株式会社トリックスター様 & 株式会社ヒューマンリンク様 – 顧客事例 –
株式会社トリックスターならびに株式会社ヒューマンリンクは、LRMのサポートを受け、ISMS/ISO27001認証およびプライバシーマークを取得しました。2020年5月のキックオフから約10ヶ月間にわたった取り組みについて、両社の代表取締役・赤西芳樹氏、株式会社ヒューマンリンク・内田香菜氏、株式会社トリックスター WEBディレクター・岩本相秀氏にお話をうかがいました。
- お客様が抱える課題とISMS構築アプローチ
-
- 入札条件としてISMSやPマーク取得が求められることが多い
- 医療分野へのサービス展開において、セキュリティ体制の整備をしたい
- 運用担当者の負担を軽減できる体制が構築したい
- ISMSとPマークの文書を統合して作成し、ルールを一本化
- 業務に大きな影響を及ぼすことなく、従来の枠組みを活かして管理体制を整備
- 委託先管理や従業員教育などのルールを明確化し、仕組みを構築
- LRMコンサルティングサービスへの感想
-
- 実績が豊富で、状況に合わせた提案やアドバイスをしてもらえた
- 質問時の回答も迅速で、計画が遅れることなく着実に進められた
- 質問や話がしやすいコンサルタントだった
(株式会社トリックスターについて)
Webサイト制作を中心に、Webシステム開発、SEOサービスなどのIT事業を展開している。官公庁や中堅以上の企業など、セキュリティポリシーが高いクライアントが多いことから、Webサイト制作では、MovableTypeやPowerCMSといったセキュリティに強いCMSを活用し、システムとの連動や高負荷に強く、拡張性の高いWebサイトを構築している。また、顧客の課題に応じて、企画からマーケティング、制作など、上流から下流までワンストップで対応できることが強みである。システム開発の案件も顧客の課題解決をサポートする中で増えてきた。CRMやSFAと、WEB サイトとのデータベース連携など、DXの進行とともにニーズが広がり続けている。既存クライアントからの紹介を軸に持続的な成長を果たしている。
本社;大阪市。設立;2008年8月。従業員数;15名(2021年8月現在)
(株式会社ヒューマンリンクについて)
新薬開発のための臨床試験における被験者の募集業務を行う会社。
治験登録・情報サイト『V-NET』を運営し、治験実施医療施設や治験施設支援機関(SMO)の依頼を受けて、健康成人及び、各種治験に該当する疾患者の募集を行っている。治験参加希望者に対する電話による丁寧な説明、行き届いた案内で、治験希望者のスムーズな参加を促しており、治験参加率(参加者/参加希望者)は業界トップクラスを誇る。
本社;大阪市。設立;2008年1月。従業員数;4名(2021年8月現在)。
記事index
LRMへのご依頼内容;ISMSグループ認証&Pマーク新規取得ならびに文書統合コンサルティング
— LRM株式会社へのご依頼内容をお話しください。
株式会社トリックスターおよび株式会社ヒューマンリンクは、2020年5月、LRM株式会社にISMS/ISO27001(以下、ISMS)認証の合同取得コンサルティングを依頼しました。また、トリックスターのみ、プライバシーマーク(以下、Pマーク)の新規取得ならびにISMSとの文書統合を依頼しました。
LRMの担当者は松岡さんと石濱さんです。お二人と打ち合わせを重ねながらマネジメントシステムの構築やドキュメント類の作成を行い、2021年1月にISMS認証、3月にPマークを取得しました。
状況に合わせた提案・アドバイスを期待してLRMにサポートを依頼
現場主体で情報セキュリティに取り組める体制作りが課題です
(株式会社ヒューマンリンク・
内田香奈氏)
— コンサルティング会社は何社か比較した上で選定されたのですか。
LRM以外にも2社ほど検討しました。LRMに関しては、社長の幸松さんと何度か会って話をしたことがあり、以前から存在は存じ上げていました。その上で、比較対象となるコンサルティング会社も探してみましたが、結果的にLRMに依頼しました。
— LRMにご依頼された決め手をお話しください。
決め手は実績の豊富さです。これまでサポートしてきた件数が多い分、認証取得までの工程が仕組み化されており、ひな形も複数のパターンが用意されていて、状況に合わせた提案やアドバイスをいただける印象がありました。営業の方の話からもお任せして大丈夫そうだという安心感がありました。最終的にLRMに絞って相談し、取り組み内容を「2社のISMSのグループ合同認証+トリックスター社のPマーク取得および文書統合」と決めた上で、コンサルティングを正式に依頼しました。
入札の条件を満たすことと社内の体制整備を目的に取り組みを開始
内部監査や審査を通して意識化することができ、良い経験になりました
(株式会社トリックスター WEBディレクター・岩本相秀氏)
— ISMSもしくはPマークの取得を検討しはじめたのはいつ頃ですか。
約5年前から検討はしていましたが、具体的に動き始めたのはLRMに依頼した約2年前からです。
もともと自社取得を模索していましたので、関連書籍を読んで、出版社のサイトからひな形をダウンロードして参照するなど精査してみましたが、ISMSにしてもPマークにしてもドキュメントが膨大な量になりますので、手探りでやっていったら何年かかるかわからないと思い、コンサルティング会社のサポートを受けて取得することにしました。
— ISMSならびにPマークを取得した理由をお話しください。
各社、取得理由は、以下の通りです。
(1)トリックスター
クライアントの多くが官公庁や中堅規模以上の民間企業です。いずれもセキュリティ意識は高く、取引先にも高いセキュリティレベルが要求されます。特に、官公庁の場合、ISMSかPマーク、あるいは両方の取得が入札条件に上がることがあるため、ISMSとPマークの両方を取得することにしました。
(2)ヒューマンリンク
クライアントは、治験の企画会社や医療関係の会社です。そういった取引先と、個人情報の中でも特に機密性が高い健康情報を共有する関係上、弊社のセキュリティ体制を示す必要がありました。
また、2019年12月に『V-NET』のシステム基盤を会員情報含めてクラウドに移設したことで、セキュリティリスクが上がっていました。会員数は年々増えて、現在18万人に達しています。そういった観点から、情報セキュリティの体制づくりをするためにISMS認証を取得しました。
— ヒューマンリンク社がPマークを取得しなかった理由をお話しください。
実は当初は、ヒューマンリンク、トリックスターともに、ISMSではなく、Pマークの取得を検討していました。
しかしLRMに相談した際、Pマークは、医療分野に限り審査の仕組みが特殊で、取得のハードルが非常に高くなるという説明を受けました。
同時に、ISMSのグループ合同認証オプションをご案内いただいたため、労力や費用に対する成果を総合的に判断し、ヒューマンリンクにおけるPマーク取得はやめました。
ヒューマンリンクとトリックスターは、グループ会社ではありませんが、経営者が同一で、事務所を一部共有し、業務オペレーションや管理体制にも共通した要素が多いなど、一つの会社のような体制で事業を行っています。
ヒューマンリンク社が提供するサービスのWEBシステムの開発・運用もトリックスターが担っています。
そのためマネジメントシステムを統一した方が、運用上の負担は軽くなります。
以上のような事情から、2社でISMSのグループ合同認証を取得し、自治体との取引があるトリックスターのみPマークを取得しました。
— トリックスター社はISMSとPマークの文書統合もご依頼されていますね。
はい。こちらもLRMからご提案いただきました。ルールや文書の体系を一本化することでマネジメントシステム構築の工数を削減できますし、運用もシンプルになるためご提案内容に沿って依頼しました。
— トリックスター社とヒューマンリンク社でISMSの共通ルールを構築する一方、トリックスター社はISMSとPマークの文書統合を行っているわけですね。この場合、ヒューマンリンク社の方もPマークの規格に準じたルールが存在するということですか。
その通りです。Pマークは取得しませんでしたが、ヒューマンリンク社にも個人情報保護のルールは必要です。
やはりLRMからご提案いただき、Pマークの申請手続きに必要な文書以外は、トリックスター社と共通で作成しました。
従来の枠組みを生かして管理体制を整備
従来の枠組みを生かして管理体制を整備できて良かったです
(株式会社トリックスターおよび株式会社ヒューマンリンク
代表取締役・赤西芳樹氏)
— 御社内の取り組み体制をお話しください。
主担当はヒューマンリンクの内田が担当しました。内田はヒューマンリンクの事業全体を統括し、トリックスターの経理業務なども兼務しています。LRMとの打ち合わせは、代表の赤西と内田の2人が出席し、社内で行うべき作業は内田がリードして関係各所と連携しながら取り組みました。また、トリックスターでWEBディレクターを務めている岩本が内部監査責任者を務めました。
— 取り組みの期限は設定されていましたか。
自治体の次年度に向けた入札が1月から始まりますので、できるだけ早い時期での取得を目指しました。Pマークは申請までに6ヶ月間の運用期間を設ける必要がありますので無理でしたが、最低限ISMSの審査は年内に終わらせられるようなスケジュールを組んでいただいて取り組みをスタートしました。
— ISMSの2社合同取得、トリックスター社のPマーク取得および文書統合は、どのような手順で進みましたか。
まず5月から8月にかけてLRMが用意したマニュアルの雛形を読み合わせしながら、ISMSとPマークを統合する形でルールを構築しました。
その後、実際の運用を通して細部を調整し、情報資産管理台帳、個人情報管理台帳、リスク管理台帳などを作成し、
従業員教育、内部監査などを経てISMSの審査を受けました。
さらに、LRMと一緒にPマークの申請書を読み合わせしながら作成し、年内には申請を済ませ、翌年3月にPマークの審査を受けました。
— 取り組み全体を通して、ご苦労はありませんでしたか。
社内リソースの関係上、社内の作業の進捗が捗らないことはありました。もともと主担当者はトリックスター社の実務面に携わっていなかったため、社長の赤西や現場スタッフに確認しながら文書をまとめていく必要がありました。
また、業務が忙しく、連携がうまく取れないこともありました。
— ルールを決める上で難しかったことはありませんでしたか。
LRMのサポートを受けながら進めましたので、ほとんどありません。マニュアルのひな形を読み合わせしながら、記載された通りのやり方を弊社の現場に落とし込むと業務が煩雑になりそうな場合は、LRMに相談して我々の業務に合ったルールに変えました。
— 2社は異なる事業を行っており、複数の拠点で仕事をされていますね。統一したルールを作る上でご苦労されたことはございませんか。
特にはなかったです。両社ともファイルサーバーは『Dropbox』を使っていますし、業務手順や管理体制は基本的に一緒です。
— ISMSやPマークを取得するため、新たに設けたルールはございますか。
入退室管理やリモートワークにおけるパソコンの管理ルールを決めたぐらいです。他にもこまごまとしたルールは決めましたが、業務に影響を与えるようなことはありませんでした。もともとファイルサーバーの権限管理はしていましたし、パスワードポリシーも規定していました。退社時は机の上には何もない状態で帰るように心がけてもいました。
もともとトリックスターもヒューマンリンク社もIT領域で業務を行っている会社です。使っているツールは全てクラウドサービスですし、情報自体は全てクラウド上にあります。紙の文書類はほとんど扱っていません。もちろん物理的に保管しなければいけないものはありますが、各拠点とも以前から鍵付きのロッカーは設置していました。根本的に変えなければいけないことはほとんどありませんでした。従来の枠組みを生かして管理体制を整備することができて良かったと考えています。
ルールの明確化と従業員教育の仕組み作り
— 取り組み前後でルールが大きく変わっていないとしますと、ISMSおよびPマークを示せるようになったこと以外に、管理体制を整備したと言える根拠はどのように説明できますか。
2つの側面から説明することができます。
(1)ルールが明確になった
例えば、執務室に部外者を入れない、机の上にものを出しっぱなしにしない、漏れてはいけない情報は鍵付きのロッカーなど然るべき場所に保管するといったことを社員一人ひとりが明確に意識し、徹底できるようになりました。
委託先管理についても、以前から委託先とは機密保持契約を結ぶことになっていましたが、本当に徹底できているのかは判然としない部分がありました。ISMSとPマークの取得を機に管理台帳を設けて委託先の定義を明確にしたことで、対象となる取引先と機密保持契約を結ぶことが徹底されるようになりましたし、漏れがあればすぐにわかる体制が出来上がりました。この変化は非常に大きいと考えています。
(2)従業員教育の仕組みができた
これまでは従業員の人数が少なかったため大きな問題ではありませんでしたが、現在、2社とも従業員が増えおり、
これからもどんどん増えていく予定です。これまでは個々の意識に任せていても問題はありませんでしたが、今後さらに人数が増えていけば管理が難しくなっていくことが考えられます。今回、マネジメントシステムを構築し、マニュアル化したことで、新しく入社する従業員に対しても、社内ルールの周知・浸透や、情報セキュリティ教育の実施がしやすくなりました。
審査の直前に右往左往しないよう、年間実施計画に基づいてしっかり取り組んでいきたいです
(右手奥から;赤西氏、内田氏、岩本氏 ※左から弊社・松岡、石濱)
LRMのサポートでプロジェクトは計画通りに進行
— LRMのサポートはいかがでしたか。
実績が豊富でノウハウの蓄積があるため、打ち合わせはスムーズに進みましたし、社内の作業を進める際に質問や相談などをした時は迅速にご回答いただきました。社内の確認作業などがなかなか進まない中でも、計画を遅らせることなく、着実に前に進めることができましたので、非常に心強かったです。
— 社内へのルールの周知・浸透に関してサポートはありましたか。
ISMSやPマークのマニュアルとは別に、現場の従業員に最低限意識してほしいポイントをまとめたハンドブックの作成をサポートしていただきました。
— 従業員教育についてはいかがでしょうか。
従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』を活用しました。『セキュリオ』はeラーニング機能の他に、法令管理機能を利用しています。
— 『セキュリオ』の使い勝手はいかがでしたか。
eラーニングは、アルバイト、パートを含めた全従業員を対象に実施しました。受講した従業員からは特に問題は上がってきておりませんので、ユーザーにとっても使いやすかったと思います。
管理側としては、テストの実施状況と結果を管理画面でリアルタイムに把握可能な点が便利でした。3拠点に分かれていても、WEB上で管理可能でしたので 工数削減に繋がりました。
— 内部監査は内部監査員代行サービスを利用されたのですか。
はい。大阪の2拠点は訪問で、東京の拠点はオンラインで実施していただきました。
— 内部監査員代行のメリットをお話しください。
内部監査員を専門家に代行していただいたことで、審査機関による審査の予行演習になりました。今回は初めてでしたので、何を質問されるのかもわかりませんし、文書体系も把握できていない部分がありましたので非常に不安でした。LRMにお願いしたことで、不安を解消して審査を迎えることができました。
— 審査の結果はいかがでしたか。
ISMSもPマークも特に大きな指摘事項はいただきませんでした。頂いた指摘事項は、次年度の取り組みとして年間実施計画の中に入れています。
LRMのサポートのおかげで計画通りに進めることができました
(左から;赤西氏、内田氏、岩本氏 ※右から弊社・松岡、石濱)
現場主体で情報セキュリティに取り組める体制づくりを目指して
— ISMSならびにPマーク取得に取り組まれたご感想をお話しください。
これまでも情報セキュリティの重要性は認識しているつもりでしたが、強制力が働かない状況では、多少なりとも妥協していた部分があったことに気が付きました。ISMSやPマークを取得したことで外部の視線が入り、押さえるべきところは徹底的に押さえるという意識に変わりました。
また、内部監査や審査を通して、外部の方の質問に答えたり、ご指摘いただいたりして、初めて意識が確立するという経験もできました。自分ではできていると思っていても、他者から見るとできていないこともあります。そこに気づく機会を得ることができました。
— 今後の課題をお話しください。
今後も状況に合わせて、最適なセキュリティを実現していく必要があると考えています。しかし、そのために労力やコストが極端に増えてしまっては意味がありません。いかに負担を抑えて対策を採っていくかが、運用を継続していく上で重要なポイントだと思っています。人が増えた時や審査の直前に右往左往するのではなく、年間実施計画に基づいて着実に取り組みを維持していきたいと考えています。
また、今は内田がメインでISMSとPマークの運用を担当していますが、将来的には、認証を形骸化させないためにも、現場主体の取り組みにしていく必要があると考えています。少なくとも担当者が変わってもしっかり運用できるように引き継げる体制作りは進めていきたいと考えています。
— LRMへのご期待がございましたらお話しください。
Pマーク取得後、LRMのISMS運用改善サポートサービス『情報セキュリティ倶楽部』を契約しました。松岡さんと石濱さんのお二人は、大変質問がしやすく、話がしやすいコンサルタントでした。今後、ISMSとPマークを継続して運用し続ける上で困ったことがあった時に相談できる相手がいれば安心です。引き続きこれまで同様のサポートをお願いいたします。
株式会社トリックスター様ならびに株式会社ヒューマンリンクの皆様、お忙しい中ありがとうございました。
今後ともどうぞよろしくお願いいたします。
- システム開発・運用
- Web制作・運用
- 医療・ヘルスケア
- 入札への参加
- 担当者の負担軽減
- ISMS/Pマークのルール統一
- グループ会社との同時取得
- 50名未満
- 大阪
- 1拠点