インキュベクス株式会社 様 – 顧客事例 –

ISMS・Pマークの運用支援はLRM株式会社へ

インキュベクス株式会社 様 – 顧客事例 –

社内のことは社内で解決することが基本。それが会社のメリットになります。LRMのISMS&Pマーク運用改善サポートで正しい情報セキュリティ活動ができるようになりました

10年以上に渡りプライバシーマークとISMS/ISO27001認証を運用し続けているインキュベクス株式会社。2014年10月にはLRMの『情報セキュリティ倶楽部』を契約し、コンサルタントのサポートを受けながら、
情報セキュリティ活動に取り組んでいます。LRMとの契約に至った経緯や、約3年間サポートを受けてきた成果などについて経営管理部 システム担当室 課長・橋本修二氏、経営管理部 PR担当マネージャー・安彦守人氏にお話を伺いました。

インキュベクス

(インキュベクス株式会社について)

「中小企業の営業活性を通じて日本の雇用増大を図る」を経営理念に、成長分野の事業化支援を行うコンサルティング会社である。2000年2月にスタートした人材ビジネス開業運営支援では、約1,200社への支援実績を築いた。現在の主軸事業は、訪問看護ステーション開業運営支援『ケアーズ』である。人材ビジネス開業支援の経験を活かした看護師の採用アドバイス、充実した看護師向けの教育訓練メニューを武器に、介護事業所をはじめ、建設・不動産、システム開発業、サービス業、調剤薬局など、幅広い業種に提案。すでに全国約670社への支援実績を築き、国内最大級の訪問看護ステーションネットワークへと成長している。2017年1月には、自立支援介護の提供を目指し、老人ホーム『介護の王国』のフランチャイズ事業をスタートしている。
本社;横浜市。創立;1995年10月。従業員数;48名(2017年9月現在)。

ISMS/ISO27001とプライバシーマークの運用改善サポート『情報セキュリティ倶楽部』を契約

– LRMへのご依頼内容をお話し下さい。

弊社はLRMと『情報セキュリティ倶楽部』を契約し、ISMS/ISO27001(以下、ISMS)およびプライバシーマーク(以下、Pマーク)の運用改善サポートを受けています。弊社が契約しているのは訪問サポートコースです。年4回の訪問サポートとメール相談を中心としたサービスを受けています。担当者は幸松さんです。2014年10月1日から契約をスタートし、もうすぐ3年が経過します。

ISMS/ISO27001とプライバシーマークを継続的に運用する理由;対外的な信用力の確保

– ISMSおよびPマークを取得し、運用し続ける目的をお話し下さい。

「ISMSやPマークをしっかり運用することは会社のメリットにもつながります」(経営管理部 システム担当室 課長・橋本修二氏)

「ISMSやPマークをしっかり
運用することは会社のメリット
にもつながります」
(経営管理部システム担当室
課長・橋本修二氏)

弊社は2005年にPマーク、翌2006年にISMS認証を取得しました。いずれも当時行っていた事業で公共機関や行政の入札参加条件を満たすことを目的として取得しました。

現在の事業では公共機関や行政の入札案件に参加することはありません。
しかし、医療介護業界はセンシティブな業界であり、信用力が非常に重要です。特に最近は個人情報を扱う機会が増え、従業員の情報セキュリティに対する意識の重要性が増しています。Pマーク、ISMS認証、いずれも取得して10年以上が経ち、社内の情報セキュリティに対する意識はだいぶ定着しましたが、その状況を維持または向上させるためには継続した取り組みが必要です。

また、近年、医療介護業界における弊社の認知度が高まり、社長が大学で講演をするなど、社外の方と情報交換する機会が増えました。そのような機会に接する方々は情報セキュリティに対する感度が高い方々です。ISMSやPマークを取得していることは、そのような場でも信用力を高めてくれます。

