株式会社日テレITプロデュース 様 – 顧客事例 –
株式会社日テレITプロデュースは、グループの事業多角化に伴う業務拡大に備え、ISMS/ISO27001認証(以下、ISMS)とプライバシーマーク(以下、Pマーク)の同時取得に挑みました。スマートな運用を実現するために選んだのはLRMのコンサルティングです。
情報セキュリティ事務局の皆さんに、LRMを選んだ理由や、同時取得で目指したもの、ルール構築をはじめ取得までの経緯などを伺いました。
記事index
国内のテレビ業界の中でも特に積極的なIT投資を行う日本テレビが、グループ内にITの専門家集団を作るため、独立系システムインテグレーターとの合弁により設立したSIer。日本テレビを中心にグループ子会社、関連会社をクライアントとして、ITインフラ基盤のインテグレーションやSAPベースの会計制作費システムなどの業務システムの開発の他、報道番組制作を支援する情報システム、駅伝・マラソンなどの生中継を支援する計測システム、番組連動Web・スマートフォンアプリのバックエンドシステムなど、テレビ局ならではのシステム開発にも数多く携わっている。同業界のSIerは一般的に外注ベンダーを多用するのに対し、同社では大規模案件においても自社内でフルスクラッチによる開発をするのが大きな特徴である。フィットネスクラブやコンテンツ配信など、グループ全体の事業が多角化する中、同社が扱う開発領域はますます拡大していくことが見込まれている。
本社所在地;東京都港区。設立;2006年9月。社員数;73名(2016年1月1日現在)。
ISMSとPマークの同時取得コンサルティングを依頼
– LRMへのご依頼内容をお話ください。
日テレITプロデュースは、2015年1月、LRMにISMSと、Pマークの同時取得コンサルティングを依頼しました。担当者である幸松さんのサポートのもと、3月から取得に向けた準備をスタートし、同年12月にISMSの取得、翌2016年3月にPマークの取得を完了しました。
– ISMSとPマークの同時取得とはどういうことですか。
ISMSとPマークはベースとなる規格が異なるため、取得や更新のための審査には、それぞれの規格に沿った文書類を用意して、別々に手続きをする必要があります。ただ、「ISMSのルール」「Pマークのルール」として別々に構築してしまうと、二重管理しなければならず、運用が非常に煩雑となってしまいます。それを防いでスマートな運用ができるマネジメントシステムを構築するには、ISMSをベースに一本化したルールを構築し、その上でISMS、Pマークの順番で取得するのが効率的です。弊社においてもLRMの提案を受け、そのような進め方をしました。
目指したのは「有効性のあるマネジメントシステム」と「スマートな運用」
– ISMSおよびPマークを取得した理由をお話しください。
弊社自体の業容が拡大し、グループ全体の事業が多角化していることで、セキュリティ体制の整備が必要となってきたことが、ISMSとPマークを取得した理由です。
ISMSに関しては、設立時から機密情報を扱う機会があることを見込んだ上で取得を検討していました。しかし、設立当初は20名前後の小規模組織であり、業務内容が主に日本テレビの運用業務受託と限定的であったことから時期尚早という判断をしてきました。日本テレビがISMSを取得しており、弊社もそのルールに従って業務を行っていたため、独自に取得する必要に迫られていなかったという背景もあります。
しかし日本テレビ以外のグループ会社のソフトウェア開発を受託し始めるなど、徐々に取引先や業務内容が拡大してきたことから、独自にISMSを取得する必要性が生まれてきました。
Pマーク取得にも同様の背景があります。日本テレビグループの事業は年々多角化が進んでいます。2014年には、フィットネスクラブ『ティップネス』やコンテンツ配信サービス『Hulu』の国内向け事業がグループに参画したことで、弊社も今後、BtoC事業向けの案件に携わる可能性が生まれました。また、BtoC事業以外にも、個人情報に触れる可能性があるシステムに携わることはあります。それも含めて、今後はより大量の個人情報に触れることが見込まれます。
その状況に備えて、予め体制を整備する必要があると考えてPマークを取得しました。
– ISMSとPマークを取得する上で目指していたことはありますか。
今回、ISMSとPマークの取得を決めた際に、目標として掲げたことは主に以下の2点です。
(1)IT会社として有効性のあるマネジメントシステムの構築
(2)ISMSとPマークの二重管理を排したスマートな運用
(3)区切りとして2016年3月末を取得期限とすること
