株式会社Toreru様&特許業務法人Toreru様 – 顧客事例 –
商標登録出願に特化したサービスを提供する株式会社Toreruと特許業務法人Toreruは、増え続ける情報資産を守る仕組みを構築するため、LRMのサポートを受けながらISMS/ISO27001認証を取得しました。次年度はISO27017/ISMSクラウドセキュリティ認証取得がテーマと話す代表取締役・宮﨑超史氏と商標事務・佐藤愛子氏のお二人にISMS/ISO27001認証取得までの経緯と成果を伺いました。
記事index
(株式会社Toreru&特許業務法人Toreruについて)
商標登録が簡単にできるクラウドサービス『Toreru』を開発運営。WEBシステムとAIを活用することで通常の特許事務所を圧倒する納期・費用を実現している。出願手数料を業界平均の5分の1に設定することで、個人事業主や中小企業のニーズを引き出し、2019年は公開商標公報の代理件数で国内1位を獲得。ミッションは「知財の価値を最大化させる」。人間とテクノロジーの協働で“知財の権利化”のハードルを下げ、知財活用の促進とさらなる知財創出の活性化に取り組んでいる。
設立;2017年。本社;東京都世田谷区。従業員数;10名(2020年1月現在)。
LRMへのご依頼内容;ISMS/ISO27001グループ認証取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
2019年5月、弊社はLRMに、株式会社Toreruと特許業務法人Toreruを登録範囲とするISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。LRMの担当者は三崎さんと松岡さんです。お二人のサポートを受けて必要な文書類を揃えて審査を受け、2019年12月上旬にISMS認証を取得しました。
増え続ける情報資産を守るためにISMS/ISO27001認証を取得
「何かしら作業負担は伴うと明言されたことが却って信頼に繋がりました」
(商標事務・佐藤愛子氏)
— ISMS認証を取得した理由をお話し下さい。
弊社が提供するクラウドサービス『Toreru』が認知され、弊社における商標登録の出願件数が増えてきたことから、取り扱う個人情報や商標など重要な機密情報の数も増えてきました。それらの機密情報を守るためのセキュリティを強化したいと考えてISMS認証を取得しました。
弁理士業界は秘密保持契約がございますので、個人レベルでのリテラシーが非常に高い業界です。しかしその分、組織的な対策は遅れがちです。取り扱う件数が増えてきたところで第三者機関が定めたガイドラインに沿って組織としての施策を整理することにしました。
— 情報セキュリティに関して、弁理士業務を行う事務所の中でも特に御社特有の脅威というものはおありですか。
個人情報の管理をクラウド上で行っていることが特有の脅威であると考えています。一般的な弁理士事務所は、紙の文書で保管していることが多いですし、データで管理している場合でも社内のファイルサーバーで管理しています。
その場合、会社の施錠をしっかりしていれば守れますが、クラウドはどこからでもアクセスできる分、情報漏洩の脅威に晒されやすいという危惧はありました。
— ISMSの規格に沿ったルール作りをすることで、業務フローが変わって仕事がやりづらくなるというご心配はございませんでしたか。
そういった不安は基本的にありませんでした。弊社は、もともと情報セキュリティに関わらず、より良いやり方があれば柔軟に取り入れてきました。業務フローも随時見直しており、変化すること自体はポジティブに受け入れる企業体質です。しかし事業規模が拡大するにつれ、何かを変えようとした時にそこにひそむリスクを洗い出すための基準は必要になってきました。ISMS認証取得は変化が求められた際に、「これだけは死守しなければいけない」というガイドラインを設けるためにも良い機会となりました。ただ、結果的には従来の運用が大きく変わったところはほとんどありません。国際規格に沿ってリスクを評価しながらやり方を変えるベース作りが出来たという捉え方をしています。
— 認証取得の期限は設けておられましたか。
外的要因による期限が決められていたわけではありませんので、切りの良いところで年内(2019年12月末)を目標にしました。
実態を反映したマネジメントシステム構築のためのコンサルティング会社選び
— コンサルティング会社の選定経緯をお話し下さい。
まず前提として、我々は外部から要請されてISMS認証を取得したわけではありません。実質的に自分達の役に立つ、