さらに、ISMSやPマークを取得していれば、新しい事業を始める際にスムーズに進むケースは少なくありません。

訪問サポートの支援内容と効用

– LRMのサポート内容について詳しくお話しを伺います。まず、訪問サポートはどのようなタイミングで受けるのですか。

訪問サポートでお願いしていることは、ISMSやPマークの定期審査の準備、従業員教育、内部監査、文書類の確認です。

訪問回数は基本的には年4回ですが、必要に応じて増やしています。また、サポート内容も追加することがあります。例えば初年度は、ISMSの認証範囲の拡大と2013年版規格への対応に合わせてマネジメントシステムを再構築するために訪問回数を増やして、文書作成もお願いしました。

– 従業員教育はどのような形でされているのですか。

LRMに講師を代行していただき、講義形式の全体研修を行っています。この時に使うテキストとテストも作成してもらっています。

– 従業員教育を講義形式の全体研修で行う理由を教えて下さい。

eラーニングは各自のスケジュールに合わせて受講できるメリットがありますが、弊社ではなかなか受講率が上がりませんでした。理由は、弊社の場合、営業職とコンサルタント職がメインで、常に多忙な状況で仕事をしていることが挙げられます。また、研修室などで動画を見せても、最後まで集中力を維持することが困難です。目の前で講師が話した方が集中できます。そのため、講義形式の全体研修を実施しています。

– 講師をコンサルタントに務めてもらうメリットをお話し下さい。

LRMに依頼している従業員教育では、最新の動向や事例なども交えて、情報セキュリティの重要性を話してもらいますので、社内の人間が講師を務めるよりも受講する従業員にとっては緊張感を持って受講できますし、勉強にもなっています。

弊社は中途採用者のみで構成される会社なので、年代や社歴、経歴がバラバラですが、入社年次が浅い社員を含めた全体で均質な知識レベルを保つには、安定した質の教育を実施する必要があります。

– 従業員教育として行っていることは、年に1回、LRMが講師を務める全体研修だけですか。

弊社では、不定期に入社する新入社員に対して1日費やして研修を行っています。その研修メニューの中に情報セキュリティの取り組みに関する講義も入っています。そのための教育マニュアルをLRMに作っていただきました。A4用紙1枚にISMSやPマークの要点をまとめたマニュアルです。中途社員の入社が多い弊社では、
意識レベルを⼀定に保つには重要な要素だと感じています。

また、必要に応じて、朝礼などの機会にLRMから配信されるメルマガの記事などをもとにした話をしています。最近は、経営陣からのISMSとPマークの違いが分かりづらいという声に応えて講義を行いました。

– 内部監査員を代行してもらうメリットについてお話し下さい。

内部監査は客観的な視点でチェックし、評価することが重要です。社内の人間は問題があっても気づかずに見落としてしまう可能性があります。また、社員に改善を指摘しても、お互いに身内意識が働いて甘えが生じ改善に結び付きにくい現実があります。見落としのないよう漏れなくチェックして、確実に改善につなげることが出来ることが、内部監査員を代行してもらうメリットです。

新しいサービスを始める時やクラウドサービスの導入時にメールで相談

– メール相談ではどのような相談をされますか。

何か新しいことを始めるにあたって、社内では判断できないことが発生した場合や、早急に解決しなければいけない課題が発生した場合に相談します。(1)新しい事業やサービスを開始する際のルール作り(2)クラウドサービスやIT機器の導入、に関する相談が中心です。

(1)新しい事業やサービスを開始する際のルール作り
弊社では短いサイクルで新しいサービスや事業が立ち上がりますが、事業やサービスによって、関わるプレイヤーや扱う情報、情報の伝達経路などが変わります。弊社とお客様だけではなく、お客様の先のお客様や、
その間に入る委託業者の動きなども考慮したルール作りが必要です。例えば、人材系のサービスでも、人材派遣か採用代行かで雇用主体は変わるため、被雇用者の個人情報の管理方法は変わります。老人ホームの事業でも、運営主体が自社か、支援先の企業かで、ルールは全く異なります。

