セキュリティBPOにかける思い

コンサルティング事業を手掛けるLRM株式会社が打ち出す新しい支援メニュー「セキュリティBPO」。
新サービスに掛ける思いや特徴を、LRM株式会社代表の幸松哲也がご説明します。

Q. そもそも、セキュリティBPOとは？

詳細については本サービスサイトをご覧いただければと思いますが、セキュリティBPOとは、一言で言えば「ISMS/Pマーク事務局業務のアウトソーシングサービス」です。

私は、長年に渡り、『ISMSの審査員』『セキュリティコンサルタント』『経営者』という3つの立場から、様々な組織のISMSやPマークに触れてきました。

その中で目につくのは、ISMSやPマークの取得・維持に必要な作業工数に苦しめられている企業や団体の多さです。
しかも、それらの企業や団体を苦しめている作業の大部分は、セキュリティや個人情報保護に直結しない、単なる事務作業や手続きが大半を占めているのです。

そしてそのせいで、ISMSやPマークそれ自体は非常に意義のある仕組みであるにも関わらず、結果的にISMSやPマークを諦めたり、形骸化したISMSやPマークを無意味に回しているだけの状態に陥ったりという、本末転倒な事態すら数多く生じています。

そのような状況を打開するため、弊社は、お客様の組織に合ったセキュリティ体制構築を意味する「Security Diet(セキュリティ・ダイエット)」を経営理念として、ISMSやPマークのコンサルティングを展開してきました。
そしてさらに、より多くのお客様の助けとなるべく、既存コンサルティングサービスを進化させたセキュリティBPOを事業として立ち上げた次第です。

Q. セキュリティBPO導入によって、導入企業はどのような効果が期待できるのか？

ISMS/Pマーク事務局業務は、社内のセキュリティや個人情報保護に繋がる本質的な業務と、(語弊を恐れず言えば)認証取得・維持のための事務的な業務に区分されます。

セキュリティBPOでは、後者の事務的な業務をコンサルタントが実務者として実施し、かつ、前者の本質的な業務についてもコンサルタントが豊富なノウハウや知見をもとにフォローします。

それにより、セキュリティBPOを導入いただいたお客様には、次の3つの効果が期待できます。

事務的な業務を全てアウトソーシングすることで社内担当者の負担軽減が図れる
本質的な業務に時間を割くことで社内のセキュリティレベル向上が期待できる
ISMS/Pマーク運用ノウハウのバックアップが実現できる

Q. 期待できる効果の1つ目、「社内担当者の負担軽減」はどのように実現するのか？

例えば、ISMSやPマークでは、従業員に対するセキュリティや個人情報保護を主眼とする社内研修を実施しなければなりません。
しかし、社内研修と一言で言っても、例えばeラーニングで実施する場合、より細かく、次のような業務単位に分解することができます。

教育テーマの決定
研修教材の準備
理解度確認テストの準備
eラーニングシステムへの登録
従業員へeラーニング上で配信
未受講の従業員に対する受講の催促
(受講完了後)教育記録の作成
今後のセキュリティ計画への反映

上記(1)～(8)を見て分かる通り、社内研修という取り組みは非常に重要ながら、それを構成する業務のひとつひとつは、絶対に社内担当者が実施しなければならないものではありません。
絶対に社内担当者が実施しなければならないのは、上記(1)～(8)で言えば、例えば『(1) 教育テーマの決定』『(8) 今後のセキュリティ計画への反映』という2点でしょう。

そして、セキュリティBPOにおいては、(1)(8)の意思決定もフォローしつつ、(2)～(7)をコンサルタントが全て実施します。
よって、社内担当者の作業負担を大きく削減することが可能になります。

Q. 期待できる効果の2つ目、「社内のセキュリティレベル向上」はどのように実現するのか？

前に述べた通り、社内担当者の業務負荷が削減され、事務的な業務を担当しなくてよくなるため、「どのような教育を実施するか？」「教育結果をどう活かすか？」という、より重要な部分を考える時間を確保できます。

