テック情報株式会社様 – 顧客事例 –

全社挙げてのISMS認証取得は、部門間の意見の調整が大変でした。しかし、LRMが場を調整してくれたおかげで、目標通りのマネジメントシステムが構築できました

「優良企業」としてのポジションを確立することをスローガンに掲げるテック情報株式会社は、その一環として、全社上げてのISMS/ISO27001認証取得に取り組みました。コンサルティングを担当したLRMが果たした役割と成果について、経営企画本部本部長山本佳孝氏と、課長坂東幸治氏にお話しをうかがいました。

記事index

LRMにISMS/27001認証新規取得を依頼
体系的な情報セキュリティマネジメントシステムを取り入れるために認証を取得
目的達成に向け力強い推進力を発揮してもらえることを期待
各部門の執行役員が集まり徹底的に議論
LRMが果たしたのはファシリテーターとしての役割。他社にも紹介できるコンサルティング会社
今後のビジョンとLRMへの期待

（テック情報株式会社について）

1968年、徳島県、県内の市町村および経済団体、地元有力企業が中心となって設立。
以来、情報処理サービス業界のパイオニアとして、ソフトウェア開発、情報処理サービスなどを展開し、地域の情報化に貢献し続けてきた。主な事業分野は、自治体情報システムと病院・福祉情報システムの2分野。自治体情報システム分野では、徳島県下全市町村の他、多くの公共機関から業務を受託。業務システムの構築、情報処理の委託、アウトソーシング、要員派遣まであらゆるニーズに応えている。
病院・福祉情報システム分野では、1980年代の薬剤管理・財務会計システム『H＠MES』の独自開発を足掛かりに全国展開を開始した。2006年には、日本赤十字社の全施設で統一人事給与システムが採用されている。近年では、ピーシーエス社との業務提携により病院向け画像ファイリングシステム『Claio』の販売を開始（2008年）するなど、「創造」という企業理念のもと、さらなる業容拡大を遂げている。
設立；1968年11月。本社；徳島県板野郡板野町。従業員数；146名（2014年4月現在）。

LRMにISMS/27001認証新規取得を依頼

— LRMに依頼した業務内容を教えてください。

弊社（テック情報株式会社）は、2013年7月末、LRMにISMS/ISO27001（以下、ISMS）認証の新規取得コンサルティングを依頼しました。コンサルティングを担当したのは幸松さんです。8月初旬からコンサルティングがスタートし、2014年3月6日に認証を取得することが出来ました。

LRMには、以前弊社のグループ会社がISMS認証を取得した際にも依頼しました。そのため弊社の状況も把握しており、また、IT業界の事情にも詳しいので、安心してお任せすることが出来ました。

体系的な情報セキュリティマネジメントシステムを取り入れるために認証を取得

LRMは知識や経験だけではなく、ヒューマンスキルが長けたコンサルタントです
（経営企画本部課長・坂東幸治氏）

— ISMS認証を取得した背景を教えてください。

弊社は、2004年1月、プライバシーマーク（以下、Pマーク）を取得し運用してきましたが、より体系的な情報セキュリティマネジメントシステムを取り入れるために、ISMS認証を取得しました。国際規格に基づいたマネジメントシステムを構築・運用することで、（1）商品・サービス品質の向上、（2）業績向上、（3）顧客・ステークホルダーに安心感を持っていただくこと、という3つの効果を期待しました。

取得を決めたのは、2013年6月末の役員会議においてです。弊社は、2014年度から「優良企業」としての位置づけを確立することをスローガンに掲げていますが、この決定は、そのスローガンに沿った取り組みをスタートさせるための布石の1つでもありました。

— 認証取得にあたっての目標はありましたか。

2013年度中の取得を目指すとともに、認証取得後、PDCAサイクルを継続して回せるマネジメントシステムを構築することを目標に掲げました。

実は弊社はPマークを取得する前に、一度、ISMS認証を取得し、途中で運用を取りやめた経緯がありました。
その際も、別のコンサルタントのサポートは受けましたが、PDCAサイクルをきちんと回せるマネジメントシステムを構築することが出来ず、運用が維持できませんでした。今回はその反省に基づき、きちんと運用が維持できるマネジメントシステムを構築することを目標としました。

