ヒューマンネットワーク株式会社 様 – 顧客事例 –

経営者保険（法人保険）に特化した生命保険代理店。生命保険の活用により、事業承継や相続など、企業のオーナー経営者が抱える様々な経営課題の解決を図る。同社を通して保険を契約する法人の数は全国で約1400社以上、年間取扱保険料は約100億円に達する（2015年現在）。
強みは人材力と組織力である。プランニングや契約後のアフターフォローに至るまで、保険のプロフェッショナルで構成するチーム全体で、クライアントをサポートする。その実績により大手保険会社からの信頼も厚い。代理店契約を結ぶ保険会社の数も着実に増やしており、現在は約20社の保険を取り扱う。
設立；1999年。本社；東京。従業員数53名（2015年4月現在）。

–　LRMへの依頼内容をお話し下さい。

弊社は、LRMにISMS/ISO27001（以下、ISMS）認証の運用保守コンサルティングを依頼しています。LRMの担当者は幸松さんです。1か月に1度、弊社を訪問していただき、2時間ぐらい打ち合わせをします。弊社側は、ISMS事務局メンバーが対応しています。

打ち合わせの内容は、ISMS運用のPDCAサイクルを回す際に、その時々で発生する問題や課題全てです。例えば現在であれば、マイナンバー制度への対応が課題となっています。また、弊社特有の課題としては、代理店契約を結ぶ保険会社から様々なタイミングで上がってくる要望があります。その要望に応える際も、ISMSの要求事項に合わせて仕組み化する必要があります。LRMとの打ち合わせでは、このような外部環境の変化や内部環境の変化に合わせたルールの変更や追加、それに伴う文書類の改定などについて相談しています。

–　保険会社からの要望はどれぐらいの頻度で発生するのですか。

約20社の保険会社のうち、毎年何社かからは必ず、何らかの要望が発生します。保険会社には金融庁の監査が入ります。その際に何らかの指摘があると、代理店にもその都度要望が送られてきます。
指摘事項は保険会社によって様々なので、代理店は保険会社ごとに対応する必要があります。

LRMのコンサルティングがスタートしたのは、2012年3月です。以降、2年半の間に、我々のISMSの知識に関する理解度が非常に向上したと感じています。

–　ISMS運用においてコンサルタントのサポートを受けようと思った経緯をお話しください。

きっかけは社内のリソース不足を解消するためでした。現在の事務局メンバーは3名です。人事総務部から2名、社長室から1名という構成になっています。以前は、営業部などからもメンバーが選ばれ、5名はいました。
しかし2012年、事業拡大に伴い、営業は営業に専念する方針を取り始め、事務局の人員を削減しました。その一方で保険業界における情報セキュリティに関する意識の高まりなどもあり、対応しきれない状態となったことで、LRMにサポートを依頼することになりました。

–　委託先としてLRMを選定した理由をお話し下さい。

LRM代表の幸松さんが情報セキュリティ全般のコンサルタント、ISMSの審査員として経験が豊富であることが、LRMと契約する決め手となりました。
新規取得の際に契約していたコンサルタントはいましたが、時代も大分変わってきたので、改めて委託できるコンサルティング会社を探しました。同じタイミングで審査機関も、金融機関に強いところに変えています。幸松さんは、その審査機関から審査員業務を受託しているというご縁もありました。

–　ISMS活動について教えて下さい。

ISMS活動は、1年間のPDCAサイクルに基づいて行っています。活動内容の大枠は毎年決まっていますが、法改正や規格改定など外部環境の変化、保険会社からの要望などがあれば、それらに応じたメニューを加え、維持審査または更新審査に向けた年間スケジュールを年初に組み、そこで組まれたタスクを事務局が中心となって粛々と進めていくイメージです。

毎年必ず行うことは、従業員教育や運用しているルールの有効性を測定する有効性テスト、そしてスケジュール通りに活動が進んでいるかどうかをチェックするマネジメントレビューや内部監査などです。
事務局の役割としては、そのような活動と並行して、社内にISMSの意識を浸透させるための啓蒙活動、従業員教育なども含まれます。それらの取り組みを通して徹底できていない問題が抽出されれば、管理職が集まる会議などを通じて部署ごとに現場での徹底をお願いします。

