株式会社常盤商会 様 – 顧客事例 –

LRMのコンサルティングでPマークの新規取得と、ISMSのスリム化を行いました。認証を維持するための作業負担は、従来の半分にまで削減出来ました

山口県内を中心にコンピュータ関連事業を展開する常盤商会は、ISMS/ISO27001認証取得に引き続き、2012年、プライバシーマークの新規取得に取り組みました。同時にISMS/ISO27001のスリム化にも着手。そのパートナーとして選んだのがLRMです。実直な社風で厚い信頼を得る同社が、ISMS/ISO27001のスリム化に取り組んだ理由やコンサルティングの成果などについて、最高情報セキュリティ責任者 個人情報保護管理者 溝部功祥氏と、情報セキュリティ委員会の皆さんにお話しを伺いました。

(株式会社常盤商会について)

コンピュータ関連事業を中心に、EC事業、燃料販売、アグリビジネス、と山口県内を中心に幅広い事業展開を行う。特に主力事業のコンピュータ関連事業では、ハードウェア・機器類の販売やソフトウェア開発、ネットワーク構築など総合的なソリューションを提供し、地元企業や官公庁からの信頼を獲得してきた。現在、注力しているのは、スマートデバイス向けアプリケーションの開発。『うべ観光ナビゲーター』『防府市観光地の魅力』などの観光ナビゲーターシステム(Android版、iPhone版)が好評を得ている。
また、2007年には広島SIセンター、続く2009年には東京SIセンターを開設するなど、業容を拡大中。さらにアグリビジネスでは有機JAS認証を取得した「ときわ自然農園」で有機栽培しているブルーベリーやケールを使ったお菓子『彫刻のかけら』(右写真)など6次産業化を進めている。
設立;1957年設立。本社;宇部市。従業員数;約60名。

プライバシーマークの新規取得とISMS/ISO27001のスリム化を依頼

スマートデバイス向けアプリの開発に注力。観光ナビゲーターシリーズが好評となっている。

スマートデバイス向けアプリの開発に注力。観光ナビゲーターシリーズが好評となっている。

— LRMに依頼した業務内容を教えて下さい。

弊社は2012年10月、LRMに、プライバシーマーク(以下Pマーク)新規取得とISMS/ISO27001(以下ISMS)のスリム化のコンサルティングを依頼しました。
弊社は2010年8月にISMSの認証を取得しましたが、運用に非常に手間がかかっていました。Pマークを取得することでさらに手間が増えることを回避したかったので、Pマーク取得と同時にISMSも見直しました。

LRMの担当者は宮本さんです。Pマークの取得は2013年11月に完了しました。ISMSのスリム化は2014年1月に一旦区切りをつけました。ただ、ISMSもPマークもPDCAを回していかなければいけません。2月からは、LRMの運用保守サポート『情報セキュリティ倶楽部』の契約をしました。

情報セキュリティ系認証取得の背景

— ISMS認証とPマークを取得した理由と経緯を教えていただけますか。

弊社がISMS認証とPマークを取得した理由は、弊社のソフトウェア開発事業において、取引先から預かる情報を適切に扱うためのルールを構築するためです。既存顧客からも、新規営業先からも年々要求が高まっていた経緯もあって、まずはISMS認証を取得しました。

また、基幹システムに近い開発案件ほど、個人情報との関連が深くなります。ISMSは個人情報に特化したルールがないので、取引先に安心してご発注いただけるようPマークを取得しました。

ISMS/ISO27001のスリム化が必要だった理由

ISMSもPマークも一緒に相談できることもLRMの魅力です

ISMSもPマークも一緒に相談できることもLRMの魅力です
(情報セキュリティ委員会・酒井和宏氏)

— ISMSの運用に手間がかかっていたとのことですが、具体的には、どのようなことで困っていましたか。

ISMSは毎年、審査機関による審査があります。そのための準備に時間がかかっていました。情報セキュリティ委員会のメンバー全員がまるまる1ヵ月間、審査準備に手を取られるような状況でした。

理由は、私たち自身、審査に向けた準備として何をどこまでしなければいけないか、という判断ができなかったからです。議事録(委員会活動記録)、文書管理、社員教育、内部監査などなど、過剰なほど細かい作業を行っていました。現地審査では、審査員によって言うことが変わるということも、その状況に輪をかけていました。