(2)については、管理する側だけではなく、現場の社員が手順を迷わないことも大事でした。弊社は以前から、いずれISMSとPマークを取得することを前提に情報セキュリティに関する独自の取組を行ってきました。情報セキュリティ推進事務局と個人情報保護事務局という2つの管理組織を社内に設置し、個人情報管理台帳やそれぞれのルールを作って運用していました。ただ、現場で何か問題となりそうな事象が発生した際に、どちらに報告すべきかが明確になっていないなど、現場が判断に困るということが起きていました。そのような背景もあり、現場の社員が迷わず行動できるしっかりした体制を整備したいと考えました。
コンサルティング会社選定の決め手は、取得後の運用面を重視した提案
– コンサルティング会社の選定はどのように行いましたか。
インターネット検索で、我々の目的に合致しそうなコンサルティング会社をピックアップし、順番に話を聞いていきました。4社目に話を聞いたのがLRMでした。
– LRMの話を聞く前の3社で決められなかった要因をお話しください。
根本的に対応力の面で不安がありました。各社ともコンサルタントが70代ぐらいの方で、対面していてもスピーディに仕事を進めることは無理じゃないかと感じました。
また、各社とも分厚い紙の資料をもって来ていましたが、我々にはそれを読み込む時間はありません。限られた期間で効率良く取得を完了させるミッションもあったため、改めて、体力があり、レスポンスが良いコンサルタントを探し始め、LRMに出会いました。LRMを選定した決め手は主に次の2点です。
(1)取得後の運用面を重視した提案
有効性のあるマネジメントシステムを構築し、ISMSとPマークの二重管理を避けてスマートな運用を実現するという弊社の目的に合致する話が聞けたことが最も重要な決め手となりました。
他社の話は腑に落ちない点がたくさんありました。中には二重管理の方が楽だと言う方もいました。確かに更新審査の際は二重管理した方が手間は省けます。しかし現場の業務における運用は煩雑となります。LRMの場合、ISMSを軸に業務に即したルールを構築してISMSを取得し、その上でPマーク取得の手続きを行えば二重管理をする必要がなく、スマートな運用ができるという提案がありました。その説明は非常に信憑性があり、納得できました。
(2)スピーディな進捗が期待できる
担当の幸松さんがSE出身のため弊社の業務に関する話が通じることに加え、レスポンスが良く、スピーディな進捗が期待できました。世代的にも事務局メンバーと近いため、余計な気を回さずに話せることもスピードを速める要因になると考えました。さらに、具体性のあるスケジュールが示されたこともあり、安心してお任せできると考えました。
既存のルールをベースに最低限のセキュリティレベルを定めた
– 取得までの経緯をお話し下さい。
今回の取得にあたっては、取得プロジェクトチームを立ち上げました。取締役1名をリーダーとして、各部署からセキュリティに詳しいメンバーを1名ずつ選抜した合計8名のチームです。その上で、LRMのサポートを受けながら、取得の準備を進めました。重要なポイントは、以下、4つの工程です。
(1)ルール構築
(2)文書作成
(3)従業員教育
(4)内部監査
– (1)ルール構築 の経緯をお話しください。
7月には情報セキュリティの基本ルールは決まっていました。特に時間をかけたのがベースラインリスク分析(ISMSの詳細管理策114項目の検討)です。3月から5月にかけて、取得プロジェクトチームのメンバー全員と幸松さんが定期的に会議室に集まり、打ち合わせをしながら決めました。採用活動の中で預かる履歴書をはじめとする個人情報の管理方法も、この過程で一緒に決めました。
セキュリティの方法はいろいろありますが、我々だけでは何をどのように決めれば良いのかわかりません。幸松さんが
1項目ずつ順番に解説してくれるので、それに対し、弊社に最適と思われるルールを決めていきました。迷ったときは他社の事例を聞いて、弊社の業務に当てはまるものは取り入れ、違うと思われるものは幸松さんの意見も参考にしながら改めて検討しなおして、独自のルールを決めました。
– もともとあった社内ルールと、取得に向けて策定したルールは異なるものですか。
いいえ。基本的には既存のルールをベースとして、あいまいな部分を明確にするなど整理しなおしました。また、厳密に「こうしなければいけない」というルールではなく、最低限守るべきセキュリティレベルを定めたものとなっています。
– ルールを決める過程で苦労されたことはありますか。
特にありません。取得プロジェクトチームには、各部署からセキュリティに詳しいメンバーを選抜したため、かなり突き詰めた話ができました。困ったことがあれば、その分野に詳しいメンバーに決めてもらうという役割分担ができたためスムーズに進みました。またチームには取締役もいたため、経営上の判断を仰ぐ必要がある場合も、その場で決めることができました。
– (2)文書作成 はどのように行ったのですか。
