ヒューマンネットワーク株式会社 様 – 顧客事例 –

LRMのISMS運用保守コンサルティングでISMSのスリム化が実現しました。事務局の業務量が大幅に減り、社内の協力も得やすくなりました。
        

※本事例での情報セキュリティ俱楽部プランは旧プランでのご提供となっており、現在のプラン内容とは一部異なる場合がございます。現在のプラン内容については、料金・プランページをご確認ください。

2005年、業界に先駆けてISMS/ISO27001認証を取得したヒューマンネットワーク株式会社は、2012年3月、LRMにISMS保守運用コンサルティングを依頼し、現在に至っています。
取得から7年後に外部コンサルティング会社のサポートが必要となった理由やLRMに委託したことによる成果について、ISMS事務局の佐々木育子氏、吉田仁美氏、松下明世氏に伺いました。

(ヒューマンネットワーク株式会社について)

humannetwork

経営者保険(法人保険)に特化した生命保険代理店。生命保険の活用により、事業承継や相続など、企業のオーナー経営者が抱える様々な経営課題の解決を図る。同社を通して保険を契約する法人の数は全国で約1400社以上、年間取扱保険料は約100億円に達する(2015年現在)。
強みは人材力と組織力である。プランニングや契約後のアフターフォローに至るまで、保険のプロフェッショナルで構成するチーム全体で、クライアントをサポートする。その実績により大手保険会社からの信頼も厚い。代理店契約を結ぶ保険会社の数も着実に増やしており、現在は約20社の保険を取り扱う。
設立;1999年。本社;東京。従業員数53名(2015年4月現在)。

LRMにISMS/ISO27001運用保守コンサルティングを依頼

– LRMへの依頼内容をお話し下さい。

弊社は、LRMにISMS/ISO27001(以下、ISMS)認証の運用保守コンサルティングを依頼しています。LRMの担当者は幸松さんです。1か月に1度、弊社を訪問していただき、2時間ぐらい打ち合わせをします。弊社側は、ISMS事務局メンバーが対応しています。

打ち合わせの内容は、ISMS運用のPDCAサイクルを回す際に、その時々で発生する問題や課題全てです。例えば現在であれば、マイナンバー制度への対応が課題となっています。また、弊社特有の課題としては、代理店契約を結ぶ保険会社から様々なタイミングで上がってくる要望があります。その要望に応える際も、ISMSの要求事項に合わせて仕組み化する必要があります。LRMとの打ち合わせでは、このような外部環境の変化や内部環境の変化に合わせたルールの変更や追加、それに伴う文書類の改定などについて相談しています。

– 保険会社からの要望はどれぐらいの頻度で発生するのですか。

約20社の保険会社のうち、毎年何社かからは必ず、何らかの要望が発生します。保険会社には金融庁の監査が入ります。その際に何らかの指摘があると、代理店にもその都度要望が送られてきます。
指摘事項は保険会社によって様々なので、代理店は保険会社ごとに対応する必要があります。

LRMのコンサルティングがスタートしたのは、2012年3月です。以降、2年半の間に、我々のISMSの知識に関する理解度が非常に向上したと感じています。

リソース不足の解消を目的としてLRMと契約

幸松さんは弊社のニーズを理解して確実に実現してくれます(社長室 松下明世氏)

幸松さんは弊社のニーズを理解して確実に実現してくれます
(社長室 松下明世氏)

– ISMS運用においてコンサルタントのサポートを受けようと思った経緯をお話しください。

きっかけは社内のリソース不足を解消するためでした。現在の事務局メンバーは3名です。人事総務部から2名、社長室から1名という構成になっています。以前は、営業部などからもメンバーが選ばれ、5名はいました。
しかし2012年、事業拡大に伴い、営業は営業に専念する方針を取り始め、事務局の人員を削減しました。その一方で保険業界における情報セキュリティに関する意識の高まりなどもあり、対応しきれない状態となったことで、LRMにサポートを依頼することになりました。

– 委託先としてLRMを選定した理由をお話し下さい。

LRM代表の幸松さんが情報セキュリティ全般のコンサルタント、ISMSの審査員として経験が豊富であることが、LRMと契約する決め手となりました。
新規取得の際に契約していたコンサルタントはいましたが、時代も大分変わってきたので、改めて委託できるコンサルティング会社を探しました。同じタイミングで審査機関も、金融機関に強いところに変えています。幸松さんは、その審査機関から審査員業務を受託しているというご縁もありました。

