ビービーメディア株式会社 様 – 顧客事例 –

ISMS・Pマークの運用支援はLRM株式会社へ

ビービーメディア株式会社 様 – 顧客事例 –

認証取得以来の足踏み状態を変えるためにLRM運用改善サポートを導入。窮屈な規格にしがみつく必要がなくなりISMSのハードルが一気に下がりました

都内最大級にてワンストップのブランドコンテンツ制作事業を行うビービーメディア株式会社は、2007年3月の認証取得以来、コンサルティング会社のサポートを受けてISMS/ISO27001の継続的な運用に努めてきました。その同社が、2016年2月の審査を機に運用の見直しを決定。その際にサポートの依頼先として選んだのがLRMです。運用見直しの決定からコンサルティング会社選定までの経緯と、その成果、さらに今後のビジョンについて、経営管理部 情報システムマネージャー・今井聖二氏にお話を伺いました。

ビービーメディア

(ビービーメディア株式会社について)

東京タワーが竣工した1958年に設立されたTVCM・映像制作会社を母体として誕生した広告制作プロダクション。TVCMを中心にしつつ、YouTube動画、デジタルサイネージ、VRを使ったインスタレーションやプロジェクションマッピングなどの制作を行っている。B to C、B to B問わず大手広告主のレギュラー案件で多数の実績を持つTVCM映像制作ノウハウと、インターネット黎明期から携わってきたWEB制作ノウハウ、さらにテクノロジーの融合によって、既存メディアにとらわれない「新しいコミュニケーション」を開発・模索するプロダクションとして事業を展開中である。第55回JAA広告賞 消費者が選んだ広告コンクールWeb広告 “グランプリ”受賞(2016年)をはじめ、広告アワードの受賞歴も多数。
設立;1999年2月。従業員数;約111名(2016年12月現在)。本社;東京都港区。

ISMS/ISO27001運用改善サポート『情報セキュリティ倶楽部』を契約

– LRMとの契約内容をお話ください。

弊社はLRMとISMS/ISO27001(以下、ISMS)の運用改善サポート『情報セキュリティ倶楽部』の訪問サポートコースを契約しています。2か月に1回のペースでISMS委員会の定例会議にアドバイザーとしてご参加いただくことに加え、内部監査の実施、マネジメントレビューの実施、審査立ち合いを依頼しています。
2016年5月からスタートし、もうすぐ1年が経過します。2017年2月には維持審査も済ませました。
2年目も引き続き同じ内容で契約することが決まっています。

ISMS/ISO27001運用の目的と運用体制

ビービーメディア社はTVCM、インタラクティブの両制作部門で数々の広告賞受賞実績を持つ。

ビービーメディア社はTVCM、インタラクティブの
両制作部門で数々の広告賞受賞実績を持つ。

– 御社がISMSを運用する目的をお話ください。

弊社がISMSを運用する目的は、社員に情報セキュリティ意識を植え付けることです。弊社がISMS認証を取得したのは2007年3月です。TVCM制作とインタラクティブ制作を行う会社としては先行した取り組みであると自負しています。

TVCMやWEB制作にあたって広告主からお預かりする情報は非常に機密性の高い情報です。広告主や代理店において発注先における情報セキュリティの取り組みには非常に敏感になっています。万が一、情報セキュリティ事故を起こしてしまえば、制作会社としての対外的な信用は毀損されてしまいます。一方でISMSを取得していれば、社会的な信頼度は高まります。そういう意味ではISMS認証を早期に取得したことはメリットが大きかったと考えています。

– ISMSの運営体制をお話ください。

弊社ではISMS委員会が中心となりISMSを運用しています。ISMS委員会は、委員長と事務局を兼務する私と、各部署から選抜した5名の委員会メンバーで構成されます。内訳は、TVCM映像コンテンツ2名、インタラクティブコンテンツ1名、テクノロジープランニング1名、経営管理部1名です。

– ISMS委員会の活動内容をお話ください。

毎月ミーティングを行い、審査時に明らかになった課題をもとに、PDCAを回していく作業を行っています。ISMSでは毎年、維持審査や更新審査を受審しますが、審査後、委員会ではその際に指摘された項目に対して、いかに取り組むかを決めます。そしてそこで決めた取り組み内容を現場に持ち帰って実施し、毎月の定例会議で実施報告を行ったり、ルールの見直しなどを行ったりしています。

