ISMS認証を維持するために慌てて教育を実施しても効果はありません。より良い運用を実現するために「セキュリオ」で基礎を反復しています。
- みんなのマーケット株式会社
- 取締役CTO・戸澤様(右)
コーポレート本部長・吉田様(左)
みんなのマーケット株式会社は、ISMS/ISO27001認証の新規取得時に利用した情報セキュリティ支援サービス「セキュリオ」を、認証取得後も継続契約し活用しています。セキュリティ教育の方針と「セキュリオ」の使い方について、取締役CTO・戸澤様、コーポレート本部長・吉田様に話を伺いました。
みんなのマーケット株式会社について
「正直者が馬鹿を見ない世界をつくる」というビジョンを実現し、「人と人が関わるサービスを、安心して取引できる仕組みを提供する」というミッションを果たすべく、インターネット商店街『くらしのマーケット』を運営。『くらしのマーケット』は地域の暮らしに密着したサービスを比較・吟味して利用申し込みができる国内最大級のマーケットプレイスだ。システムのみならず、事業者向けのECコンサルティングの提供によって出店者の売上をサポートする。コツコツと実績を作りながら、持続的な成長を遂げてきた。現在、掲載されているサービスのカテゴリーは、ハウスクリーニング、庭木の剪定、家の修理やリフォーム、不用品回収、引越し、出張カメラマンなど200カテゴリー以上に及び、出店数は累計40,000件を超え(2020年7月現在)、出店者のこだわりや口コミの評価を見て自分に合ったプロを選ぶことができる。豊富なカテゴリーと出店数の多さは、同一カテゴリー内の掲載件数の増加に直結し、相場がわかるなどの強みにも繋がっている。
- 本社:東京都品川区
- 設立:2011年1月
- 従業員数:約100名(2020年10月現在)
- Webサイト:https://minma.jp/
「セキュリオ」の利用状況:年2回の教材コンテンツ配信と法令管理
情報セキュリティ支援サービス「セキュリオ」はいつから利用されているのですか。
(コーポレート本部長・吉田様)
弊社が最初に「セキュリオ」を使用したのはISMS/ISO27001(以下、ISMS)認証新規取得の取り組みの中でのことです。ISMS新規取得にあたってLRMのコンサルティングを受けた際、サポートメニューに含まれていました。ISMS認証を取得した後、2020年3月、ISMSの運用改善サポート『情報セキュリティ倶楽部』と一緒に「セキュリオ」を契約しました。
契約されたプランを教えて下さい。
スタータープラン・月間配信コース(インタビュー当時)です。自社の従業員数に合ったプランを選びました。
貴社では現在、「セキュリオ」をどのように使っておられるのですか。
「セキュリオ」の機能のうち、現在弊社が使っているのはeラーニングと法令管理です。
eラーニング
ISMSでは、従業員が情報セキュリティに関する知識・技能を十分に備えており、かつそれを証明できている必要があります。
「知識・技能を十分に備えていることの証明」は、一般的には従業員教育・テストを実施し、その結果をもって証明するというパターンが多いです。
弊社では基本的に次の維持審査に向けて全従業員が年2回ずつ受講する計画を立てました。スタータープラン・月間配信コース(インタビュー当時)では月間30配信できますので、5ヶ月で一巡するスケジュールで毎月20人に配信します。一巡目は、2020年3月からスタートし7月に完了しました。10月から2巡目をスタートさせます。また、中途で入社する社員にも、入社時の研修として受講してもらっています。
法令管理
ISMSでは、自社に関係する法令について、最新版を認識しておく必要があります。
弊社にとっては個人情報保護法と景品表示法が関連しますので、この2つを登録し必要な時にチェックできるようにしています。
情報セキュリティ意識を定着させるフェーズ。「セキュリオ」で基礎を徹底
お二人はISMS運用には、どのようなお立場で関わっておられるのですか。
戸澤が情報セキュリティ管理者、吉田がISMS担当者を務めています。ISMS認証新規取得の取り組みでは、ISMS事務局のメンバーとしてLRMと打ち合わせを重ねながら、ルール作りをおこないました。
eラーニングの教材コンテンツはどのように選んでおられるのですか。
今年の1巡目は、教材一覧の中で最もオーソドックスだと思われる、「情報セキュリティ定期研修」を配信しました。
それは新規取得の際に受講されたコンテンツとは違うものですか。
はい、違うものです。
新規取得の際は、ISMSに特化した「情報セキュリティ基本研修」を配信しました。
- LRMより
- 「セキュリオ」のeラーニング機能には、毎月1つ新しい教材が追加され、追加料金なしでご自由にご利用可能です。
また、そのうち年に2回は、普段の教材よりもボリュームのある「情報セキュリティ定期研修」という情報セキュリティに関する最新トピックと事故事例をまとめた教材を提供しております。
コンテンツ選定の前提として、どのような方針を立てておられるのでしょうか。
現在は、まず従業員に対し、「私達の会社にはISMSというものがあり、認証を受けている」ということ、「ISMSの運用を継続し、認証を維持していくためには、少なくとも年に1回は研修を受ける必要がある」ということを意識づけるフェーズであると考えています。
今後、フェーズが進んでいけば、もっと具体的に、例えば個々の業務に合わせて配信内容を変えていくということはあるかもしれません。10月以降の2巡目も、この方針に沿ってコンテンツを選定し、配信予定です。
新規取得の際に受けた研修では、そういった意識付けはできないのでしょうか。
きりがないかも知れませんが、一回だけでは定着しないと思います。また新しいバージョンには、情報セキュリティ事故などの最新事例が組み込まれているため、基礎研修を繰り返すことに一定の意味はあると考えています。