より実態を反映したマネジメントシステムの構築を目指していました。コンサルティング会社もその観点で選定した結果、LRMに依頼しました。
コンサルティング会社の中には「自分たちに丸投げして下さい」という会社も何社かありました。しかし我々は、与えられて従うのではなく、中身を理解した上で、自分たちで納得出来る施策を組んで行きたいと考えていました。その希望を最も叶えてくれそうな印象を受けたのがLRMでした。
— なぜそのような印象を持たれたのですか。
商談の際、営業の方が「全く何もやらなくて良いわけではないです」ということを明言されたからです。打ち合わせごとに1時間か2時間ぐらいの宿題は発生するということも明確におっしゃっていただいたことがかえって信頼に繋がりました。
必要最小限の工数で済むLRMのサポートの仕組み
「情報セキュリティは今後も重点的に投資する対象と位置づけています」
(代表取締役・宮﨑超史氏)
— ISMS認証取得にはどのような体制で取り組まれたのですか。
宮﨑、佐藤の他に総務担当者の合計3名で情報セキュリティ委員会を組織して取り組みました。
— 経営者ご自身が関与する理由をお話し下さい。
情報セキュリティは、全社的に取り組む必要があります。1部署でも欠けていたらそこがセキュリティホールになりえるためです。セキュリティホールを作らないためにも、経営者が率先してコミットすることが重要だと思っています。
— 実際にやってみて作業負担はいかがでしたか。
社員数が少なく専任担当者を配置できないため、普段の業務と並行して取り組むのが大変な作業でした。
ただLRMのサポートは、必要最小限の工数で進められる仕組みが用意されているように感じました。自分達の実態に合わせて実効性のある施策を組むには、一から文書を作る必要があると聞いたことがあります。今回はLRMが各種文書のひな形を用意してくれましたし、作業していてわからないことがあった時は、質問すれば教えていただけました。『Slack』で連携していたため、打ち合わせ時以外の連絡もスムーズでした。さらにマニュアルの作成では、ひな形を一文一文読み合わせしながら弊社の実態に合わせたカスタマイズをしていただき、結果として弊社独自のマネジメントシステムが出来上がりました。
自力で頑張ったというよりは、様々な場面でお力添えいただけたからこそやりきれたと感じています。自分達でゼロから作っていたら、実質半年という期間では認証取得できなかったでしょう。
— 実際の作業時間はどれぐらいでしたか。
毎週1時間から2時間程です。情報セキュリティ委員会のメンバーで情報資産やリスクの洗い出し、マニュアルの作成などを行った他、ISMSのルールを社内に落とし込むための定例ミーティングを実施していました。
— 定例ミーティングでは具体的にどのようなお話しをされましたか。
ISMSのルールを作っていると、実際の業務を見直した方が良いところが見えてきますので、具体的にどう見直すかを話し合いました。例えば、パスワードポリシーの策定に合わせて管理ツールを導入したり、社内システムの権限管理のルールも整理したりしました。
— 業務負荷がかかるようなルールはありませんでしたか。
マニュアルを一文一文読み合わせる中で、弊社に適していないところは削っていただけましたので、やる必要のないルールは作っていないはずです。
意外だったのは、BCP対策に避難訓練が含まれていたことです。ISMSに関係するとは思っていませんでした。
当社が入居しているビルには避難訓練がなく、災害対応も決まっていませんでしたので、この機会にルール化出来て良かったと思っています。
情報セキュリティに対する共通認識を持てたことが最大の成果
— ISMS認証取得に取り組まれた成果をお話し下さい。
今回の取り組みで最も大きな成果は、従業員の情報セキュリティに対する意識レベルを揃えられたことです。
もともと一人ひとりの意識は高い方だと思っていますが、社内の勉強会や理解度テストで、それを確認することができました。また、社員に情報セキュリティに関する情報共有をするようになったことで、社員が情報セキュリティに触れる機会が格段に増えました。例えば、情報セキュリティに関連する他社のインシデントや取り組みなどの事例、社員に情報セキュリティ委員会の取り組みなどを共有することで、情報セキュリティに対する認識を統一することが出来ました。
— 社員の方からご不満の声などはありませんでしたか。
社内ではネガティブな反応は全くありませんでした。非常に協力的で有り難かったです。審査に向けた準備などでバタバタした時も文句1つ言わずに付き合ってもらってスムーズに進行できました。