— ISMS認証の新規取得はどのように行いましたか。

ISMS認証の新規取得では、ある新規取得プログラムを活用しました。ルール構築は、そのプログラムの中で集団研修を受けながらテンプレートに合わせて行いました。

このプログラムは、短期間で複数の企業に認証を取得させるもので、1社1社に対するきめ細かいコンサルティングはありません。期限も限られており、自社に合わせたカスタマイズを考える余裕もなく構築しました。そのためリスク分析にも納得できないところがありました。運用しながら、規格に忠実でなければいけない部分と、自社の実態に合わせて変えて良い部分を、きちんと整理して構築しなおす必要があると考えていました。
ただ、自分たちだけで規格に適合させたまま再構築することは難しく、なかなか着手できませんでした。

今回、Pマーク取得にあたっては、認証を維持するための作業負担が2倍になることは避けたいと考えました。
限られた人数で2つの認証を運用しなければいけないので、不必要な労力をかけずに済むよう、情報セキュリティ専門のコンサルタントと契約し、Pマークの取得と同時に、ISMSのスリム化に取り組みました。

コンサルタンティング・ポリシーに魅力を感じてLRMへ依頼

更新審査に向けた作業負担は従来の半分に軽減出来ました

更新審査に向けた作業負担は従来の半分に軽減出来ました
(情報セキュリティ委員会・高末麻美氏)

— コンサルタント選定の方法を教えて下さい。

コンサルタントは、ISMS認証とPマークの両方に対応していることを前提として選定しました。
インターネット検索で調べたり、取引先から紹介してもらったりしたコンサルタント会社の中から3社ピックアップして、ホームページの内容、請求した資料や提案内容、見積もりなどを比較しました。その中で最も魅力を感じたのはLRMです。

— LRMのどんなところに魅力を感じましたか。

最も魅力を感じたのはLRMのホームページに、「ISMS統合コース」の案内があったことです。 この案内を読み、ISMSとの統合を考慮しながらPマークの取得をすることができるのでは、と期待しました。
今回、Pマークを取得するにあたっては、特に、ルールや文書などの二重管理は出来る限り避けたいと考えていました。そのため、ISMSとPマークの統合を謳っているコンサルティング会社を探しましたが、意外に少なかったです。

ホームページにはその他にも、「実際に現場で運用できる仕組み作り」「会社のためになる意味のある取り組み」「建前だけでなく、本音の部分を引き出して組織にとって本当に意味のある社内ルール」などの記述があり、認証取得だけを目的とするのではなく、導入後の運用を見据えた提案をしていただけると感じました。それを謳っているコンサルティング会社は他にありませんでした。ブログにも本質をついていると感じる記事が沢山ありました。

コンサルティング料金も予算内に収まりそうだったので、ほぼ依頼することを決めて問い合わせ、最終確認をするために、幸松さんに来ていただきました。

— お会いされた時の印象はいかがでしたか。

それまで持っていた「本当に出来るのか?」という不安が解消されました。
PマークとISMSの両方を維持しつつ、そのための作業負担を軽減することは難しいことではないのか、そしてコンサルタントがどこまでサポートしてくれるのか、といったことに不安を持っていました。しかし、幸松さんに、ISMS認証を維持する上で困っていることや、疑問に思っていることをいくつか質問すると、わかりやすく説明していただきました。訪問回数無制限というサポートの厚さも安心できる要素でした。

— 担当の宮本さんに対する印象はいかがでしたか。

宮本さんは、疑問に思ったことを何でも聞ける、相談しやすい方だと感じました。長期間、相談に乗っていただく上で、何でも話せるということは重要です。社長面談も行い、正式に契約に至りました。

また、宮本さんも幸松さんも、ISMSの審査員もされているため、他社の事例を豊富に持っています。それも安心材料の1つでした。

コンサルティングの進め方~プライバシーマーク取得編

以前はどこまでやって良いかさじ加減が全くわかりませんでした

以前はどこまでやって良いかさじ加減が全くわかりませんでした
(情報セキュリティ委員会・江本孝宏氏)