またISMS委員会とは別の取り組みとして、部署ごとにISMSメンバーを任命し、毎月一回、ヒヤリハットやインシデントの報告などを行っています。現場に情報セキュリティ意識の浸透を図ることが目的です。

コンサルティング会社の継続的なサポートが必要な理由と乗り換えの経緯

– LRMとの契約以前はコンサルティング会社のサポートを受けていましたか。

はい。新規取得の際にあるコンサルティング会社と契約し、取得以降も同じコンサルティング会社と運用サポート契約を結んでいました。依頼内容はLRMとの契約と同様です。

– 御社がISMSを運用する上で、コンサルティング会社のサポートを受ける理由をお話ください。

社内の人材だけではISMSに関する知識が十分ではありません。継続して運用する中で生まれる課題を解決していくには、知識が豊富な方のアドバイスが必要です。
また社内への浸透を図る上で、外部の方から説明していただいた方が聞き入れてもらいやすいというメリットもあります。社内の人間同士では、なかなか話を聞いてもらえません。コンサルタントが関与することで、
浸透度合いは格段に高まります。

ただ、認証取得以来サポート契約をしてきたコンサルティング会社では、弊社の意図に沿わなかったため、
依頼先を見直すことにしました。

– 具体的にはどのような点が問題となっていましたか。

私を含めた委員会メンバーは、ISMS運用に対して「本当にこれで良いのか」という不安を持っていました。不安の第一の要因は、「ISMSの規格を、自社の取り組みにどう生かせば良いか」が明確に把握できなかったことです。当時のコンサルタントのサポートは、ISMSの規格の説明に終始し、具体的にどう取り組むべきかといった議論が深まりませんでした。

ISMSの規格はもともと英語で策定されたものですが、日本語訳は非常に難解な言葉で訳されています。
以前のコンサルタントが私達にアドバイスをする時は、その難しい言葉をそのまま使って説明していたこともあり、2013年の規格改定以降も、理解度が高まるまで時間がかかっていました。ISMS運用について常に「これで良いのかな?」という感覚を持ちながら、認証を更新し続けている状態でした。

コンサルティング会社を変える直接のきっかけとなったのは、2016年2月の審査で、マネジメントレビューに対して指摘を受けたことです。当時のコンサルティング会社のマネジメントレビューは、毎回時間にして5分ぐらいで終わっていました。我々自身、内容が薄いのではないかという漠然とした疑念は持っており、
説明を受ける社長自身も「これで大丈夫なのか」と不安がっていました。ただ明確に「ここが問題」と指摘できるだけのISMSの知識がなかったので、漠然とした疑問を持ったまま運用し続けていました。

しかし2016年春の審査で「経営者への説明が十分に出来ていない」という指摘が入ったことで、漠然としていた疑念が確信に変わりました。 そこで、ISMS委員会のメンバーで協議して、ISMSの運用を抜本的に見直すためにコンサルティング会社を変えることに決めました。

TVCM制作業界の事情を理解したコンサルティング会社を選定

「幸松さんは人懐っこい性格で冗談や世間話などができるところも良かったです」(経営管理部 情報システムマネージャー・今井聖二氏)

「幸松さんは人懐っこい性格で
冗談や世間話などができる
ところも良かったです」
(経営管理部 情報システム
マネージャー・今井聖二氏)

– コンサルティング会社選定の経緯をお話ください。

まず審査会社に依頼して、コンサルティング会社を紹介していただきました。そこでご紹介いただいたのがLRMです。そしてその他にインターネット検索で2社をピックアップし、全部で3社のコンサルタントと会って話を聞きました。その中で最もフィットしたのがLRMの幸松さんでした。

– コンサルティング会社の選定段階で重視した条件を教えてください。

選定段階で最も重視したことはTVCM制作会社に対するコンサルティング経験があることです。TVCM制作業界は非常に独特な文化を持っています。TV番組や映画の制作業界とも異なります。以前契約していたコンサルタントは、TVCM業界のことをよく把握していませんでした。今回は業界の事情をご存知の方に依頼したいと考えていました。

ただ、実際に探してみると、TVCM制作会社のコンサルティング経験を持った方はほとんどいませんでした。問い合わせの際に「やっている」とは言いますが、実際に会って話をしてみるとWEB制作会社の経験はあってもTVCM制作会社の経験は持っていないコンサルタントばかりでした。
そもそもISMS認証を取得している映像制作会社自体が少ないので仕方がないかもしれません。