さらに事業によってマーケティングの仕方も変わります。デジタル広告は法律的にあいまいな部分が多いので解釈が難しい場合が少なくありません。特にFacebook広告は特殊で、弊社が収集した情報を提供しなければいけないこともあります。そこでFacebook広告を使う際に、弊社が持つどのような情報を出すか、同意書は従来通りで良いかといった相談をしました。

LRMと契約をしてからは、ご提供いただいたリスクアセスメント用のマニュアルを自社用にアレンジしたものを使い、ある程度は社内でリスクアセスメントを行うようになりました。しかし既存の事業やサービスでは扱ったことがない情報を扱うケースでは、全く新しいルールを作る必要があるため、どう判断すべきかわからないことがあります。そのような時にLRMに相談しています。

(2)クラウドサービスやIT機器の導入
弊社は業務効率化のためにクラウドサービスを積極的に活用しています。
CRMソリューション「Salesforce」、共有ストレージ「Box」などは従来から活用してきました。ITの活用は経営者自身が推奨していますし、現場からも様々なクラウドツールを使いたいという要望が上がってきます。LRMには、新しいサービスを使いたいという要望が出てきた際にメールで相談し、導入の可否、導入にあたっての注意点や禁止事項などをアドバイスしてもらっています。

これまでに LRMに相談して導入したサービスにはプロジェクト管理ツール「Backlog」があります。LRMから非常に便利だと伺い導入しました。導入して約2年になりますが、社内のプロジェクト管理だけではなく支援先へのサポートなどで活用しています。他には、まだ導入を検討中ですが、介護の現場で使うネットワークカメラの導入に関しても相談しました。

LRMに相談してルール化したことは、その都度、ISMSの文書に反映させます。文書に反映させる際に、LRMから参考資料をいただくこともあります。反映した文書は審査に向けた訪問サポートの際に最終確認をしてもらいます。そして訂正すべき箇所を訂正した上で、審査に臨んでいます。

ISMS/ISO27001とプライバシーマークの運用改善サポートをLRMに依頼した理由

「LRMのサポートを受け始めて正しい活動ができるようになりました」(経営管理部PR担当マネージャー・安彦守人氏)

「LRMのサポートを受け始めて
正しい活動ができるように
なりました」(経営管理部PR
担当マネージャー・安彦守人氏)

– LRMとの契約以前、PマークやISMS認証の新規取得や運用において、コンサルティング会社の関与はありましたか。

各認証の新規取得時は、当時、社内に情報セキュリティの知識やスキルを持った社員が在籍していたので、その者が中心となって取得しました。
その後、その社員が退職したため、外部のコンサルティング会社と契約してISMSとPマークの認証を維持していました。

– PマークおよびISMS運用のコンサルティング会社を変えた理由を教えてください。

PマークとISMS認証を取得して約10年が経過する間に、弊社の業容が拡大し、情報セキュリティマネジメントに取り組む目的が変わってきたことが理由です。

以前のコンサルティング会社は、もともと認証取得企業の工数をゼロにする方針を掲げているコンサルティング会社でした。2か月ごとに訪問していただいてヒアリングを受けていましたが、それは単に、審査を凌ぐためだけのものでした。内部監査やマネジメントレビューも形式的なものでした。

契約を結んだ当時は、一般的に、ISMSやPマークに対する考え方が現在のように成熟していませんでした。認証を取得している企業が現在ほど多くはなく、取得していること自体に価値があるという考え方が一般的でした。弊社自体も、認証を維持することに重きを置いていたので、当初は問題はありませんでした。

ただ、年月が経つにつれて弊害が生じるようになりました。

– どのような弊害ですか。

弊社の業務運用実態とマニュアルに書かれた内容が全く乖離しており、審査では、常にそのことが指摘されるようになりました。特に「Salesforce」などのクラウドサービスの利用については、「情報漏洩リスクが高い」という理由で禁止されていたのですが、実際にはリスクアセスメントすら実施したことがなく、我々もどういう経緯で禁止されたかすらわからない状況で審査を迎え、審査員から指摘されるという状況が続いていました。

