みに関するアンケートを送付する
③委託先の回答結果をもとに担当者は必要な対策を行う
④その対策が適切であるかどうかをISMS事務局が確認する
一般的にはこういった委託先管理は管理台帳を作成し、その台帳で管理しているものと思われますが、弊社はLRMからいただいたひな形と、そのひな形に記入すべき情報の見本を参考にしてBPMS上でワークフローを作成しプロセス管理するようにしました。こうすることで、タスク漏れをなくすことが出来ます。また、審査の際は、このワークフローの画面をそのまま審査資料として提示することが出来ます。
委託先管理以外にも内部監査や審査機関による審査で受けた指摘事項の管理など、ワークフローに落とし込めるものは全てBPMS上で管理しています。その結果、ドキュメント類を大幅に削減することが出来ました。
— BPMSに組み込めないものもあるのですか。
あります。情報資産管理台帳やリスク管理台帳、ISMSマニュアル、ハンドブックなどは『Google Suite』でドキュメント管理し、社内ポータルサイトでリンクを張って閲覧できるようにしています。これらも工夫次第でワークフローに落とし込むことは出来ると思いますが、無理に組み込むことで管理しづらくなると意味がありませんので、バランスを見て判断していきたいと考えています。
— BPMSの活用はISMS運用において「やらなくて良いことは省く」または「やるべきことは価値あるものにする」ということにつながるものですか。
BPMSは、やるべきことをやり続けるための仕組みです。しかし、単にやるべきことをフローに落とし込んで自動的に流れていく仕組みを作るだけでは、意味のある運用はできません。BPMで仕組みだけ整備しても、運用が乗らないということはよくある話ですので、もっと積極的に取り組める工夫を、エッセンスとして加えていく必要があります。
特にISMSのような認証でやらなくてはならないタスクというものは、優先度が下がりがちです。先ほどの新しく使う端末の報告などは、そのまま現場に落とすと仕事が増えただけにしか捉えられません。BPMの考えを導入しても運用できなければ意味がありませんので、ワークフローを描く前の設計段階で、効果的に運用してくための工夫をしていかなければいけないと考えています。
従来の業務フローをそのまま落とし込む形でISMSを構築
— 報告業務以外に、御社内の業務フローを変えなければいけないようなことはありませんでしたか。
それはほとんどありません。ISMS事務局の管理業務は増えましたが、それ以外に現場の業務に影響を与えたことはありません。
あえて挙げるとすれば、委託先の評価ぐらいです。弊社の委託先はそんなに多くありませんが、ISMSで管理すべき委託先にはクラウドサービスも含まれます。
例えば『Salesforce』などにもお客様の情報は預けますので、どういった体制になっているかチェックする必要があります。これまでは本人が使いたいと言えばどんなサービスも使える環境でしたが、今後はそのサービスがISMSを取得しているかどうかを確認する手間が発生します。現場の手間として、こういった委託先、特にクラウドサービスを選ぶ際のチェックポイントが増えました。
弊社はまだ小規模な組織ですので、これまで特別なルールを定めていたわけではありません。各自の判断でやっていたことをそのままフローに落とし込むことでISMS体制を構築することが出来ました。
— 今回の取り組みでのご苦労をお話し下さい。
社員への説明には苦労しました。ISMS認証取得は、全社的なコンセンサスのもとで取り組みましたので反発はありませんでしたが、ルールの浸透や協力の要請には工夫が必要でした。
例えばルールの浸透に関しては、ルール実施の周知だけでなく、定期的な中間報告が必要です。またマニュアルの周知についても、ただ周知するだけでなく、最低限覚えて欲しいことを3つだけ厳選して示すといった配慮もしました。
こういった工夫がないと、混乱を招く結果になってしまいます。従業員教育もeラーニングで教材を配信するだけでなく、タイミングを見て繰り返し実施を促す必要があります。
また情報資産の洗い出しやリスク管理台帳の作成は、各部門の部長に協力していただく必要がありました。
その際、どのような視点で、どれぐらい細かくリストアップするのかを全員に理解してもらうため、作成方法の伝え方には工夫を凝らしました。
— そういった社内への周知は実際、どのような方法でされるのですか。
周知自体は『Questetra BPM Suite』の中にSNSのような機能がありますので、それを使っています。ISMSの第2段階審査では現場も見られますので、全社に協力を要請する投稿をしました。1回では伝わらないので、複数回に渡って投稿し、周知しました。また、社員がすぐに見れるように、マニュアルやハンドブック、認証書の画像や認証取得の報告などをアップしています。
ルール構築から社員への説明の仕方まで幅広いサポート
— ご苦労に対するLRMのサポートはありましたか。
社員への説明に関しては、色々と細かいアドバイス頂きました。例えば、マニュアル作成の進捗状況を報告する際にどのような話をすれば良いかというアドバイス等です。
また、リスク管理表の作成でもアドバイス頂きました。我々が悩んだのは粒度の問題です。部署ごとに作成したものを、ISMS事務局で集約するという方法で作成したのですが、部署によって非常に細かかったり、逆に、大雑把だったりと粒度がバラバラでした。ISMS事務局で集約していく上でいかにバランスを取れば良いか判断が付きかねたためアドバイス頂きました。
このようなアドバイスは、現場に説明する上でも非常に有用でした。主観的な意見ではなく、コンサルタントに相談した結果という説明の方が説得力は増すからです。
— ルール作りにおけるサポートはいかがでしたか。
「やらなくて良いことは出来るだけ省く」という方針に沿ったルールを構築するためのアドバイスを頂きました。
例えば新しい社員が入社する際の手続に関して、最初にいただいたマニュアルのひな形では秘密保持誓約書を取るという項目がありました。しかし、弊社では就業規則を公開しており、その中に情報漏洩に関する規定も明記しています。また、雇用の際には労働条件通知書を交わしており、社員は労働条件を認識した上で入社しています。こういったことから、社内では特に誓約書を交わさなくても良いのではないかと考えました。弊社は現在ペーパーレス化を進めているところで、労働条件通知書なども電子化しており、そういった流れにも反していると考えました。