— コンサルティングはどのように進みましたか。

Pマークの取得に向けた準備と、ISMSのスリム化を平行して行いましたが、最初の3か月はPマークのルール構築に重点を置きました。
全体のスケジュールは、Pマークのルール構築に3か月、その後、構築したルールのもとでPマークを運用し、教育、内部監査といった準備を進めながら、ISMSに関する相談をするといった流れです。途中、弊社の繁忙期や、ISMSの更新審査を挟んだため、認証取得まで約1年かかりましたが、作業自体は概ね順調に進みました。その後、ISMSのスリム化では、こちらの疑問点が解消できるまで、相談に乗っていただきました。

宮本さんの訪問回数は、ルール構築までは月に2回ぐらいずつ。その後は、弊社の繁忙期を除くと月に1回のペースでした。

— Pマーク取得の経緯について伺います。Pマークのルール構築の流れを教えて下さい。

宮本さんの質問に答えながら業務分析とリスク分析を行い、それをもとにルール構築を行いました。
そして、コンサルティングの合間には、各部署への確認、個人情報の台帳の作成などを行いました。作業を進める中で不明な点や疑問点が生じた場合は、宮本さんにメールで問い合わせました。

— リスク分析やルール構築にあたって留意したことは何ですか。

ISMSとPマークの整合性です。現場も混乱を防ぐためです。ISMSと重複する部分では、それを念頭におきながらリスク分析、ルール構築を行いました。

ルールの構築が一通り終わった段階で、社員向けの社内研修会を開き、宮本さんから全社員に対して「Pマークとは何か」「ISMSとの兼ね合い」に関して説明してもらった上で、情報セキュリティ委員会から弊社のルールを説明しました。

その後、内部監査、審査、審査対応などで、その都度、宮本さんからのアドバイスを頂き、Pマーク取得に至りました。

コンサルティングの進め方~ISMS/ISO27001のスリム化編

— ISMSスリム化についてうかがいます。スリム化とは具体的にはどういうことでしょうか。

今回行ったことは、端的に言うとPDCAの回し方の再構築です。社内ルールの変更は殆どなく、事務局がPDCAを回して、毎年の更新審査に備える作業を効率化することが中心でした。
これまでは管理側の文書が重複する内容のものがあったり、関連法令として日本国憲法などの無関係なものが入っていたり、無駄が沢山ありました。そのような無駄を省いてシンプルな運用が出来るようにしました。

コンサルティングを通して、作業負担は従来の半分程度には軽減できたように感じています。

— ISMSのスリム化のコンサルティングはどのように進みましたか。

基本的に、弊社が持っていた疑問に答えてもらうという流れで進みました。
疑問というのは、例えば記録に関することです。ISMSを運用する中で、記録として保管すべきものが多数あります。議事録(委員会活動記録)、教育の記録、内部監査の記録などです。それらの記録をどこまで正確に記述しなければいけないのかが悩みどころでした。また、教育やPDCAの中の点検の回数なども、今のままで十分なのか不足なのかといったさじ加減がわからずにいました。

このような疑問、悩みをリストアップしておいて、コンサルティングの中で質問して解消できたら消し込んでいく、ということを納得いくまで続けました。

コンサルティングの成果;ISMS/ISO27001の認証を維持するための工数が半減

ISMSのスリム化では、こちらの疑問がなくなるまで付き合っていただきました

ISMSのスリム化では、こちらの疑問がなくなるまで付き合っていただきました
(最高情報セキュリティ責任者 個人情報保護管理者・溝部功祥氏)

— ISMSのスリム化という目標は達成できましたか。

はい、出来ました。必ずやらなければいけないことと、やらなくても良いことの仕分けが出来て、ISMSの運用活動は軽減されました。教育や点検の回数も減らすことが出来たし、記録を残す際も神経質にならずに済んでいます。Pマークを取得したことによる負担も増えていません。

コンサルティングを通して確認できたことは、これまでは過剰かつ無用な心配をして、負担が増えていたということです。他社の事例も教えていただきましたが、「この程度で良いのか」と思うようなことが多かったです。今後は、更新審査に向けた作業負担を半分ぐらいには減らせると感じています。