– TVCM制作業界の事情についてお話ください。

TVCMは制作会社が中心となりつつ、人間関係が非常に複雑に入り組んだ状況で制作が進みます。そのため人や情報の管理が非常に困難な業界です。
監督やカメラマンなどのスタッフはほとんど外注の個人事業主です。ただでさえ属性が異なる個人を一律に管理することは困難です。また、A社が受けた案件にB社のプランナーがヘルプに入るなど、本来は競合関係にある制作会社同士で再委託することも珍しくありません。

さらに基本的に紙文化が根強く残った業界であることも管理を難しくしている要因の1つです。企画書や絵コンテなど資料のほとんどは印刷して関係者に配布します。社内資料はわずか2割で、印刷物の8割は外に出すものです。その外部に配布する紙の資料をいかに管理するのかは、業界の事情を知らないコンサルタントではイメージが出来ないと思います。

– そのような状況で、御社はどのような管理をされているのですか。

大事なことは、その管理の難しさを、いかにリスクとして認識するかです。ISMSを運用している制作会社でも契約書を交わすかどうかはケースバイケースです。ISMSの規格に忠実であろうとすればNDAを交わすべきですが、現実として全てのケースで交わすことはできません。そこで、リスクアセスメントによって工程ごとに気を付けるべきポイントを定め、全社で共有していく以外に方法はありません。しかしそうすることでISMSを運用していない制作会社に比べれば、リスクヘッジはできていると考えています。

コンサルティング会社を選定する際に話を聞いた中で、LRMは唯一、TVCMや映像関連の制作会社に対するサポート実績があり、このような事情を、説明するまでもなく理解されていました。
またLRMの幸松さんが私達にISMSの説明をする際に使う言葉は、非常に簡潔でわかりやすかったこともLRMを選定した大きな要因です。他社のコンサルタントは、難解な言葉を使う方ばかりでした。

ISMS/ISO27001の取り組みが社内に浸透し、運用が一歩前進

– LRMと契約して10か月。その間、2017年2月には維持審査も済まされました。LRMの関与による変化をお話ください。

ISMS委員会の定例会議にアドバイザーとして参加し、その時々の議題に応じてご意見をいただくというスタイルは以前と同様です。しかし、LRMとの契約以降は、ISMSの取り組みが会社全体に浸透しました。
同時に、認証取得以来、足踏みし続けていたISMSの取り組みが一歩前進し、PDCAサイクルを回せる状態になりました。ウォーミングアップで苦労している状態から抜け出し、やっとスタートラインに立って歩き出せた実感を持っています。

以下に変化の具体例を挙げます。

(1)ISMS委員会のISMSに対する理解が進んだ
難しいISMS用語を噛み砕いた言葉に置き換えて説明してくれるため、ISMS委員会メンバーのISMSに対する理解が進みました。理解が進んだことで文書作成における手戻りが減りました。以前は、コンサルタントとのコミュニケーションがうまくいかず、意味を取り違えて文書を作成することもあり、やり直し作業が頻繁に発生していました。

(2)規格にしがみつく必要がなくなりハードルが下がった
施策を決める際、LRMは弊社の業務内容を踏まえて「ここだけ押さえておけば大丈夫」という提案をしてくれます。以前は規格に書いてあることを1から10までやらなければいけない感じで非常に窮屈さを感じていました。しかも「本当にこれで良いのかな」と半信半疑でやっていました。LRMとの契約以降は、規格にしがみつく必要がなくなりました。「これで良いんだ!」と簡単に考えられるようになり、ISMSのハードルが一気に下がりました。

(3)現状を把握し、課題の抽出、改善策の検討が出来るようになった
LRMのコンサルティングがスタートして以降、現場からインシデント報告がきちんと上がってくるようになりました。ISMSのルールとして、現場にはインシデント報告を義務付けていますが、以前は年に数件しか報告がありませんでした。要因は、インシデント報告の対象事象を明確化できていなかったことです。
LRMのアドバイスで、情報漏洩やメールの誤送信など重大な事故だけではなく、その一歩手前の事象をも報告の対象に含めると明確に定義したことで、1年足らずで約100件のインシデント報告が上がってきました。
それによって現状を把握し、課題の抽出、改善策の検討に繋げることが出来るようになりました。

(4)定型フォーマットが整理され無駄な作業がなくなった
これまで、申請書などの定型フォーマットは、記入項目が複雑すぎることに加えて、目的がわからないものがありました。ISMSで決められているから仕方なく書いているという状況で、無駄な時間を費やしていました。審査の際にも「何のために必要なのか」という指摘を受けていました。
LRMとの契約以降は、重複しているフォーマットを統合し、15種類から10種類に減らすことができました。また、それぞれの記入項目を必要最小限に絞ったことで、記入の時間が短縮されました。各定型フォーマットが必要な理由も理解できるようになりました。定型フォーマットがシンプルに整理できたことは、維持審査でも高く評価されました。

