株式会社ホンヤク社 様 – 顧客事例 –
※本事例での情報セキュリティ俱楽部プランは旧プランでのご提供となっており、現在のプラン内容とは一部異なる場合がございます。現在のプラン内容については、料金・プランページをご確認ください。
プライバシーマーク、ISMS/ISO27001認証の運用に課題を持っていたという株式会社ホンヤク社は、2018年2月、その課題解決に向けたサポートをLRMに依頼しました。同社が抱えていた課題や、その課題解決に向けてLRMと一緒に取り組んだ成果などについて、情報セキュリティ委員会の執行役員 成田氏とコーポレート部 羽生氏のお二人に話を伺いました。
もくじ
(株式会社ホンヤク社について)
翻訳事業を主力とし、法人における多言語展開のトータルソリューションを提供している。企業における各種ドキュメント類の翻訳を始め、特許・法律・金融などの専門翻訳、官公庁や政府などの外交文書の翻訳など、様々な分野・業種に対応する。中でも強みを持つのが工業分野。工作機械のマニュアルや取扱説明書の翻訳、販促物やWebサイトの外国語版制作、外国語による契約書の作成などをワンストップで受託している。単発で翻訳業務を請け負うだけではなく、長期継続的な取り引きの中で、取引先における翻訳の対象となるドキュメントデータの管理までサポートすることで、作業効率化およびコスト低減に寄与している。また海外からの来客時や海外現地法人との電話会議などで必要とされる通訳業務を受託する他、人材派遣事業も行っている。近年は機械翻訳や通訳機などの最新テクノロジーも活かしながら、顧客にとってのより良いサービスを追求している。
設立;1972年。本社;東京都港区。従業員数;約60名。
ISMS&プライバシーマーク運用改善サポート『情報セキュリティ倶楽部』を契約
–LRMへのご依頼内容をお話し下さい。
弊社は2017年2月、LRMとISMS/ISO27001(以下、ISMS)とプライバシーマーク(以下、Pマーク)の運用改善サポート『情報セキュリティ倶楽部』を契約しました。担当者は吉村さんで、2ヶ月に1回の訪問と、電話・メールによるサポートをしていただいています。
弊社は2014年にPマーク、2016年にISMS認証を取得して運用してきましたが、LRMのサポートを受けたことで改めて自社に合った情報セキュリティマネジメントシステムを構築し直すことが出来ました。
ホンヤク社にとっての情報セキュリティマネジメントの重要性
– 御社にとっての情報セキュリティマネジメントの重要性をお話し下さい。
弊社が情報セキュリティマネジメントに取り組む最大の理由は、お客様の情報保護です。
我々は翻訳や通訳といった業務の中で、常にお客様の機密情報に触れています。弊社が最も強みとしている産業分野のお客様の業務では、最新技術に関する情報を扱いますし、例えば公共機関の案件においては、国家運営や国民生活に影響を及ぼす情報を扱いますので、外部への漏えいは絶対に許されません。
従ってお客様に安心して業務を委託していただくには、品質の高い翻訳物や通訳サービスを提供することは当たり前ですが、それ以前にきちんと秘密を守れる体制が整備されている必要があります。特に現在は業務でインターネットを利用することが当たり前となっていますし、外部のクラウドサービスを活用する機会も増えています。その分リスクも高まっておりますので、情報セキュリティ事故を未然に防ぐマネジメントシステムは大変重要であると考えています。
— もともとISMS認証とPマークを取得された理由をお話し下さい。
情報セキュリティの重要性が年々高まる中、弊社は、第三者機関が定める基準に沿って、自社のセキュリティルールを確立すること、お客様からの要請に応えること、という2つの目的を満たすために、PマークとISMS認証を取得しました。Pマークについては、官公庁の案件で入札条件に含まれるケースが増えていたことが取得の動機となりました。一方、事業が拡大する中、弊社においては機密性の高い情報を扱う機会や、お客様との間でデータの受け渡しをする機会が増えておりました。そこでお客様に安心してご依頼いただける体制作りを目指して、ISMS認証を取得しました。
より高いレベルでの情報セキュリティマネジメントが課題に
— Pマーク取得から3年、ISMS認証取得から2年が経った時点で、改めてコンサルティング会社に運用改善サポートをご依頼された理由をお話し下さい。
より高いレベルで情報セキュリティの管理をしたいと考えたことが理由です。
弊社は、ISMS認証やPマークの取得は最終的なゴールではなく、継続的にPDCAサイクルを回して改善すべきものであることは理解していました。そのため新規取得時から情報セキュリティ委員会を組織して活動していましたが、なかなか全社的な取り組みに広がって行かないというジレンマを抱えておりました。