–　過去の取り組み事例をご紹介いただけますか。

例えば2014年度は、2013年に改訂されたISMS規格への対応の他に、ISMSのクレーム対策の仕組み化に取り組みました。クレーム対応は本来、ISMSの範囲には含まれませんが、ISMSのフレームワークが活用できるために組み込みました。
本来クレームはない方が良いものです。弊社のメンバーもゼロにすべく取り組んでいますが、従来はクレームを回収して会社にフィードバックする仕組みがありませんでした。案件ごとに担当者ベースで対応し、担当者では対応しきれない案件は役職者や経営層が対応してきました。社員にクレームを隠す意図はなくても、明確なルールがなかったため個人で抱え込んでしまって、問題が大きくなる可能性はあります。近年は保険会社がクレームに敏感になっていることもあり、弊社ではクレーム対応と会社へのフィードバックに関するルールを決めることになりました。その際、ISMSのPDCAサイクルが、クレーム対策にも適用できるということで、ISMSのフレームワークに組み込むことになったのです。
現在では、クレームが発生したら基本的に担当者とその担当者が所属するチームで対応し、再発防止をISMS事務局が考えるという仕組みになっています。これは情報セキュリティに関わる事故を回収する仕組みと同じです。

このようにISMSのフレームワークは、情報セキュリティマネジメントに限らない広範囲で活用することが出来ます。クレーム処理の他、預り証の運用なども行っています。さらに現在、2016年の保険業法の改正に向けてマニュアルを作っているのですが、これもISMSのマニュアルに落とし込む作業を行っています。

–　そのような取り組みの中で、LRMはどのような役割を果たしているのでしょうか。

最初にLRMと一緒に取り組んだことは、ISMSのスリム化です。ISMSを業務の中できちんと活用できるようブラッシュアップしました。そしてその後も、その状態を維持するためのサポートをしてもらっています。

ISMSのスリム化とは、書類や様式類の簡素化、合理化です。不要なものは割愛して、まとめられるものはひとまとめにしました。以前はマニュアル（手順書）が24種類ありました。それを主要文書2種類（一般社員用のマニュアルと管理者用マニュアル）と、付随する文書4種類（事業継続、情報システムなど）の6種類に減らしました。また、様式類は約50種類あったものを約30種類に減らしました。

スリム化したことで弊社の業務に即したマネジメントシステムが出来上がったと感じています。
ISMS活動が仕事の一貫として回るようになりました。初期構築の段階では、認証を取得・維持するためのマネジメントシステムであり、ISMSと実際の業務が全くリンクしていませんでした。

–　ISMSと業務がリンクしていないことでどのような問題がありましたか。

保険代理店の本来の業務には不要な書類を作る必要があるなど、一般社員の現場の業務も、事務局の管理業務も煩雑になっていました。業務量も非常に多くなり、大変苦労をしていました。

このような状況だったため、LRMのサポートを受ける前のISMS活動は毎年「今年もISMSを維持するのかどうか」を検討することからスタートしていました。しかしLRMのサポートを受け始めてからは、今後も維持する前提で前向きな話からスタート出来るようになりました。

–　その他、LRMが関わり始めてからの変化があれば教えてください。

（１）ISMSに関するリテラシーの向上
LRMのサポートを受け始める以前は、ISMSの規格要求事項に出てくる専門用語が理解できておらず、用語をインターネットで検索するところからスタートするような状態でした。また、以前は、ISMSを企業主体に考えて業務が円滑に進むような仕組みにアレンジして良いという概念がありませんでした。そのため、ISMSの規格にある要求事項に忠実なだけで、弊社の業務とはかけ離れたマネジメントシステムとなってしまったのです。
LRMのサポートを受け始めてから、ISMSの専門知識や正しい概念が身に付いたことでやっと運用できる状態にたどり着いたと感じています。

（２）社内の協力姿勢の変化
ISMSのスリム化によって、ISMS活動に対する一般社員の姿勢にも変化が表れています。不要な作業がなくなったことで、従来以上に協力を得やすくなりました。