— 従業員教育は、特別な取り組みはされたのでしょうか。
ルールが固まってこれから運用を開始するというタイミングで、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能による教育と、自社独自で集合研修を実施しました。全従業員で社内ルールを共有するためにマニュアルの読み合わせをしました。
— 自社サービスの開発手順に関して変化はございましたか。
システムを変更する際、必ず仕様にセキュリティの観点を入れるようになりました。開発コードの中にもセキュリティリスクは潜んでいます。どういった情報を受け付けるのかなど、まずはセキュリティを担保して開発を進めるようになりました。開発における優先順位は格段に上がりました。
「ISMSクラウドセキュリティ認証取得のサポートも依頼する予定です」
(右から;宮崎氏、佐藤氏)※左から弊社 三崎、松岡
LRMがペースメーカーになりスムーズな進捗が実現
— ルール作り、文書作成以外でLRMからはどのようなサポートがありましたか。
ペースメーカーになっていただけたことは有り難かったです。自分達で期日管理をする必要がなかったので助かりました。もし我々に知識があったとしても、きちんとペースを刻んでやるべきことを実施していくことは難しかったと思います。12月中に認証を取得するというゴールは決まっていたため、そこから逆算して、いつまでに何をすべきかを決めて下さいました。また、進捗が遅れていた時は打ち合わせを追加して、進捗を早めるなどのコントロールをしていただきました。
— 『セキュリオ』を利用されたご感想をお話し下さい。
教材とテストが実施できるだけでなく、教育実施記録が残せるなど、必要なものが揃っていて使いやすいと感じました。現場をよくわかっている人が作っている感じはしました。
— 内部監査では内部監査員代行をご利用になったのですか。
はい。知識が足りなければ正しい監査が出来ませんので、まずはお手本を見せていただきたいという気持ちがありました。結果として、指摘事項はありませんでしたが、いくつか改善出来る部分を見つけることが出来ました。
— 審査はいかがでしたか。
改善の機会がいくつかありましたが、すべて簡単に対応できるものばかりでした。すぐに対応して、12月中に認証取得が出来ました。
–LRMのコンサルティングを受けたご感想をお話し下さい。
弊社の実態をしっかり把握した上でサポートしていただけたことが良かったです。今後も、ISMSクラウドセキュリティ認証取得のサポートも依頼したいと思っています。
ブランディングにも効果。情報セキュリティは重点的に投資すべき対象
— ISMSクラウドセキュリティ認証の取得はいつ頃から取得を考えておられたのですか。
ISMS認証取得を考え始めた時に、自社サービスの開発手順も整理したいと思っていましたので、当初から計画には上がっていました。ただ、負担が結構大きいと思いましたので、2年に分けてやることにしました。
— 他に情報セキュリティに関する課題として考えておられることはございますか。
人数が少ない中でうまく運用していくには、出来るだけ工数をかけずにセキュリティを担保できる仕組みを作る必要があります。『Slack』や『G Suite』などをうまく使って運用していきたいと考えています。
企業にとって情報セキュリティは今後ますます重要度が増してきます。売り上げには直接繋がりませんが、ブランディングなど様々なところで間接的に影響してきます。今後も重点的に投資すべき対象と位置づけて、注力していく考えです。
株式会社Toreru様、特許業務法人Toreru様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ 株式会社Toreru様&特許業務法人Toreruの様のWEBサイト
※ 取材日時 2020年1月
- クラウドサービス(SaaS)開発・提供
- コンサルティング・士業
- グループ会社との同時取得
- 50名未満
- 東京
- 1拠点
ISMS/ISO27001新規取得に関する無料相談・お見積り
ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。
メールフォーム (24時間受付)
神戸・東京オフィスで、情報セキュリティマネジメントシステムの国際規格であるISO27001/ISMSの認証を取得しています。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/iso27001/wp-content/themes/lrm_basic/images/f_tel.png)