その理由は、情報セキュリティ委員会のメンバー自身、情報セキュリティの本質に対する理解が十分に深まっていないことにあると考えました。自社にとってどのような運用方法が適しているのかを、自分達で考えてルールを決め、全社員に周知徹底して実行してもらえるような取り組みへと発展させるため、改めてその目的に合致したコンサルティング会社のサポートを受けて理解を深めながら、情報セキュリティマネジメントに取り組む体制を再構築することとなりました。
— 情報セキュリティ委員会のメンバーは何名ですか。
現在は5名です。情報セキュリティ委員会で話し合ったことを全社員に落とし込めるよう、各部署から万遍なく選びました。ただ、これまでの2年弱の取り組みの中で、全社に浸透させるにはメンバーが足りないと感じましたので、今後はもう少し増員する計画です。
LRMと契約した決め手は的確なレスポンス
— コンサルティング会社選定の経緯をお話し下さい。
同業者へのコンサルティング実績がある会社を何社かピックアップして、その中から3社ほどとお会いして話を聞いて、最終的にLRMに依頼しました。
— LRMに依頼した決め手をお話し下さい。
営業担当者と話をしている時に最も的確な答えが返ってきたのがLRMでした。他の会社は、私たちの質問の意図から外れた回答が返ってきて、ミスコミュニケーションが起きていると感じることがありました。
— 営業担当者との会話の中で、最も知りたかったことはどんなことでしたか。
自分たちでPDCAが回せるようになるという目的に合致したコンサルティングをしていただけるかどうかです。我々は情報セキュリティマネジメントの究極のゴールは、コンサルタントに頼らずに自分たちで運用していけることであると理解していますので、そのための道筋が描けるかどうかを意識した質問をしていました。そういう意味で期待が持てたのがLRMでした。
「個人に依存しない仕組み作り」を目指した取り組み
— 2017年2月以降、LRMと一緒にどのような取り組みをされて来たのでしょうか。
まず、初めて担当するメンバーもいたため「そもそもPマーク、ISMSとは何か」を、情報セキュリティ委員会メンバーが改めて把握することからスタートしました。ISMSとPマークの主旨や年間を通してやらなければいけないことなどの基本を吉村さんに説明していただきました。
次に取り組みの基本方針を決めました。情報セキュリティ活動を全社的な取り組みにして行くには情報セキュリティ委員会メンバーの入れ替えがあってもスムーズな運用ができる必要があることから、「個人に依存しない仕組み作り」を基本方針に決めました。
その後はISMSの維持審査や更新審査を受審する毎年11月に向け、年ごとにテーマを決め、それぞれのテーマに沿った取り組みをしてきました。
— 1年目の取り組み内容をお話し下さい。
1年目は、PマークとISMSの文書統合を目標に掲げ、ISMSマニュアルの作成に取り組みました。
これまではPマークとISMSの2つのルールが併存する形になっていたため、煩雑化し、形骸化してしまっていた部分もありました。そこでまずは従来の文書類を吉村さんに渡して、コンパクトかつ誰が読んでもわかりやすい表現にまとめて第1稿を作成していただきました。
次にその第1稿と実際の業務を照らし合わせて過不足のある部分や矛盾点を洗い出し、どのように修正すれば良いかを情報セキュリティ委員会の中で議論し、その結果を吉村さんにフィードバックしていただきました。
これにより「個人に依存しない仕組み」の土台を構築することが出来ました。
— 2年目はどのようなテーマで取り組まれたのでしょう。
2年目は、1年目に構築したマネジメントシステムを、より自分たちのルールとして定着させることをテーマに掲げました。ISMS維持審査で指摘された内容を吟味するとともに、我々自身で振り返ってきちんと出来ていない部分を認識し、タスクを決めて取り組みました。また2018年は10月にPマークの更新審査もありましたので、並行してPマークの更新審査に向けた準備を進めました。
— そのような取り組みをする中で、情報セキュリティ委員会の皆さんがLRMの吉村とお話しする機会というのは、2ヶ月に一回の訪問時がメインですか。
対面での打ち合わせ以外にも、電話やメールで相談しています。特に1年目は、我々メンバー自身、改めてISMSやPマークに対する理解が不足していることを認識しておりましたので、メンバー同士で議論した結果どうしても納得できる結論に達しない場合は、適時相談してフィードバックをいただいていました。
情報セキュリティマネジメントを全社的な取り組みへ発展させる段階へ
— LRMのサポートを受ける前と後で大きく変わった点をお話し下さい。