ISMS/ISO27001の有効性:サービス品質と信用力の向上

— ISMS認証を取得した時期はいつですか。

弊社がISMS認証を取得したのは2005年です。まだ一般的に取得企業が少ない中、保険代理店として国内第1号の取得でした。当時、企業の取り組み課題として情報セキュリティマネジメントが注目され始めたばかりでしたが、いずれ必要になるという認識を持ち、業界に先駆けて取り組むことになりました。

– 保険代理店としてISMSに取り組むメリットをお話し下さい。

生命保険の契約業務を通して、オーナー経営者様から大切な情報をお預かりする以上、その情報そのものや情報を取り扱うフローを適切に管理することは、サービスのクォリティを上げる意味でも非常に重要です。弊社がISMSの運用をスタートさせて10年が経過しましたが、この間、社員にはルールに沿った行動が身に着いており、それが情報セキュリティ事故を未然に防ぐ抑止力になっています。何か問題が起こればきちんと報告が上がってきますし、業務を進める上で迷うことがあれば「ISMS上はどう処理すればいいか」と事務局に問い合わせてくるようになりました。もともと金融業界で働いているという自覚を持った社員ばかりなので、意識は高いと思いますが、より業務レベルが向上したと感じています。

また、代理店契約を結ぶ保険会社も情報管理に厳しくなっており、代理店は保険会社各社から年に1度の点検や数年ごとの監査を受けています。情報セキュリティの重要性は益々高まっていると実感していますが、ISMSの運用には、そういった点検や監査への対応を格段にスマート化するメリットもあります。
保険会社が確認したいことは、お客様からお預かりする情報の保管状態やそのためのフロー、あるいは従業員教育の実態などです。それらはISMS活動の中で行っていることであり、書類には保険会社がチェックしたいポイントが全て記録されています。従って、保険会社の点検や監査への対応はISMSの書類を見せればクリアできます。複数の保険会社から点検や監査があっても手間暇はかかりません。

クレーム対策にISMS/ISO27001のフレームワークを活用

まだわからないことも多いので今後のサポートにも期待しています(人事総務部 吉田仁美氏)

まだわからないことも多いので今後のサポートにも期待しています
(人事総務部 吉田仁美氏)

– ISMS活動について教えて下さい。

ISMS活動は、1年間のPDCAサイクルに基づいて行っています。活動内容の大枠は毎年決まっていますが、法改正や規格改定など外部環境の変化、保険会社からの要望などがあれば、それらに応じたメニューを加え、維持審査または更新審査に向けた年間スケジュールを年初に組み、そこで組まれたタスクを事務局が中心となって粛々と進めていくイメージです。

毎年必ず行うことは、従業員教育や運用しているルールの有効性を測定する有効性テスト、そしてスケジュール通りに活動が進んでいるかどうかをチェックするマネジメントレビューや内部監査などです。
事務局の役割としては、そのような活動と並行して、社内にISMSの意識を浸透させるための啓蒙活動、従業員教育なども含まれます。それらの取り組みを通して徹底できていない問題が抽出されれば、管理職が集まる会議などを通じて部署ごとに現場での徹底をお願いします。

– 過去の取り組み事例をご紹介いただけますか。

例えば2014年度は、2013年に改訂されたISMS規格への対応の他に、ISMSのクレーム対策の仕組み化に取り組みました。クレーム対応は本来、ISMSの範囲には含まれませんが、ISMSのフレームワークが活用できるために組み込みました。
本来クレームはない方が良いものです。弊社のメンバーもゼロにすべく取り組んでいますが、従来はクレームを回収して会社にフィードバックする仕組みがありませんでした。案件ごとに担当者ベースで対応し、担当者では対応しきれない案件は役職者や経営層が対応してきました。社員にクレームを隠す意図はなくても、明確なルールがなかったため個人で抱え込んでしまって、問題が大きくなる可能性はあります。近年は保険会社がクレームに敏感になっていることもあり、弊社ではクレーム対応と会社へのフィードバックに関するルールを決めることになりました。その際、ISMSのPDCAサイクルが、クレーム対策にも適用できるということで、ISMSのフレームワークに組み込むことになったのです。
現在では、クレームが発生したら基本的に担当者とその担当者が所属するチームで対応し、再発防止をISMS事務局が考えるという仕組みになっています。これは情報セキュリティに関わる事故を回収する仕組みと同じです。

このようにISMSのフレームワークは、情報セキュリティマネジメントに限らない広範囲で活用することが出来ます。クレーム処理の他、預り証の運用なども行っています。さらに現在、2016年の保険業法の改正に向けてマニュアルを作っているのですが、これもISMSのマニュアルに落とし込む作業を行っています。

LRMとともにISMS/ISO27001のスリム化を実現

LRMのサポートでISMSが運用できる仕組みになりました(人事総務部 課長 佐々木育子氏)