そのような中で2014年頃になると、関連会社の設立を含めて業容が拡大し、事業体制強化のためには情報セキュリティの戦略的かつ継続的な取り組みが必要であると考えられるようになっていました。特に弊社は、業務効率化を図るためにクラウドサービスを積極的に活用する方針を掲げていました。そういう意味でも、以前契約していた会社は、弊社の事業スキームに合わなくなっていました。

一方で、ISMSとPマークの運用を担うシステム担当室としてもコンサルタントに丸投げして、よくわからないまま審査を通っている状況は不本意でした。誰が見てもしっかり運用していると認められなければ、従業員はISMSやPマークの認証を取得している意義を感じられません。情報セキュリティの重要性を理解して運用することが従業員の意識レベルを高め、対外的な信用力を強化することに繋がります。それがISMSやPマークを取得しているメリットなのに、このままではそのメリットを生かすことが出来ないと考えるようになりました。

ちょうど、ISMSの関連会社を対象に含めた認証適用範囲の拡大と、2013年版規格への対応という課題が生じたため、それを機にISMSおよびPマーク運用のコンサルティング会社を乗り換えることに決めました。

– ISMSおよびPマーク運用のコンサルティング会社を乗り換える際、どのような基準で選定しましたか。

ITとマーケティングに強い会社を選びました。業容が拡大する中、今後の成長を見据えれば、より戦略的に社内体制を強化する必要があります。そのためにはITとマーケティングは非常に重要です。何社か比較した上で、IT企業のサポート実績が豊富で、自社もWEBマーケティングを実践しているLRMを選びました。

LRMのサポートを受けることで正しい活動ができるようになった

– コンサルティング会社をLRMに変えてから、ISMSやPマークの運用はどのように変わりましたか。

情報セキュリティマネジメントの正しい活動ができるようになったことが最大の変化です。

以前は、弊社の事業内容や業務実態とは無関係に、審査のためだけに作成された文書に合わせて従業員の活動を制限してきました。クラウドサービスの活用も、「審査で指摘を受けたから禁止」と説明するしかない状況でした。現在は、何か新しい事業やサービスが始まる際、または便利なクラウドサービスを使いたいという要望が出てきた際には、きちんとルールを我々自身で決めようという意識と行動が定着しています。

そのように変化した理由は、主に3点あります。

(1)情報セキュリティマネジメントシステムと文書類が実態に合ったものに整理された
LRMのコンサルティングが始まって、最初に着手したのが、情報セキュリティ全体のマネジメントシステムの整理です。ISMSの認証範囲の拡大および2013年版規格への対応に合わせて整理しました。それに伴いISMSの文書類が弊社の実態に即し、私たち自身が読んで納得できるものとなりました。

ISMSの文書類が整理されたことで、社員とのコミュニケーションも取りやすくなりました。現場から問い合わせが来た時に、現在のルールはこうなっていると理路整然と説明できます。また、新しいツールを使いたいといった要望があった時は、ルールにはないから作ろうという話ができます。

(2)リスクアセスメントが自分たちでできるようになった
リスクアセスメントのマニュアルを用いて、自分たちでリスクアセスメントをして、ルールを作ることができるようになりました。特に新しいプロジェクトやサービスが立ち上がったらとりあえずリスクアセスメントを実施することにしています。その上で、我々だけでは判断が出来なかったり、急を要したりする場合には、LRMに相談します。

(3)情報セキュリティ活動の年間スケジュールが明確になった
こちらもLRMのコンサルティングが始まる時に、ISMS活動の年間実施項目管理表を作成してもらいました。それにより、情報セキュリティ活動として1年を通して取り組むべきことが明確になりました。

– ISMSやPマークの審査での評価に変化はありましたか。

審査における評価は劇的に変わりました。以前はマイナス評価しかありませんでした。LRMのサポートが始まってからは、プラス評価が増えました。特にリスクアセスメントについては「これからもこの活動を続けてください」とグッドポイントをいただいています。