情報セキュリティ委員会の情報セキュリティマネジメントに対する理解が深まったことが最大の変化です。
社内で日々発生するセキュリティリスクに対して、自分たちで判断出来る領域が広がりました。
一般社員から問い合わせがあった際に、ホンヤク社としてのセキュリティポリシーや取り組み方針を根拠とし、これはOK、これはNG、ここに気をつけてなど、自分たちだけの判断で回答出来るようになりました。
— 次の取り組みテーマは決まっているのですか。
2019年11月にはISMSの更新審査を控えています。そこに向けた取り組みテーマとして吉村さんと話し合ったことは、次のステップとしてより能動的な管理が出来る体制を作っていくことです。特に今年の維持審査ではリスクアセスメントのやり方を、より弊社の実情に合わせた形で見直してみてはどうかという観察事項をいただきましたので、弊社により合致したリスクアセスメントの進め方を検討していく考えです。
— 情報セキュリティ委員会のメンバーを増やす計画とおっしゃっていましたが、その理由をお話し下さい。
情報セキュリティ活動を全社的な取り組みにするためです。
この2年弱の取り組みで「個人に依存しない仕組み」の土台が整備され、情報セキュリティ委員会メンバーの理解が深まりましたが、今すぐにメンバーの入れ替えが出来るまで成熟したとは言えません。未成熟なまま急に新しいメンバーに引き継いでも、スムーズな運用はできませんので、今のうちに新しいメンバーに入ってもらって一緒に理解を深めながら、徐々に引き継いでいける状態を作りたいと考えています。
また、今後は、情報セキュリティ委員会メンバーをローテーションで回していくことも視野に入れています。そうすることで当事者意識の醸成を促し、社員一人一人の知恵を持ち寄って全社でしっかり運用していると胸を張って言える体制を整えたいです。
LRMの簡潔な言葉が理解の促進につながった
— LRMとの契約はまだ継続中とのことですが、これまでを振り返って、LRMのコンサルティングをどのようにご評価されていますか。
LRMは、我々自身がどのように運用していきたいのかをきちんと把握した上で、弊社の様々な事情を考慮し、弊社に合った運用方法を考えて下さいました。それが我々の勉強にもなりました。
— 情報セキュリティ委員会メンバーの方々のご理解が深まった要因はどういったところにありますか。
吉村さんがポイントを押さえて簡潔に説明して下さることが最大の要因だと思います。我々は情報セキュリティマネジメントシステムに関しては“赤ん坊”のようなものです。それをきちんと理解して、ISMSやPマークの難解な用語を、そんな私たちでも理解が出来る言葉に翻訳して話をしてくれますので非常に助かります。そのサポートがあったからこそ、情報セキュリティ委員会メンバー同士で議論できるようになったのだと考えています。
–LRMに対する今後のご期待をお話し下さい。
情報セキュリティマネジメントの取り組みは、理想を言えば自社内で全て運用できるようになることがゴールです。しかしいつまで経っても確実に手が届かないと感じることは、関連法令の改定をはじめとする新しい情報のキャッチアップと、それに対する対応です。情報を入手するまでは出来るかも知れませんが、その情報を受けて自分たちはどう対応すれば良いのかを判断することは、今後自社内で運用するための課題です。
これまでに経験したことは自分たちなりにブラッシュアップしていくことが出来ますし、成長していかなければいけません。しかし未経験のことに対する対応は、信頼できる相談相手がいなければ対応できません。
状況は刻一刻と変化していきますので、先を走って私たちを導いていただければ有り難いです。
さらにコーポレートガバナンスの観点では、弊社にはこれまで社外の目が殆どありませんでした。LRMの運用改善サービスでは内部監査員を代行していただいていますが、それを通して我々自身が見たくないことや、蓋をしておきたいことに無影灯のように光を当てていただくことが出来ます。それは社外の方じゃなければいけないし、信頼できる人でないとお任せできません。LRMにはこれからも我々にとって痛いところをついていただきたいと考えています。
株式会社ホンヤク社様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
株式会社ホンヤク社様のWebサイト
※取材日時 2018年12月
情報セキュリティ倶楽部に関するお問い合わせ・無料相談
ISMSやPマークの運用サポートについて、何でもお気軽にご相談ください。
各サポートコースの月額費用は訪問回数によって変わってきますが、
カスタマイズした個別のサポート内容のご提案も可能です。
まずはコンサルタントが直接、現状の課題・お悩みをヒアリングさせていただきます。