まず、打ち合わせで決めたルールを幸松さんが文書に反映しました。それをベースに、弊社独自のエッセンスを加え、我々自身で最終的な仕上げを行いました。この段階でISMS、Pマークともに審査に必要な文書類は全て揃いましたが、「ISMSマニュアル」「個人情報保護マニュアル」と分けるのではなく、基本的には「情報セキュリティマニュアル」としてまとめました。Pマークの運用や更新手続きで絶対に必要、かつその他では使うことがないもののみ「個人情報保護マニュアル」として別個に分けて作成しました。
「情報セキュリティ8か条」「クリアデスクキャンペーン」で浸透を図る
– 文書作成の次は(3)従業員教育 ですね。
はい。情報セキュリティ教育用のeラーニングシステムを社内で構築し、8月に実施しました。eラーニングは、各社員の実施状況や点数が把握できるので、管理が非常に楽でした。教材は取得プロジェクトチームが作成しました。「ISMSとは何か?」から始まり、我々が決めたマネジメントシステムを周知する内容です。テキストとテストで構成されています。
その他にも、情報セキュリティ意識の浸透を図るための取り組みを、別途、次のとおり行いました。
【「情報セキュリティ8か条」の策定と周知】
『情報セキュリティ・ガイド』というA4サイズ3つ折りのリーフレットを制作し、全社員に配りました。『情報セキュリティ・ガイド』は、「情報セキュリティ基本方針」と「情報セキュリティ8か条」で構成されています。「情報セキュリティ8か条」は、114項目の詳細管理策の中から、現場で日常的に発生するシーンを想定し、そこで必要な項目をピックアップしたものです(以下参照)。
Ⅰ.パスワードの管理
定められた条件を満たすパスワードを設定し、定期的に変更する。
Ⅱ.ロック・シャットダウン
離席時は画面ロック、帰宅時はシャットダウンする。
Ⅲ.クリアデスク
離席時はデスク上の書類を裏返し、帰宅時は所定の場所に保管する。
Ⅳ.ディスクの暗号化、遠隔ロックの設定
社外持ち出し機器にはセキュリティ設定を行う。
Ⅴ.添付ファイルの保護
機密情報および個人情報をメールで送る際はパスワードをかける。
Ⅵ.シュレッダーの活用
情報区分が公開以外の書類やCD/DVDを廃棄する際は、シュレッダーする。
Ⅶ.ソフトウェアの管理
バージョンアップを行い。常に最新の状態にする。
Ⅷ.責任
日本テレビグループの一員として、行動に責任を持つ。
弊社の社員は、グループのセキュリティ教育を受けていることもあり、各自、情報セキュリティの知識や意識を高いレベルで持っています。そのため情報セキュリティの課題に対しては、それぞれが正しいと思う対策を取っていました。その一方で、複数考えられる対策の中からどれを選べば良いか判断に迷うこともありました。今後はそういった際にも迷わず円滑に業務を進められるよう、明確な指針を示したのが「情報セキュリティ8か条」です。
【クリアデスクキャンペーンの実施】
「情報セキュリティ8か条」を定めて全員に配った他には、幸松さんのアドバイスを受け、情報セキュリティ管理の基本であるクリアデスクの浸透を図るために「クリアデスクキャンペーン」を実施しました。全社を挙げて、机の上だけではなくキャビネットやロッカーの中なども含めて不要な書類を、段ボールに集めて廃棄しました。8月と12月の2回実施して、20箱分ぐらいは集まりました。
クリアデスクとは机の上に紙を置かないことですが、そこから「無駄な情報は持たない」意識につながります。情報は、持っていなければ漏れないものです。つまり持っていること自体がリスクとなります。また、場所を取るため、場所代や管理するための人件費など不要なコストも増えます。「情報セキュリティ=クリアデスク」ではありませんが、「情報を見ようとしている誰かがいる」という意識が定着すれば、あらゆる行動が変わります。弊社では2回行ったことで、机の上に書類を置かない、ほんの少し離席する際には裏返すということを意識した行動が定着しました。
さらに、内部監査を行った際に認識が甘いと評価された社員がいれば、個別にフォローアップの教育を行いました。
今回のプロジェクトでは内部監査チームの貢献も大きかったと考えています。
– (4)内部監査 についてお話しいただいけますか。内部監査チームというのは、取得プロジェクトチームとは別の組織ですか。
そうです。各部署から取得プロジェクトチームのメンバーとは異なるメンバーを選任し、6名の監査チームを立ち上げました。そして互いに自分の所属とは異なる部署の監査を担当しました。取得プロジェクトチームが作ったマニュアルから、監査チームが監査項目をピックアップしてチェックリストを作成し、各部署で数名を抽出して、マニュアル通りの手順で業務を行っているかをチェックしていきました。この内部監査チームが非常に高いレベルの監査を実施してくれたことで、ISMSもPマークも審査時の指摘事項が非常に少ない結果となりました。
– 12月にISMSを取得した後は、Pマークの審査に向けて行ったことはありませんでしたか。