つまり、セキュリティBPOによって、社内のことを分かっている社内担当者が、セキュリティや個人情報保護における本質的な業務に割く時間を確保できるようになります。

さらに、セキュリティBPOでお客様を担当するコンサルタントは、事務局業務を黙々と遂行するわけではありません。
定期的なお打合せや、日常からの密なコミュニケーションにより、社内担当者に対する適切な助言や提言ももちろん行いますので、社内におけるセキュリティレベルを底上げすることができるようになります。

Q. 期待できる効果の3つ目、「ISMS/Pマーク運用ノウハウのバックアップ」とはどういうことか？

ベンチャー企業や中小企業においては、ISMSやPマークの社内担当者が急に退職したり、急な異動を言い渡されたりして、十分な引き継ぎが行われないまま後任担当者が着任し、何も分からなくて疲弊していく、という事態が多発しています。

ですが、弊社コンサルタントがセキュリティBPOを通じて支援していれば、社内担当者が急な退職や異動になっても、「弊社コンサルタントがお客様の事情を把握している」という状態を作れます。

それは言ってしまえば、自社のISMSやPマーク運用において、担当コンサルタントを外付けのバックアップとして利用いただく、ということでもあります。

それにより、単純に、お客様社内での引き継ぎコストが削減されますし、また、「この人はISMSを/Pマークを担当しているから他の業務を任せられない」という懸念を無くすことができます。

Q. 通常のコンサルティングとは何が違うのか？

通常のコンサルティングとは、限定的に一部業務を代行する場合もありますが、認証取得・維持に必要なノウハウを提供するアドバイザリ業務が主なミッションです。
つまり、コンサルタントは、どれだけ身近に感じても、基本的に「外部の人間」という位置づけであり、認証取得・維持の推進は、自社内の事務局員が担うことが一般的です。

しかし、セキュリティBPOでは、その垣根を踏み越えます。
コンサルタントは、お客様の組織における管理責任者様から「事務局員」として任命いただきます。
そして、専門家として期待されるノウハウ提供はもちろん、実際の事務局業務を遂行し、認証取得・維持を推進します。

様々な記録類のアップデート、社内研修の準備や内部監査の実施、果ては実際の審査対応までを行うセキュリティBPOは、通常のコンサルティングとは抜本的に異なるサービスであるとお考えください。

Q. コンサルティング会社以外にも、認証や運用を肩代わりする「代行業者」等も存在するが、それらとの違いは？

この業界には、ISMSやPマークの取得・維持を全て肩代わりする、いわゆる代行業者と呼ばれる企業も存在します。
実際にそのような企業に支援を依頼されたお客様の話を聞くと、それらの代行業者は、とにかく安く、低価格で認証を取得・維持できることを謳っているのですが、突き詰めると、審査に通ることだけが目的であるケースがほとんどです。

作成したセキュリティルールが社内の業務実態と合っていなくても、実際には行っていない内部監査をさも実施したかのように記録を捏造しても、審査に通ればOK、という行動原理です。
また、代行業者の人間は、あくまで審査に通る方法のみに通じているため、実際のセキュリティ知識やITの知見に乏しいケースが多い、という苦情もよく耳にします。

しかし、弊社のセキュリティBPOは違います。
認証取得・維持のために審査に通るのは単なる前提条件の1つに過ぎません。
最重要のミッションは、事務局業務のアウトソーシングサービスとしてお客様社内の作業工数を削減しつつ、より高度なセキュリティ体制/個人情報保護体制を作り上げることです。

弊社のセキュリティBPOでは、社内担当者の作業工数こそ軽減されますが、社内研修はもちろん全員に受けていただきますし、業務実態に適したルールを構築するためにお打合せも重ねます。
また、内部監査においては、事務局員や内部監査員を担うコンサルタントが、各部署につき30分～60分ほどのヒアリングも行います。

よって、乱暴な言い方をすれば、「セキュリティや個人情報保護はどうでもいいからとにかく楽をしたい」「なるべく安く全てを丸投げしたい」というお客様は、弊社のセキュリティBPOは恐らく合わないと思います。

弊社のセキュリティBPOは、単純な丸投げではなく、あくまで事務局業務のアウトソーシングです。
そして、そのアウトソーシングを引き受けるのは、豊富な経験を積んだセキュリティコンサルタントです。
そのため、決してお安くないご料金をいただくきますが、その価値を分かっていただけるお客様には、必ずご満足いただけると考えています。