— 認証取得にはどのような体制で臨みましたか。

経営企画本部が事務局を務め、その他の部署の責任者である事業部長、本部長（いずれも執行役員）が実務を担当しました。
弊社は従来、第一公共事業部、第二公共事業部、第一医療事業部、第二医療事業部、総務本部、営業本部、システム本部、4事業部3本部体制で事業を行ってきましたが、認証取得を決めた6月の役員会議では、同時に、PマークとISMSなどコンプライアンスの管理と購買業務を担う経営企画本部を7月1日付で新設することを決定しました。
今回の認証取得に向けた準備作業は、この経営企画本部が推進役となり、全社を挙げて取り組みました。

目的達成に向け力強い推進力を発揮してもらえることを期待

— ISMS認証取得にあたってコンサルティングサービスを利用した理由を教えてください。

PDCAサイクルを継続して回せるマネジメントシステムを短期間で構築するには、社内のメンバーだけでは不可能と考えたからです。

— コンサルティング会社としてLRMを選定した理由を教えてください。

弊社は、ISMS認証取得を決めた際、目的達成に向けてパートナーとして一緒に取り組んでいただけるコンサルティング会社にサポートを依頼しようと考えました。重視したことはIT業界の業務に関する知識です。ITといっても弊社の業務は多岐に渡っており、部署ごとに仕事の進め方が異なります。IT業界の業務に関する知識がなければ、それぞれの業務を理解して運用ルールをまとめることは不可能だと考えました。

LRMはIT業界の業務に精通したコンサルティング会社です。また、PDCAサイクルをきちんと回せるマネジメントシステムを構築することを重視したコンサルティングポリシーを持っていること、認証取得まできちんとサポートしてくれることなどから、弊社が求める条件を満たしていると考えました。
グループ会社が認証を取得した際の打ち合わせには、弊社の役員も出席していた経緯があり、LRMには信頼を置いていました。LRMも弊社の事情をよく把握していますので、目的達成に向け力強い推進力を発揮していただくことを期待し、依頼しました。

各部門の責任者が集まり徹底的に議論を重ねた

目標に向けて一緒に取り組んでくれるパートナーとしてLRMにコンサルティングを依頼しました
（執行役員経営企画本部本部長・山本佳孝氏）

— ISMS認証の取得準備は、どのように進められましたか。

認証取得の準備をスタートしたのは、2013年8月です。LRMのサポートのもと、1月までの約半年間、月2回、事務局と執行役員が集まって毎回半日ほど集中的に議論し、ISMSの運用ルールを構築していきました。

— 作業はスムーズに進みましたか。

目標としていた期日内に申請して認証を取得することが出来たので、全体としてはスムーズに進んだと考えています。しかし、部署ごとに異なる仕事の内容を考慮して統一ルールにまとめていく作業は簡単ではありませんでした。
認証取得に向けて行ったことは基本的には”社内の整理整頓”です。ISMSの詳細管理策114項目を基準に、リスクを洗い出しルールを整理していきました。また、その過程で、キャビネットに長期間保管したままの文書類の仕分けと不要文書の廃棄、サーバールームのラックの管理体制の整理、システム構成図の作成といった作業も行っています。また、ある程度運用ルールが固まった段階で、Pマークの統合も行い、文書をまとめていきました。

苦労したのは、部署間の意見の調整です。1つのルールを定める際に、ある部署では問題がなくても、別の部署では困るといったケースは沢山ありました。どの部署にも過去の事業経緯の中で定着してきた仕事の進め方があり、いずれも明らかに間違いだと断定できるものはないので、簡単に結論づけることは出来ません。また、サーバールームのラックの管理体制の整理も簡単ではありませんでした。責任負担が増えることは、どの部署にとっても嬉しいことではありませんので、なかなか決められませんでした。
意見が分かれた場合の最終的な解決方法は、どこかが折れて他に合わせるしかありませんが、全員が納得するまで十分に時間をかけて議論をしました。

— そのような議論を重ねたことによってどのような成果を得られましたか。

自社のウィークポイントやセキュリティホールを明確にして、しっかり対策を打つことが出来ました。目標通り、きちんとPDCAサイクルを回せるマネジメントシステムが構築できました。
今回構築したマネジメントシステムは、特別に新たなルールを設けたわけではなく、従来やっていたことをISMSの規格に当てはめて整理したり、セキュリティの弱さを補ったりしたものなので、業務フローが変わって現場に負担がかかるといったこともありません。

