株式会社Joe’sクラウドコンピューティング 様 – 顧客事例 –
株式会社Joe’sクラウドコンピューティングは、LRMのサポートを受け、ISMS/ISO27001認証(以下、ISMS)とプライバシーマーク(以下、Pマーク)のダブル取得を行いました。
ダブル取得に踏み切った理由と、取得を通して得た成果について、代表取締役・鈴木氏、営業本部セールスプロモーション部マネージャー・緒方氏に伺いました。
もくじ
(株式会社Joe’sクラウドコンピューティングについて)
ホスティングサービス事業を軸に、バーチャルオフィス事業、情報セキュリティ事業(SSL販売)を展開している。事業の中核を担うホスティングサービスでは、高性能かつ低価格なサーバーを提供。国内主要レンタルサーバーとしては珍しい世界標準のコントロールパネル『cPanel』を採用する他、実質本位かつ自由度の高いサービスを提供している。2005年にはシリコンバレーのデータセンターにサーバーを置き、さらにインドのサーバー管理会社と提携するなど、海外とのネットワークづくりにも積極的に取り組んでいる。また、SSL販売ではベリサイン、ジオトラスト、グローバルサイン、COMODO、サイバートラスト、セコム、アルファSSL、Thawteから直接SSL証明書を購入し、格安で販売。選択肢の多さもあり、再販では日本最大級の発行数(年間4000枚)へと成長している。さらにバーチャルオフィス事業は、大阪本社の他、東京青山・銀座の3拠点を構える。価格を安価に設定することで、気軽に起業できる環境を提供している。
設立;2002年7月。従業員数;17名。本社;大阪。
LRMにISMSとPマークのダブル取得コンサルティングを依頼
— LRMに依頼した業務内容を教えてください。
弊社はLRMに、ISMSとPマークのダブル取得コンサルティングを依頼しました。弊社を担当したコンサルタントは吉村さんです。
LRMはインターネット検索で見つけました。ホームページのコンテンツに説得力があったこと、実績をきちんと公開していること、その中に同業者のコンサルティング実績があったこと、大阪に拠点を置くため連絡が取りやすいということから、LRMにほぼ決め打ちして問い合わせしました。実際に会って話をしてみると、非常にわかりやすい話をしてくれたので、安心してお任せできると感じ、正式に依頼しました。
業務フローの見直しを視野に入れ、ダブル取得を目指した
— ISMSとPマークのダブル取得をした目的を教えてください。
弊社がISMSとPマークのダブル取得をした目的は信用力の向上です。
以前から企業における個人情報や情報漏えい事故があるたびに危機感は持っており、2012年春ごろから検討し始めましたが、同年6月の同業者の個人情報漏えい事故の報道をきっかけに、具体的なアクションを起こしました。
— 最初からダブル取得を目指しておられたのですか。
取得を検討し始めた当初は、Pマークのみを考えていました。弊社は、インターネットからサービスに対する問い合わせや申し込みを受け付けており、大量の個人情報をお預かりしているので、個人情報保護のためのマネジメントシステムを構築しようと考えていました。
しかし、LRMに問い合わせて吉村さんに営業に来てもらった時の話から、弊社の業種柄、中長期な視野に立てば、個人情報保護の観点からだけではなく、自社に合った情報セキュリティマネジメントシステムの構築をしていく必要があると考えました。
取得を検討する直接のきっかけとなった情報漏えい事故は、人為的なミスによって発生した事故です。それは自社でも発生する可能性はゼロではありません。そこで、業務フローの見直しも視野に入れ、よりセキュアな情報セキュリティマネジメントシステムを構築するためにPマークとISMSの両方を取得することにしました。
LRMのリードを受けながら独自の情報セキュリティマネジメントシステムを構築
— 不安はありませんでしたか。
タスク量の多さは覚悟していました。コンサルティングの1回目に全体の流れを聞いた際には、やはりかなり多いなと思いましたが、今後の進め方などをしっかり説明してもらったこともあり、LRMにリードしてもらえば滞りなく作業を進められるという安心感を持つことが出来ました。
— ISMSとPマークのダブル取得というのは、同時並行で進めるのですか。
LRMのサポートを受けながら実際に行ったことは「Joe’sクラウドコンピューティングの情報セキュリティマネジメントシステム」の構築です。2つのマネジメントシステムを別々に構築するのではなく、ISMSとPマークの2つの規格を出来るだけ融合して、1つのルールを運用することで取得を維持できる一本化したマネジメントシステムを構築しました。
作業そのものは、ISMSをベースにルールを構築して行って、その中でPマークの規定に関連するところがあれば個別に対応するという流れで進みました。そして、まずはISMS取得の申請を行い、審査および審査対応を経て一旦マネジメントシステムを固めた上で、改めて個人情報に関わる部分を見直して修正を行い、万全を期した上でPマーク取得の申請を行いました。
— 取得の際に最も苦労されたことは何ですか。
情報セキュリティマネジメントシステムを構築する過程で、業務フローの見直しを行いましたが、ISMSとPマークの規格を満たしつつ業務効率を落とさない範囲でルールを構築することには、かなり神経を使いました。
ISMS、Pマークともに、単に取得だけを目的にするのか、業務改善のきっかけと捉えるのか、という2つの選択肢があると思いますが、弊社は後者を選択しました。弊社はこれまで比較的自由な業務フローで仕事をしてきましたが、少数精鋭の組織でもあり、それで問題なく業務を進めることが出来ていました。しかし、各サービスの規模が大きくなるにつれ、非効率な面が出てきていました。そのような認識を持っていた時に、同業者の漏えい事故が報道されました。その事故を教訓に取得するなら、業務改善は避けて通ることは出来ないと考えましたが、業務フローが変わることで社員に負担がかかることは予測できました。そこで、その負担を出来るだけ小さくしながら、それぞれの規格を満たしてセキュアなルールを作ろうと考えましたが、それは難関でした。