ただ、ISMSの規格上、その考え方が通用するのかどうかという問題はありましたので、松岡さんに相談したところ、問題ないという結論を出して下さいました。
— 従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使われたのですね。まず、教育の成果を実感することはございますか。
直接関係があるのかどうかはわかりませんが、オンラインによる第2段階審査で、審査員が抜き打ちで、アルバイトに質問した際、うまく答えてくれたということがありました。審査の中で各部門の部長の机の上をチェックしていた時に、アルバイトの人が映り込みました。それを見た審査員が、そのチェックを途中で止めて、突然、「アルバイトの方に話しかけて良いですか」と質問し始めました。私も本人も非常に焦りましたが、何とかうまく答えてくれて、結果的にはむしろ高評価を頂きました。弊社のアルバイトは学生や卒業して間もない方々です。そのような社会人経験のない方々に対しても、一定の知識を与えられたのは、eラーニングの成果かも知れないですね。
— 『セキュリオ』のツールとしての使いやすさ、利便性に関してはいかがでしたか。
管理者にとっては、実施状況が可視化されるところが便利だと感じます。ほとんどの社員は教材配信してすぐに受講してくれますが、タイミング的に出来ない人などが後回しにした結果、忘れてしまうということはありがちです。そういった状況も把握でき、折を見て再通知出来るところは良かったです。また法令管理機能も、我々自身ではなかなかフォローしきれないので便利でした。
— 『Questetra BPM Suite』でも同様のことは出来そうですね。
はい。ただ、教材を用意するのも大変です。だから教材だけご提供いただけないか相談もしましたが、法令管理機能もありますのでしばらくは『セキュリオ』を使い続けようと考えています。
— LRMのコンサルティングメニューには内部監査員代行もありますが、メリットは感じられましたか。
結局コストの問題です。我々も監査員の勉強はしていくつもりですが、実際やるとなった時の手間や時間、その後の審査対応などを考えると、LRMに代行してもらった方が負担は軽減されると考えました。審査前に問題点を洗い出し、改善した上で受審出来ましたので、結果的に良かったと思っています。
— 審査の結果はいかがでしたか。
不適合はなく、改善の機会をそれなりにいただきましたが、いずれも対応に苦慮するようなものはありませんでした。
ISMSのルール作りにおいては、
これまで各自やってきたことをそのままフローに落とし込むことが出来ました
(右;矢作氏)
ISMS/ISO27001認証取得は既存顧客にとっても安心材料
— ISMS認証を取得して改めて良かったと思うことはございますか。
営業効率が高まることが一番です。私自身ずっと営業に従事していた経緯がありますが、その中でISMSがあったら楽なのにと思うシーンは沢山ありました。
それから『Questetra BPM Suite』の既存のお客様が喜んで下さっていることは、我々にとっても安心材料になります。1年単位で更新されるお客様もいらっしゃいますが、そういうお客様は毎年契約する価値があるのかどうかという判断を厳しくされます。その際にISMS認証を取得していないことが減点の対象になる可能性はありますので、既存のお客様に安心材料を提供できるという意味でも良かったです。
— 今後ISMSを運用するにあたり、先ほどからお話しいただいていること以外に、展望や課題がございましたらお話し下さい。
今はISMS認証を取得したばかりなので、私を含めてみんなやる気がありますが、時間が経つと気が緩むこともあると思います。マニュアルに関しても、一旦作り終えたらそれで満足してしまいそうな気がします。しかし運用していけば、新たな課題も出てきますので、無駄なことは省きながらも、きちんと運用していくという、基本方針を意識しながら、しっかり取り組んで行きたいと考えています。
LRMの建設的な対応でバランスの取れたルール構築を実現
— LRMのサポートを受けたご感想をお話し下さい。
LRMに依頼して良かったと感じています。特に相談に対する返事がわかりやすかったところが良かったです。
先ほど例に挙げた機密保持契約の件以外にも、マニュアルの表現をどうすれば良いかなど、細々したことを含め沢山の相談をしました。ルールは出来るだけ厳しくならないことを意識しましたが、要求事項が満たされないと意味がありません。そこでいかにバランスを取るかという相談時には参考になるご意見をいただきました。
専門家のサポートがなければ、結論に至るまでの時間が長くなります。情報を集めたり整理したりするのにも時間がかかりますので、プロとしての見解を示していただければ判断の助けになります。
— コンサルタントは相談しやすかったですか。
そうですね。建設的に対処していただけたので話しやすかったです。ISMSのような認証系のコンサルティングは、杓子定規な判断になりがちですし、手段と目的を間違えるということもよくある話です。LRMの松岡さんは、我々が何のためにISMSを運用しようとしているのかということを常に頭に置いてお話しいただいているという感じはしました。
— 今後に向けて、LRMへの御期待やご要望がございましたらお話し下さい。
ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。これからマニュアルをより現実に即したものへと改定していく作業に入っていきますが、問題はこれからも出てくると思いますので、引き続き相談に乗っていただきたいと思っています。
株式会社クエステトラ様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ 株式会社クエステトラ様のWEBサイト
※ 取材日時 2020年9月
- クラウドサービス(SaaS)開発・提供
- 担当者の負担軽減
- 50名未満
- 京都
- 1拠点