Pマークの審査に必要な文書類は8月に作ったままだったので、幸松さんのサポートを受けながら、直近のPマーク審査の傾向を反映して修正しました。審査の書類さえ整ってしまえば、Pマークはほとんど事務手続きだけなので、労力も少なく審査を終えることができます。指摘事項に関しても幸松さんに添削してもらって、問題なく対応することができました。ただ審査時に、審査会社が込み合っていて3月中の認定は難しいという話があり少々焦りました。プロジェクトチームとしては取得期限を2016年3月に設定していため、弊社だけではなくLRMからも何とか間に合わせて欲しいという要望を出してもらって、結果的には締め切り通りに取得することができました。
取得プロジェクトを通して社内の課題が明らかに
– 「スマートな運用を実現したい」という当初の目論見通りの成果はありましたか。
はい、ありました。スマートな運用が可能なルールの構築は実現できました。今回構築したルールでは、Pマークはほとんど意識する必要がありません。ISMSをベースにPDCAを回しておけば、個人情報を含めた情報資産のセキュリティを保つことができます。あとはPマークを維持するために、個人情報管理台帳などのPマーク制度上必要とされる書類を管理するだけです。幸松さんのリードがあったおかげで、そのことがよく理解できました。
また、今回、非常に大きな成果として認識していることは、社内の課題が浮き彫りになったことです。IT資産の管理を例にとると、台帳をエクセルで作成し紙ベースで管理しています。しかしこのようなアナログな方法では、形式的な管理になりがちです。今後は属人的な手法に頼らず、システム化する必要があると痛感しました。この他にも、今回のプロジェクトを通して強化すべきポイントが把握できたので、優先順位を決めて効率的に取り組んでいきたいと考えています。
「ポイントさえ押さえれば、柔軟な仕組み作りが出来ることを学んだ」
– LRMへのご評価をお話しください。
定められた期限通り、効率的にISMSとPマークの同時取得を完了できたことや、IT業界の知識など、全ての点で期待通りでした。また、気軽に相談できることやフットワークの軽さも良い点でした。特にLRMを選んで正解だったと思っている最大のポイントは、臨機応変な対応です。その対応から、我々自身、情報セキュリティマネジメントのコツを学ぶことができました。
ISMSやPマークの規格は非常にわかりづらく書かれています。初めて取り組む者にとっては、自社の業務に合わせ、どのようにアレンジして良いのかを判断することは至難の業です。しかし、幸松さんに相談したり、要望を伝えたりすることで、自社にとって有効性のあるルールが構築できました。例えば、管理表のひな形を例に挙げれば、最初に出してもらったものに対して「使いづらい」と言えば、要望を反映して作り直してくれます。そのようなことを繰り返す中で、規格の各項目が目的としているポイントを押さえることさえできれば、自社の業務に合わせた仕組みに変えて、無駄な作業を劇的に減らすことができることがわかりました。今後、運用するにあたって大変参考になりました。
今後のビジョン
– 今後のビジョンをお話しください。
情報セキュリティに対する社員の意識は、ルール構築前と比較すると格段の向上が見られますが、マニュアル全体に対する理解はまだまだ不足しています。今後、より浸透させるための方法として考えていることは、情報セキュリティ事務局メンバーの定期的な入れ替えです。取得の過程でもともと存在していた2つの事務局を統合し、改めて情報セキュリティ推進事務局を立ち上げました。立ち上げ時は取得プロジェクトチームに新たに3名を加えたメンバーでスタートしましたが、メンバーを固定してしまうと、事務局のナレッジが一部に偏ってしまい、意識にも格差が生まれてしまいます。事務局の業務を経験することで当事者意識が生まれますので、それによってナレッジの共有を図っていきたいと考えています。
取得プロジェクトを通して、情報セキュリティマネジメントの基盤を整備することができました。しかし本当に重要なのはこれからです。今後の業務拡大に合わせて、無駄をそぎ落としたり、有効性を一層高めたり、運用しながらブラッシュアップし続けていくことが大切だと考えています。
その中で、ISMSやPマークのベースとなる規格が変わったり、マイナンバーのような制度改革があったりした場合には、我々だけで対応することが難しくなることが考えられます。そのような場合には相談窓口として、再びLRMにサポートを依頼することも考えられます。その際はよろしくお願いいたします。
自社にとっての必要なセキュリティを認識している会社でしたので、取り組みは非常にスムーズに進みました。
株式会社日テレITプロデュース様、お忙しい中、有り難うございました。
※株式会社日テレITプロデュース様のWebサイト
※取材時期 2016年5月