— その難関をどのような方法で切り抜けたのですか。
LRMのサポートを受けることで、何とか乗り切ることが出来ました。特に、リスク対策では他社の事例を示してもらい、弊社の業務と照らし合わせて決めて行きました。また規格の解釈が難しく、その解釈次第で業務に大きく影響しそうな時などは、その都度相談しながら進めました。吉村さんからのレスポンスが早かったので、作業自体はやりやすいと感じました。
月に2回か3回ぐらいずつミーティングを重ね、青山や銀座のオフィスも吉村さんに視察していただいて、年明けにマニュアルを完成しました。そして、そのマニュアルを使って社員教育を行い、監査などを経て、2013年4月、ISMSの申請に至りました。
社員の意識と業務品質の向上に繋がった
— 業務フロー上の変更した点には、どのようなものがありましたか。
わかりやすい例では情報共有ツールなどの変更があります。これまで、弊社では、情報共有や社員同士の連絡に、エバーノートとスカイプを多用していました。しかしそこに明確なルールが設けられていたわけではありません。例えばスカイプには、雑談も業務指示も混在していたため、大事な情報を見落とす可能性もありました。そこで、グループウェアやデータベースなどを目的に応じて導入し、使い分けるルールを設けました。
— そのような業務フローの変更は、社内にスムーズに浸透しましたか。
以前の業務フローを新しい業務フローに置き換えていくには、ある程度の時間は必要でした。特にツールの変更は単純に使いやすさを求めて変更したわけではないため、最初は拒否反応が出ることは、予測していました。セキュリティの安全性を担保するためには、業務を進める上で煩わしいこともあります。目的に応じてツールを使い分けるということは、慣れるまではストレスに感じるのが普通の反応だと思っていたので、出来るだけ負担が軽くなるような対策は打ちました。それでも以前の方が使いやすいといった声がありましたが、トラブルを未然に防ぐためには情報を整理しておくことは重要です。それが定着しなければ業務を改善することは出来ないので、全員に慣れてもらうしかありません。経営層を含め、推進する立場の社員が率先して移行することで、徐々に浸透させていきました。
— 情報セキュリティマネジメントシステムを導入した成果をお話し下さい。
まだ道半ばですが、情報セキュリティの基礎的な文化を社内に取り入れることは出来ました。
(1)社員の意識向上
2013年1月にマニュアルが完成し、それをもとに社員教育を行ったところから、弊社における情報セキュリティマネジメントシステムの運用がスタートしたのですが、最初は戸惑いを持つ社員もいました。しかし、それから1年以上経過した現在は、何等かの個人情報や情報資産を扱う際に、「これは正しいアプローチなのかどうか」ということを、各自が意識できるようになりました。情報セキュリティ責任者のもとに「これで大丈夫ですか?」という質問も来るようになり、1人ひとりが自主的に取り組むようになったことは大きな成果です。
(2)業務品質の向上
業務品質の向上という点でも一定の成果は上がったと考えています。全社的に業務の整理が出来て、業務の精度が上がるとともに、個人の負荷が減った実感はあります。例えば事業継続に関するところですが、クレーム管理に関してはこれまで、いつ、どのお客様から、どのようなクレームが発生したかを共有する仕組みがありませんでした。しかし、クレーム内容を個別にトラッキングし全員で共有する仕組みを導入したことで、対応した担当者が不在でも、誰かが引き継いで対応することが出来るようになりました。
IT業界に強いコンサルティング会社・LRMを実感
— LRMが果たした役割を教えて下さい。
プロジェクトの牽引役を担っていただきました。最初の2~3か月はコンスタントに作業が進みましたが、その後は、弊社側がなかなか思い通りに仕事を進められませんでした。他の業務が忙しくて宿題をこなすことが出来ずに、スケジュールを変更していただくこともありました。しかし、要所で吉村さんが的確にリードしてくれたため、何とか作業をこなすことが出来て、取得に至ることが出来ました。
— LRMの評価をお話し下さい。
弊社を担当してくれた吉村さんは、弊社の業務をよく理解し、細かいところまで配慮しながら、適切なアドバイスをしてくれました。社長もIT業界の出身者だと聞いているので、IT会社の業務にはさすがに強いなと感じました。また、吉村さんのフランクな対応も話しやすくて良かったと感じています。
今後のビジョンとLRMへの期待
— 今後のビジョンなどがありましたらお話しください。
今は、ISMSとPマークの取得が終わって、やっとスタートラインに立ったところです。今後、しっかり活用したいと考えています。しかし、取得しただけでは他社との差別化は難しいので、取得に相応しい実質を伴った会社であると感じていただけるようきちんと運用していきたいと考えています。 また近年、弊社では大手企業との取引も増えており、その中でISMSやPマークを運用する上ではマストではない項目を要求されることもあります。そのようなより高い要求にも応えられるマネジメントシステムに発展させていきたいと考えています。
— LRMへの期待をお話し下さい。
2014年6月、ISMSの1回目の更新審査を終えましたが、新規取得と今回の更新では2013年版の新しい規格への対応は見送りました。しかし、2015年9月末までには改定しなければいけません。また、ISMSだけではなく今後改定される可能性もあるPマークの改定対応も、単独では困難だと考えています。労力やコストの面からも、専門家のサポートを受けた方が負担は軽いはずなので、その際にはLRMのサポートを依頼したいと考えています。一旦取得が完了すると、安心してしまうところもありますので、またしっかりリードしていただきたいですね。
株式会社Joe’sクラウドコンピューティング様、
お忙しい中、有り難うございました。
※右端は弊社吉村
※取材日時 2014年7月