LRMのサポートでISMSが運用できる仕組みになりました
(人事総務部課長 佐々木育子氏)

– そのような取り組みの中で、LRMはどのような役割を果たしているのでしょうか。

最初にLRMと一緒に取り組んだことは、ISMSのスリム化です。ISMSを業務の中できちんと活用できるようブラッシュアップしました。そしてその後も、その状態を維持するためのサポートをしてもらっています。

ISMSのスリム化とは、書類や様式類の簡素化、合理化です。不要なものは割愛して、まとめられるものはひとまとめにしました。以前はマニュアル(手順書)が24種類ありました。それを主要文書2種類(一般社員用のマニュアルと管理者用マニュアル)と、付随する文書4種類(事業継続、情報システムなど)の6種類に減らしました。また、様式類は約50種類あったものを約30種類に減らしました。

スリム化したことで弊社の業務に即したマネジメントシステムが出来上がったと感じています。
ISMS活動が仕事の一貫として回るようになりました。初期構築の段階では、認証を取得・維持するためのマネジメントシステムであり、ISMSと実際の業務が全くリンクしていませんでした。

– ISMSと業務がリンクしていないことでどのような問題がありましたか。

保険代理店の本来の業務には不要な書類を作る必要があるなど、一般社員の現場の業務も、事務局の管理業務も煩雑になっていました。業務量も非常に多くなり、大変苦労をしていました。

このような状況だったため、LRMのサポートを受ける前のISMS活動は毎年「今年もISMSを維持するのかどうか」を検討することからスタートしていました。しかしLRMのサポートを受け始めてからは、今後も維持する前提で前向きな話からスタート出来るようになりました。

– その他、LRMが関わり始めてからの変化があれば教えてください。

(1)ISMSに関するリテラシーの向上
LRMのサポートを受け始める以前は、ISMSの規格要求事項に出てくる専門用語が理解できておらず、用語をインターネットで検索するところからスタートするような状態でした。また、以前は、ISMSを企業主体に考えて業務が円滑に進むような仕組みにアレンジして良いという概念がありませんでした。そのため、ISMSの規格にある要求事項に忠実なだけで、弊社の業務とはかけ離れたマネジメントシステムとなってしまったのです。
LRMのサポートを受け始めてから、ISMSの専門知識や正しい概念が身に付いたことでやっと運用できる状態にたどり着いたと感じています。

(2)社内の協力姿勢の変化
ISMSのスリム化によって、ISMS活動に対する一般社員の姿勢にも変化が表れています。不要な作業がなくなったことで、従来以上に協力を得やすくなりました。

クライアントのニーズを理解し実現するコンサルティング会社

– LRMのサポートは今後も必要ですか。

今後もLRMのサポートは必要です。LRMのサポートがなければ、弊社のISMS活動は混乱してしまいます。前提として、弊社の事業は拡大の一途を辿っており、そちらにリソースを集中していくことになります。そのためこれ以上、事務局の人数が増える見込みはありません。その一方で事業環境は常に変わり続けるため、情報セキュリティの重要性は今後も増すでしょう。ISMSの規格は5年~8年間ごとに改訂されることもあり、いつでも相談できて的確にサポートしていただける存在は不可欠です。

LRMは、弊社の業務やニーズを理解して確実に実現してくれます。更新審査・維持審査の指摘事項への対応に関しても、合理的な対策を提示してくれるので非常に助かっています。

今後のビジョン

– 今後のビジョンをお話ください。

ISMS事務局としては、業務マニュアルや就業規則なども最終的にはISMSのフレームワークに落とし込んで一本化できれば良いのではないかと考えています。業務そのものや事業継続に必要なルールが一元化できれば、いざとなった時に混乱することなく対応できるなど、メリットは大きいでしょう。
それは今後、会社全体で検討すべき事案ですが、実際に進める際には、LRMのサポートが必要です。
豊富な知識と経験を持ったLRMなら、弊社のニーズや実情に沿って、うまくまとめていただけるものと期待しています。

ヒューマンネットワーク株式会社様、お忙しい中、有り難うございました。
※左端は弊社幸松

ヒューマンネットワーク株式会社様のサイト
※ 取材日時 2015年8月

情報セキュリティ倶楽部に関するお問い合わせ・無料相談

ISMSやPマークの運用サポートについて、何でもお気軽にご相談ください。
各サポートコースの月額費用は訪問回数によって変わってきますが、
カスタマイズした個別のサポート内容のご提案も可能です。
まずはコンサルタントが直接、現状の課題・お悩みをヒアリングさせていただきます。

お問い合わせフォームはこちらから