– やるべきことが増えて、ご担当者や社員の負担が大きくはなっていませんか。

以前とは異なり、ISMSやPマークの運用を丸投げしているわけではないので、作業量は増えました。
しかし、それは社内の事業環境をより良くするために必要な取り組みです。外部の力を借りることはあっても、社内の問題は基本的には社内で解決しなければいけません。自分たちで考えて意思決定したことなら、何か問題が見つかっても自分たちで改善できます。社内できちんとコミュニケ―ションを取りながら意思決定していくことが重要だと考えています。

ISMSやPマークの運用方針は、企業によって様々だと思いますが、弊社はしっかりと運用していきたいと考えています。その中で、情報セキュリティの担当者として大事にしていることは、現場から上がってくる要望を可能な限り実現していくことです。

中には企業として簡単には容認できない要望もあります。例えば社外との連絡手段として「LINE」を使うことです。「LINE」は個人アカウントで使うものなので、無制限に使用を許可するわけにはいきません。しかし、現場としてはどうしても必要だったため、会社としてアカウントを管理できる環境を作って、その環境下に限って使えるようにしました。

これまでは納得できる理由を示せないまま禁止せざるを得ませんでしたが、今はやってはいけないことの基準や理由を明確に示し、その上で要望に近づけるためにどうするかという議論ができます。このような方針に対しては、現場で働く社員たちからも理解が得られるようになったと考えています。

「ルールが整理されて、自社の実態に即したものとなったため社内のコミュニケーションが円滑になりました」(左から;安彦氏、橋本氏) ※右は弊社幸松

「ルールが整理されて、自社の実態に即したものとなったため社内の
コミュニケーションが円滑になりました」(左から;安彦氏、橋本氏) ※右は弊社幸松

情報セキュリティで困ったらインターネット検索よりも先にLRMに相談

– LRMのサポートを受けて3年が経過しようとしています。LRMのコンサルティングをどのようにご評価されていますか。

LRMの幸松さんは相談がしやすいコンサルタントです。自社でリスクアセスメントをしてルール化することが基本ですが、その中でわからないことや判断が難しいこと、すぐに対策を打つ必要があった時に、とりあえず相談しようと思えます。どんな相談をしても迅速かつ的確に対応していただけるので、ためらいなく相談できます。困った時はインターネット検索よりも先に、とりあえずLRMに相談し、LRMのアドバイスを聞いてから考えるようにしています。「ググる」よりも「LRMる」。情報セキュリティに関してはそれぐらい頼りにしています。

情報セキュリティ活動に関する今後のビジョン

– 情報セキュリティ活動に関して今後のビジョンなどがあればお話し下さい。

ISMSやPマークの審査の時に良い評価をいただけるようになったとはいえ、まだまだ改善すべき余地はあります。

例えば現在、LRMに相談しているのはPマークの文書類の整理です。LRMにコンサルティングを依頼した初年度は、システム担当室のメンバーが1人だったため、Pマークまでは手が回らず、ISMSを軸にマネジメントシステムを再構築しました。Pマークの改善は、出来る範囲で留めたため、次回のPマーク更新に向け、改めて整理しなおしたいと考えています。

また、社内のペーパーレス化にも取り組んでいます。情報漏洩などのリスクを減らし、業務を効率化するには、紙を減らさなければいけないということは誰もが理解していますが、これまでの文化を変えることは容易ではありません。どのようなサービスを使って、どのような教育をすれば、オフィスから紙を減らすことができるのかなど、これまでLRMがサポートしてきた企業などの取り組み事例などを参考にしながら、実現に向けて取り組んでいきたいと考えています。

インキュベクス株式会社様、お忙しい中、有り難うございました。

インキュベクス株式会社様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

インキュベクス株式会社様のWebサイト
※取材日時 2017年8月

情報セキュリティ倶楽部に関するお問い合わせ・無料相談

ISMSやPマークの運用サポートについて、何でもお気軽にご相談ください。
各サポートコースの月額費用は訪問回数によって変わってきますが、
カスタマイズした個別のサポート内容のご提案も可能です。
まずはコンサルタントが直接、現状の課題・お悩みをヒアリングさせていただきます。

お問い合わせフォームはこちらから