様々な議論を通して、自社の事業を改めて認識しなおすことが出来たことも1つの成果です。事業部ごとに、開発テストやバックアップの仕方、プログラムのリリース手順などの違いがあることを初めて認識しましたし、それによって良い部分は真似るなどノウハウの共有を図る機会となりました。

LRMが果たしたのはファシリテーターとしての役割。他社にも紹介できるコンサルティング会社

— LRMのコンサルティングはご期待通りでしたか。

はい、期待通りでした。弊社がLRMの幸松さんについて最も評価しているのは、ファシリテーターとしての役割を果たして頂いたことです。あくまでも我々自身が主体となって、きちんとPDCAサイクルを回せるマネジメントシステムが構築できるよう促していただきました。

大勢で議論していると、ヒートアップして、理路整然とした議論が出来なくなる時があります。そんな時、議論を前に進めるためには、一旦クールダウンさせる必要がありますが、社員同士ではうまく行かないこともあります。
その際に、第三者の立場で、論点を整理していただくことで方向修正できた場面が沢山ありました。幸松さんの場合は特に、状況を的確に把握する洞察力や、議論を軌道修正していく調整力、集団形成力などのヒューマンスキルが優れていると感じます。会議中、はじめのうちは我々が議論している様子を静観しているのですが、議論が脱線したり停滞すると、タイミングを見計らって、その場に応じた適切なアドバイスをしてくれました。そのアドバイスによって、議論を軌道修正したり、前に進めたりすることが出来ました。

もちろんその背景には、情報セキュリティマネジメントに関する豊富な知識と経験があります。特に、他社の事例を示していただけたことは、我々自身では答えが出せずに困っている時に、非常に参考になりました。

また、マニュアルの作成はLRMが代行してくれましたが、難しい専門用語を割けた読みやすいものに仕上がりました。これも期待通りです。

LRMのサポートは非常に満足でした。先日、コンサルタントを探している企業があったので紹介しました。その企業は弊社の顧客になる可能性もある企業です。コンサルティングを受けた実感として安心感、信頼感が持てるので、そのような企業に対しても紹介もしやすいです。

— 他社様にお勧めするポイントとしてはどのような点を挙げられますか。

フットワークが軽く、最後まで丁寧に対応してくれることです。あくまでもクライアントを中心に捉え、ニーズに合わせた対応をしてくれます。今回、議論が長引いて訪問回数が予定より増えましたが、最後までしっかり対応してくれました。

ISMS認証取得のコンサルティング会社にも色々あると思います。雛形通りに申請書類を作成するだけのところもあると聞きます。認証を取ることだけが目的であれば、そのようなコンサルティング会社でも結構でしょう。しかし、情報セキュリティ事故のリスクを出来るだけなくして、サービスクォリティの向上を目指すなら、しっかりと運用できるマネジメントシステムを構築する必要があります。LRMは、そのためのサポートをしっかりしてくれるコンサルティング会社だと思います。

事務局としては、少なくとも次のPマーク更新までは、サポートしていただくことを検討しています

事務局としては、少なくとも次のPマーク更新までは、サポートしていただくことを検討しています
（中；山本氏、右；坂東氏　※左は弊社幸松）

今後のビジョンとLRMへの期待

— 今後のビジョンをお話し下さい。

現在、認証取得を通じて構築した統一ルールを運用し始めたところですが、今後はそれによる効果が現れるはずです。無駄も省けて、生産性も上がり、コストダウンが図れると期待しています。認証を維持していくことで、セキュリティを保つだけではなく、社会的な信用も確保できるため、事業発展にも繋がっていくでしょう。今回のISMS認証取得は、LRMのサポートを受けつつ、全社を挙げて取り組みました。今後もこの体制でしっかり認証を維持、発展させていきたいと考えています。

— LRMへのご期待をお話し下さい。

事務局としては、保守契約（『情報セキュリティ倶楽部』）が結べたら安心だと考えています。全社を挙げて取り組む体制を、緊張感を失わずに維持するには、外部の視点が必要です。年に数回でも点検してアドバイスをいただければ心強いです。情報セキュリティに関連したトレンド情報の提供にも期待しています。今回、Pマークとの統合も行いましたが、統合後の審査はまだ受けていませんので、最低でも次のPマーク審査まではサポートをお願いする方向で検討しています。（※インタビュー後、2014年6月より情報セキュリティ倶楽部をご契約いただきました）