— コンサルティングの期間中に、ISMSの更新審査があったと思いますが、その際はどうされましたか。

宮本さんからアドバイスをいただいて審査に臨みました。その中で印象に残ったのが、「審査で指摘されたら直せば良い」、「審査員も相談すべき相手なので、自社に合った審査機関を選んだ方が良い」といったアドバイスです。
そういったアドバイスを参考にして今回は審査機関を変えるなどしました。その際の審査機関はLRMの紹介です。
結果として、今回はこれまでになく、リラックスして更新審査を受けることが出来ました。

LRMへの評価

— LRMへのご評価をお願いいたします。

弊社にとって特に良かったことは(1)豊富な事例を持っている(2)無期限&訪問回数無制限、の2点です。

(1)豊富な事例を持っている
LRMはISMS、Pマークのコンサルティング経験が豊富です。なおかつISMS認証の審査員としての実績もあります。
そのため様々な企業の事例を持っています。リスク分析やルールを決める場合に、自社に近い事例を提示していただけたことで、自社にとって何がベストかを判断する上で大変参考になりました。

(2)無期限&訪問回数無制限
認証取得ができるまで、または納得できるまで、無期限、訪問回数無制限で相談に乗っていただけることが有難かったです。弊社側の都合で間が空くことがありましたが、問題なく継続することが出来ました。最初に予定していた訪問回数をオーバーしても追加料金はありませんでした。
他社の場合、例えば毎月1回ずつやって半年以内に終わらせなければいけない、といった制限が設けられています。
しかしLRMの場合はそういったプレッシャーがありませんでした。

社内で議論しても答えが出ないことは良くあります。そういう時に、相談できる相手がいることは非常に心強いです

社内で議論しても答えが出ないことは良くあります。そういう時に相談できる相手がいることは非常に心強いです
(右から;溝部氏、酒井氏、高末氏、江本氏 ※左は弊社幸松、宮本)

今後のビジョンとLRMへの期待

— ISMSやPマークの運用に関連した今後のビジョンをお話し下さい。

ISMSもPマークも完成することはありません。今後も、どんどんブラッシュアップしていかなければいけません。ISMSのスリム化も一旦は区切りをつけましたが、まだ細かい部分が残っています。2014年の更新まではスリム化に注力して、文書類の統合なども進めて行きたいと考えています。そして、2015年の更新では2013年版への対応に取り組む計画です。

— 『情報セキュリティ倶楽部』の契約をされましたが、LRMへのご期待をお話しください。

ISMSとPマークの両方をサポートしていただけることに魅力を感じ『情報セキュリティ倶楽部』の契約をしました。
その中で弊社がLRMに期待していることは以下の3つです。

(1)改善時における要求事項を満たしているかどうかの判断
今後、ISMSとPマークのルールの変更や文書の改訂といった実作業は、基本的に社内で行います。LRMにはそれが要求事項を満たしているかどうかの確認をお願いするつもりです。
PDCAを回して改善する際、規格と適合しているかどうかの判断は、自分たちでは出来ません。社内で話し合っても結論が出ない、わかっている人に聞いた方が早い、というケースはよくあるので、そういう時に相談に乗っていただきます。

(2)「ちょうど良い」さじ加減の判断
ISMSやPマークは細かくやろうと思えばタスクは際限なく発生しますので、「これぐらいで大丈夫」と太鼓判を押していただくことも重要です。豊富な事例を持ったLRMの見識に基づいた的確なアドバイスを期待しています。

(3)関連法令のフォロー
関連法令の改正なども自分たちだけではフォローできないので、法令改正情報を送っていただけることも有難いです。

社内で困ったことがあった時に相談できる相手がいることは非常に心強いです。今後も引き続き、この心強さを維持していきたいと考えています。

株式会社常盤商会様、お忙しい中、有り難うございました。

株式会社常盤商会様、お忙しい中、有り難うございました。

株式会社常盤商会様のWebサイト
※ 取材日時 2014年3月

  • システム開発・運用
  • ITインフラ支援
  • ISMS/Pマークのルール統一
  • 既存の社内規程/文書類を活かす
  • 50~199名
  • 山口
  • 複数拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら