バリオーサグループ様 – 顧客事例 –
NPOなどの非営利団体向けコンサルティングを行うバリオーサグループは、成長に伴い複雑化する業務フローを整理するため、LRMのサポートを受けてISMS/ISO27001のグループ認証取得に取り組みました。目的を達成するまでの経緯を、株式会社バリオーサマーケティング 代表取締役副社長・松谷真吾氏に伺いました。
記事index
NPOやNGOなどの非営利団体におけるファンドレイジングを支援する企業グループ。
株式会社バリオーサと株式会社バリオーサマーケティングの2社が役割分担をしながら、一体となったサービスを提供している。ファンドレイジングはNPO、NGOなどの非営利団体が活動する上で必要となる資金を集める活動だ。NPO、NGOが活動資金を集める方法には、寄付や会費、助成金などがあるが、その中でも同社は特に寄付や会費などを行う支援者を募るサポートを行っている。多種多様な分野・規模の団体を10年以上に渡ってサポートしてきた経験と、海外のファンドレイジングの最新成功事例をベースに、日本の支援者、各団体の特徴に合わせて、オンラインからオフラインまであらゆるマーケティング手法を駆使したキャンペーンや戦略を提案する。変化の激しいマーケティング業界の潮流を捉えた新たなキャンペーン手法の確立にも力を入れ、サービス品質の改善に取り組み続ける。
株式会社バリオーサ
イベント会場での対面によるコミュニケーションやテレマーケティングなど、1対1での対話を通じて支援者を募る。
本社;東京都千代田区。設立;2006年5月。
株式会社バリオーサマーケティング
キャンペーンの企画提案とともに、Webマーケティングや、DM、メルマガなどのダイレクトマーケティングによって潜在ニーズの掘り起こしや母集団形成を行っている。
本社;東京都千代田区。設立;2016年1月。
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
株式会社バリオーサはLRMに、バリオーサグループ全体を適用範囲とするISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。担当者は大谷さんで、2018年8月下旬からISMS認証取得に向けた準備を開始し、2019年6月に認証を取得しました。
サービスを継続的に提供するためISMS/ISO27001認証を取得
— ISMS認証を取得した理由をお話し下さい。
私達がISMS認証を取得した理由は、サービスを継続的に提供するには、守りを固める必要があると考えたからです。
私達にとって、サービスの質を高めるということは、より効率的にクライアントである非営利団体の支援者を獲得することです。これは“攻め”に当たり、ISMSには直結しません。それに対して“守り”に当たるのが情報セキュリティです。
いくら攻めがうまくいってビジネスが順調にいっているように見えても、お客様からお預かりする支援者の方々の個人情報などが漏えいしてしまえば顧客に迷惑をかけることになります。それによってグループの信頼が落ちて、継続してサービスを届けることが出来なくなる可能性もあります。
弊社は設立から13年が経ち、事業が拡大するとともに業務が複雑化してきました。そこで複雑化した業務プロセスを整理して情報セキュリティ上のリスクを特定し、それらのリスクに対応する必要が生まれていました。自分たちで調べながら対応していくという選択肢もありましたが、確立された手法があるならそれを導入した方が効率的だと考えてISMS認証を取得するに至りました。
— 情報セキュリティについて、外部から何らかの形で問われることはございますか。
ISMS認証を取得したのは、あくまでも自主的な取り組みです。ただ、委託元であるクライアントの立場に立てば、個人情報保護法に委託先を正しく監督するという義務がありますので、弊社がISMS認証やプライバシーマーク(以下、Pマーク)を取得することは、クライアントにおける法の遵守をサポートすることになると思っています。
— Pマークの取得も考えておられたのですか。
当初はISMS、Pマークのいずれかで迷っていました。コンサルティング会社選定の段階で、LRMに相談しながらISMSに決めました。LRMの説明を聞いて、ISMSの方が自社にあった情報セキュリティマネジメントシステムを構築できるという理解をしたからです。特定の規格の要求事項を厳密に満たしていくのではなく、自社のルールの中でPDCAを回す体制を作るというISMSの考え方が、私達の目的に適っていると考えました。
目的を達成するためのサポートを期待出来るLRMに依頼
— コンサルティング会社選定の経緯をお話し下さい。
2018年7月頃に、複数のコンサルティング会社と話をして、最も私達の目的に適ったサポートが期待できそうなLRMに依頼しました。私達の目的とはISMS認証を取得することではなく、「業務プロセスを整理して、リスクを洗い出し対応していく」ということです。営業担当の藤居さん、コンサルタントの大谷さんと話をして、LRMは、その目的を果たすための議論を深められるコンサルティング会社だと感じました。
会社にある全てを一つ一つ精査しリスクに対応
藤居さんや大谷さんと話し、他とは違うと感じて依頼しました
(株式会社バリオーサ マーケティング代表取締役 副社長・
松谷真吾氏)
— 「業務プロセスを整理して、リスクを洗い出し対応していく」という目的は達成されましたか。
はい。その結果、ISMS認証取得も出来ましたので、LRMに依頼して良かったと思っています。
— 「業務プロセスを整理して、リスクを洗い出し対応していく」ために、どのようなことをされたのですか。
まず、情報資産や日常業務など、会社にあるものを全て洗い出して、その1つ1つを精査しリスクを特定しました。その後、それらのリスクを回避するためのルールを決めて文書に落とし込み、ルール通りに業務を進めていくための体制を作りました。あとは毎年、年間スケジュールに従って、変更箇所に対して同じことをしていくだけです。
— ルール化するまでの過程でご苦労はございませんでしたか。
情報資産やリスクの洗い出しに時間がかかったことが大変でした。情報資産の洗い出しは、LRMにどのようなものが情報資産に当てはまるのかを教えていただいた上で管理台帳を作成し、チェックしていただくということを繰り返しました。リスクの洗い出し、ルール策定は、LRMにヒアリングしていただきながら一緒に行いました。
— リスクの洗い出しやルール策定にはどれぐらいの時間をかけられたのですか。
LRMと一緒に2時間の打ち合わせを4回ぐらい実施しました。ただ、それで終わったわけではなく、今も自社内で継続して取り組んでいます。
— ルール作りはどのような方針で進められましたか。
基本的には、あまり締め付け過ぎることは良くないと考えています。従業員が面倒くさいと思ってしまうと業務が円滑に進みませんし、結果的に形骸化してしまいます。特に今回は初めてということもありましたので、リスクを一通り特定した上で、業務が円滑に進むことを重視してルール化しました。そのようにバランスが取れるところがISMSの良いところだと考えます。
— ルール化する中で、従来にはなかった業務プロセスやルールが増えたということはありませんか。
細かいものは沢山あります。例えばパスワードポリシーなどです。ハード面では鍵付きのロッカーに保管すべき書類をルール化しました。ただそれらはISMS以前にやっておかなければいけないことであって、極めて常識的なことばかりです。従来も何となくはやっていたことがほとんどですが、それらを明文化して徹底するようになったというところが変わった点です。
ISMS取得が様々なバックボーンを持った従業員の意識を揃える機会に
— ルール策定を終えた後のタスクには、従業員教育と内部監査がありますね。まず従業員教育について、お話し下さい。
従業員教育については、今回は新規取得ということもあり、「情報資産の取り扱いは注意を払うべき重要なテーマであること」「そのために会社としてISMS認証を取得すること」「ISMSを運用するための基礎的な知識」を伝え、落とし込みました。
弊社は様々なバックボーンを持った人材が集まる組織です。それぞれが前職までにスキルを積んでおりますので、これまではわざわざ情報セキュリティが大事だなどといったことを言う機会はありませんでした。今回の取り組みは、意識のベースを揃える良い機会になりました。