(5)ISMS運用に役立つ情報の定期配信
コンサルティングとは別に、LRMからメールで毎月1回配信される情報が、情報セキュリティマネジメントの重要性を喚起する良い材料になっています。情報漏洩事故などの最新情報の中から自社にとって有用と思われるコンテンツを抽出して、全社で共有しています。

– 内部監査はいかがでしたか。

内部監査も以前と比較して質が向上し、審査員から高く評価されました。

内部監査では、部門ごとに現場を視察し、社員にヒアリングをしながら課題や問題点を抽出していきます。
そして抽出した課題や問題点を改善した上で審査に臨むのが本来の流れです。しかし、以前のコンサルタントの時は、ほとんど課題や問題点が抽出されず、審査で沢山の指摘を受けるという状況でした。

それに対して今回は、内部監査でしっかりと課題・問題を抽出し、審査までに改善することが出来たため、
審査では、もう1段階上のレベルでチェックしていただくことができました。

– 前回の審査で指摘されたマネジメントレビューはいかがでしたか。

LRMは1時間ぐらいかけて丁寧に実施してくれました。同業他社の事故事例なども盛り込んでいただいたことで、経営者も「しっかり理解ができた」と評価していました。

「難解な規格を簡単な言葉に置き換えて説明してくれるのでISMSに対する理解が進みました」(右;今井氏)

「難解な規格を簡単な言葉に置き換えて説明してくれるので
ISMSに対する理解が進みました」(右;今井氏)

ISMSの運用には経験値の高いコンサルティング会社が不可欠

– ISMS運用における今後の課題をお話ください。

直近の課題は、今回の審査で出てきた指摘事項の改善です。今回、インシデント報告がきちんと上がってくる土壌を作ることができましたが、審査では、インシデント報告で終わらせるのではなく、そのインシデントの原因をつきとめて対策を講じ、効果測定まできちんとやるようにとの指摘を受けました。次年度はLRMと一緒に、インシデント報告に対する改善と防止策を講じ、効果測定まで実施するフローを確立して、同じようなインシデントを1件でも減らすように取り組んでいきたいと考えています。

長期的には、TVCM映像制作という独特の文化を持った業界でも、より情報セキュリティ意識を高めていく努力は必要であると感じています。物の管理という単純なことから始まり、注意喚起などによる意識付けをきちんとやっていくことは必要になるでしょう。もちろん社内への意識付けも継続していく必要があります。
まだ全員が同じベクトルに向いているわけではありませんし、新しいメンバーも加わりますので、きちんとベクトルを揃えられるような取り組みは継続して取り組んでいかなければいけません。

– 2年目も1年目と同様のサポート内容で契約することに決めたとのことですが、理由をお話ください。

ISMSの運用レベルが上がったとはいっても、PDCAサイクルは回し続けなければいけません。そのためには相談相手が必要です。なぜなら自分たちだけでは規格に適合しているかどうかを判断することが出来ないからです。「適合性評価制度」と言うように、規格通りに運用できているかどうかをチェックするのがISMS審査です。社内に専門家がいない限り、コンサルティング会社のサポートは不可欠です。

特に、TVCMとインタラクティブの制作会社でISMS認証を受けている会社は少数です。我々自身で事例を探ろうとしても不可能に近い状況です。LRMとの契約以降、他社の情報なども把握できるようになり、ISMS運用のヒントになっています。経験値が高いコンサルティング会社にサポートしていただくことは、確実にISMS運用体制のフォローアップにつながっています。今後もこの状況を維持していきたいと考えています。

ビービーメディア株式会社様、お忙しい中、有り難うございました。

ビービーメディア株式会社様、お忙しい中、有り難うございました。

ビービーメディア株式会社様のWebサイト
※取材日時 2017年4月

情報セキュリティ倶楽部に関するお問い合わせ・無料相談

ISMSやPマークの運用サポートについて、何でもお気軽にご相談ください。
各サポートコースの月額費用は訪問回数によって変わってきますが、
カスタマイズした個別のサポート内容のご提案も可能です。
まずはコンサルタントが直接、現状の課題・お悩みをヒアリングさせていただきます。

お問い合わせフォームはこちらから