審査を受けるためだけに実施する従業員教育では意味がない
ISMSに取り組み始めたきっかけをお話し下さい。
(取締役CTO・戸澤様)
ISMS取得という具体的な取り組み以前に、社内でセキュリティを意識するきっかけがあったため、その際に簡単な規定を独自に作りました。その後さらに、従業員数や拠点が増えることで、リスクも増加して来ましたので、もう少し体系立てたルール作りをする必要があると考えるようになり、ISMS認証取得に取り組み始めました。それが2019年8月です。LRMにコンサルティングを依頼して、2020年2月にISMS認証を取得しました。
プライバシーマーク(以下、Pマーク)ではなくISMSを選択されたのですね。
検討し始めた当時は違いがわからなかったので、LRMに相談してISMSに決めました。ISMSですと、会社に合ったマネジメントシステムを柔軟に構築できることが決め手になりました。結果的に全社取得となりましたが、適用範囲を決められるという点にも柔軟性を感じました。
ISMS認証取得後、社内の変化を感じることはございますか。
ISMS認証を取得したことで情報セキュリティについての対外的な信用は担保できるようになりました。また、目的通り、体系立てたルール作りができました。さらに従業員の意識も向上しました。
意識の変化はどのようなところで感じられますか。
ISMS認証取得の取り組み期間中、従業員が自主的に勉強会を開催していました。「管理者だけではなく、実際に業務で情報を扱う本人達が理解していなければならないので、その理解度をまずは一定のレベルまで引き上げ、きちんと自分たちのものにしていこう」という意識の表れだと感じましたし、その出来事によって、ISMSの本質的な部分は理解されているとも感じました。
また、情報の取り扱い方で何かわからないことがあった時の問い合わせが増えていることからも、意識の高まりは感じます。問い合わせが来ると言うことは意識して考えているということですし、ある程度ルールも浸透しているということだと認識しています。
ただし、情報セキュリティの取り組みはISMS認証を取得して終わりではありません。求められていることは、情報セキュリティ意識を持って業務に取り組んでいる状態を維持することです。従業員教育も年に1回、審査を受けるために慌てて実施するということでは意味がありません。何度も繰り返すことで、より効果的な運用ができるようになると考えています。
ISMS運用の工数削減が「セキュリオ」を利用するメリット
そういった中で、「セキュリオ」を使うメリットをお話し下さい。
従業員教育に関しては、次の2点がメリットだと考えています。
最新のコンテンツを用意する手間が省ける
従業員教育に関しては、教材コンテンツを我々自身で考えて用意することが大変です。しかも実効性を追求すれば、社会情勢に合わせたコンテンツを用意する必要があります。毎年、アップデートしていくコストを抑えられることは1つのメリットです。
管理がしやすい
誰が受講していないかが一目瞭然ですし、テストの結果も把握できます。実施状況を可視化できることは、管理する側としては安心要素になっています。きちんと理解できているかどうか、理解できていないとすれば、どのあたりが弱いのか、といったことも可視化できますので、取り組み方針を考える上で参考になります。
法令管理はいかがですか。
eラーニングのコンテンツ作成同様、頻繁に改正される法令を常に追いかけておくことは非常に大変です。「セキュリオ」では、更新情報や改定履歴まで確認することができます。維持審査や更新審査の際にはそのまま活用できるので便利です。
完全リモートワークへ移行。ますます高まる情報セキュリティの重要性
貴社はフルリモートワークに移行すべく準備を進めておられると伺いました。
はい。すでに移行しており、オフィスは大幅に縮小しています。近くに住んでいる社員が集まってくるケースはあるかも知れませんが、基本的には集まらなくて良いような体制になっていくと思います。すでに国内だけではなく世界中で採用を開始しています。海外でもこの夏から現地に住んだまま勤務している方が1名います。
そういう意味でも情報セキュリティの重要性が高まっているとは言えそうですね。
そうですね。国内の数か所に散らばって勤務していたら、いちいちチェックすることは困難です。新型コロナウイルス感染症が拡大し始めた際に、リモートワーク時のルールを定めてISMSのマニュアルに追加しましたので、「セキュリオ」を活用しながら、しっかり定着させていきたいと考えています。
今後の情報セキュリティの取り組みについてお話し下さい。
情報セキュリティは事業を拡大していく上で、外部に対しても内部に対しても、重要な土台の1つです。今後は、人や取引先が増えるなど、様々な変化があると思いますが、ユーザーの立場に立てば、そこがセキュリティの穴となるような会社のサービスに登録したいとは考えないでしょう。会社のカルチャーや業務などに合わせて仕組みを変えられるのがISMSです。自分達がやりにくい方法でやっても続かないと思いますので、PDCAを回しながらより良い方法を見つけて最適化していきたいと考えています。
「セキュリオ」への御期待はございますか。
まだ使っていない機能の中に委託先管理の機能が付いています。弊社においても一部の業務を外部に委託していますので、今後利用を検討したいと考えています。
また、eラーニングのテスト結果が合格点に達しなかったユーザーには、再受講をしてもらっているのですが、現在は再受講の催促を手動でおこなっています。今後、未合格者に自動で催促される機能が追加されたら有り難いです。
みんなのマーケット株式会社の皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
取材日:2020年10月