–従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使用されたのですね。
はい。『セキュリオ』のeラーニング機能では誰が受講したかをシステム上で管理出来ますし、教材が一通り揃っていました。さらにeラーニング機能だけではなく法令管理機能も利用できたため、最新関連法令を手軽に管理することができました。法改正への対応も、自分で検索・調査する手間が不要です。
— 内部監査についてお話し下さい。
内部監査は内部監査員をLRMに代行してもらう形で実施しました。当社のような小規模の会社には、ISMSの内部監査をできる人材はなかなかいません。新規取得のタイミングでは、ノウハウを持った方にお願いした方がチェック漏れがなくて良いと思いました。実際、内部監査が審査への準備にもなり、当日慌てる必要がありませんでした。
— 審査を受けたご感想をお話し下さい。
審査を受けて感じたことは、ISMSの運用は、自社で出来るということです。そう思った理由は、ISMSの審査は「ダメだったら落とす」という感じではなかったからです。審査員は、改善提案をする役割を果たしていると感じました。
自分たちなりにしっかり運用していれば、テクニカル要素で至らないところがあったとしても、それが要因で審査に通らないということはなく、指摘事項を検討して対応すれば通していただけるという感覚を持ちました。
その経験から自分たちが必要だと思うことを漏れなくやっていれば、実質的に業務効率を落とさずにセキュアな体制は維持出来るし、ISMS認証も維持出来るという自信を持つことが出来ました。LRMと一緒に取り組んだ約10ヶ月間で、そのために必要十分な情報はいただけたと考えています。
『box』やメーリングリストを活用したプロジェクト運営は効率的で良かったですね
(右;松谷氏 ※左は弊社大谷)
圧倒的な知識量に基づくアドバイスによって目的が達成できた
— ISMS認証取得までの取り組みを振り返られて、どのような感想をお持ちでしょうか。
目的をきちんと果たせて良かったです。自分たちだけでやるよりも、コンサルティング会社にサポートしていただいた方がしっかり出来ると実感しました。知識量が圧倒的に違います。私達は自分の業務には詳しいですが、ISMSに関する知識はありません。コンサルティング会社は他社事例なども持っていますので、ルール作りで困った時に具体例を示していただけますし、良いアイデアが出て来ます。それが自分たちだけで取得した場合との違いだと思います。
また、クラウドストレージ『box』を活用したプロジェクト運営も効率的で良かったです。
— そういったクラウドツールは普段から積極的にご活用されているのですか。
はい。業務の効率化を図るために、便利なツールがあれば活用しています。そういう意味ではLRMの考え方には共感できました。ISMS認証取得までのフローがテンプレート化してあって、メーリングリストで最低限の情報を伝えるなど、個別の会話が発生せずに業務が流れていく。私はそういう進め方が好きなので、LRMのコンサルティング手法には共感できました。
— コンサルタントの対応はいかがでしたか。
大谷さんに関しては、打ち合わせの場でこちらからの質問に的確に返答していただけたので満足しています。
またバックオフィスのサポート体制も良かったです。メールでの問い合わせには丁寧にご返信いただきました。
ISMSはビジョンを固めた上で取り組むべき
— ISMS認証取得を検討している企業へアドバイスがあればお話し下さい。
ISMS認証の取得にはコストがかかりますので、どんな企業でも取れば良いというものではないと思います。
ただ取得することはそんなに難しいことではありません。少なくともLRMに依頼してコンサルタントの言うことに従えば取得は出来ます。どれだけ実のある活動にしていくかは、どれだけ時間と手間を割く意志があるかにもよりますので、しっかり検討してビジョンを固めた上で取り組むべきだと思います。
バリオーサグループ様、お忙しい中、有り難うございました。
※ バリオーサグループ様のWEBサイト
※ 取材日時 2019年8月
- コンサルティング・士業
- グループ会社との同時取得
- 50名未満
- 東京
- 1拠点