コクヨ株式会社様 – ISMS/ISO27001認証・取得コンサルティング 事例

コクヨ株式会社は、2025年6月に、グローバルワークプレイス事業本部HRCAソリューション部を認証範囲として、ISO/IEC 27001:2022 / JIS Q 27001:2023認証を取得されました。
認証取得の背景や課題、LRMに依頼した理由、取得後の効果などについて、同社のグローバルワークプレイス事業本部で組織成長ソリューション「TEAMUS（チームアス）」の開発・運用を手掛ける尾内様、徳本様にお話を伺いました。

お客様が抱える課題とISMS構築アプローチ

• チームは新規事業に取り組むため少人数の組織で構成されており、ISMS認証取得のためにリソースを多く割くことができなかった
• スピーディーな事業立ち上げ（攻め）とルール・運用づくり（守り）のバランス、情報セキュリティへの意識向上と運用周知に苦労していた
• コクヨの全社規定を遵守しつつ、新規事業（TEAMUS）の実態に即したルールを策定していくことのハードルが高かった

• 「やるべきこと」と「（このフェーズでは）やらなくていいこと」の線引きを明確に提示し、担当者の過度な負荷を抑える形の支援を実施した
• LRMのテンプレートを活用することで、ルール構築にかかる工数を削減した
• 情報セキュリティ研修にセキュリオを提供し、メンバーの意識啓蒙とISMS運用をサポートした

LRMコンサルティングサービスへの感想

• 他社と比較した中で、サポート内容とコストのバランスが最も優れていた
• 事業の実態に即し、継続的に運用可能なISMSの構築を両社で目指すことができた
• 担当者に過度な負担をかけることなく、ISMS認証取得に至ることができた

（コクヨ株式会社について）

「好奇心を人生に。」をコーポレートメッセージに据え、空間や家具、通販、文具など様々な領域で体験をデザインするための商品やソリューションを提供している。
創業：1905年10月。本社：大阪市東成区。従業員数7,647名。（連結、2024年12月現在）

— まずは貴社の事業についてお聞かせください。

コクヨは1905年の創業以来、文具やオフィス家具の開発、オフィス空間の設計など、「働く」「学ぶ」「暮らす」を支えるモノやサービスをつくり続けてきました。今年で創業120周年を迎えています。

私たちが所属するグローバルワークプレイス事業本部は、その名の通り、働く空間や働き方を提案しています。
空間や家具の提供、サービスやコンサルティングなどを通じて、働く人や組織の創造性や生産性の向上を支援するのが主な事業となります。

— グローバルワークプレイス事業本部にて、組織成長ソリューション「TEAMUS（チームアス）」を立ち上げた背景と目的を伺えますか？

これまで当社は、働く空間や家具などハード面での支援が中心でした。しかし顧客の組織課題を解決するには、職場環境だけでなく、企業で働く人や組織自体の活性化といったソフト面にも貢献する必要があると感じていました。

長年”働く”に向き合ってきたコクヨの知見をもとに、2025年4月に組織成長ソリューション「TEAMUS」を発表しました。企業における部や課などの”チーム”を起点に、「組織の成果と個人の成長をつなげる好循環」を創り出すソリューションです。
独自開発した組織サーベイと、その結果をもとに実践に移していくリーダー（組織マネージャー）やメンバーへの伴走により、対話を軸とした組織成長の取り組み実行・定着の支援をご提供いたします。これにより、働く人の働きがいを高めるとともに、企業の組織課題解決により深く貢献していくことを目的としています。

— LRMへのご依頼内容をお聞かせください。

組織成長ソリューション「TEAMUS」の事業立ち上げに伴い、ISO/IEC 27001:2022 / JIS Q 27001:2023（以下、ISMS）認証取得の支援をLRMに依頼しました。
ISMSは「TEAMUS」を手掛けるHRCAソリューション部単体での取り組みとして進めています。

— ISMS認証取得に踏み切った、具体的な背景について教えていただけますか？

背景は主に2点あります。

ひとつは、顧客や取引先に安心して「TEAMUS」を利用いただくためです。PoC（概念実証）の段階で顧客にヒアリングしたところ、セキュリティへの懸念や期待値が非常に高いと感じました。HRテックを取り扱う他社も、ISMSでの運用が当たり前になっているという実情を踏まえ、ISMSの認証取得は不可欠だと判断しました。

もうひとつは、情報管理の意識づけと最適化です。コクヨには情報管理に関する全社規定はありますが、新規事業に最適化したルールづくりを行っていくことで、チーム全員が高い意識で情報資産を管理できると考えました。事業の立ち上げ期に運用のベースを確立することで、将来的な業務効率化やリスク回避にもつながるはずです。

— 認証取得はどのような体制で取り組んだのでしょうか？

「TEAMUS」を手掛けるHRCAソリューション部のメンバーが中心となり、専任の担当者を立てて取り組みました。
チームには営業、マーケティング、プロダクト開発の担当が在籍しており、それぞれが連携しながら取り組みを進めました。私たちはISMSの取得を、チーム全員のセキュリティ意識を高める機会と捉えてプロジェクトを推進しました。

— LRMを選んだ理由について聞かせてください。

コンサルティング会社を選定するにあたり、3社ほどお話を伺いました。その中で、LRMのサポート内容とコストのバランスが最も優れていると感じ、ISMS認証取得のサポートを依頼しました。

特に、LRMが「やるべきこと」と「（このフェーズでは）やらなくていいこと」の線引きを明確に提示してくれた点は良かったです。少人数体制で新規事業を立ち上げている私たちには、過度な負荷をかけずに認証取得まで導いてくれるスタイルはぴったりでした。
結果的に、ISMS認証取得に際して担当者の負担は大きくならず、“本業”であるプロダクト開発や運用への支障は出ませんでした。

— 本プロジェクトはどのように進行しましたか？

ISMS認証取得プロジェクトは、まず情報資産の洗い出しとリスク分析からスタートしました。新しい組織にもかかわらず、すでに情報が分散し始めていたタイミングで、棚卸しには苦労しましたね。ただ、この作業のおかげで、セキュリティ体制の構築前に自分たちにとって大事な情報資産についてチームで共通認識を持つことができました。

次にセキュリティルールの作成に移りました。コクヨの全社規定を遵守しつつ、「TEAMUS」の事業にフィットする具体的な運用ルールを構築しました。LRMのテンプレートを活用したことでスムーズに進めることができました。

ルールが固まった後は、情報セキュリティ研修（セキュリオを利用）による意識啓蒙と内部監査を実施しました。その後、マネジメントレビューを経て外部審査に臨み、無事に認証を取得しました。仕組みをつくりながらISMSに準拠させるという、事業初期のフェーズに合った流れでプロジェクトを進行できたように思います。

— コンサルティングサービスのメリットを実感したエピソードがあれば教えてください。

メリットを強く感じたのは、セキュリティルールを作成したときです。全社規定の“考え方”を読み解きながら、事業にとって最適な運用レベルを言語化し、本プロジェクトのルールにいかに落とし込むべきかを検討しました。

他のコンサルティング会社からの提案では、必要以上に厳格なルールを求められ、構築に時間がかかるうえに運用負荷が高くなる印象がありました。しかしLRMのコンサルタントは、事業の実態に即し、継続的に運用可能なISMSの構築をともに目指してくれました。結果的に、過度な運用負荷を抑えることができました。

— 内部監査や外部審査はいかがでしたか？

内部監査は、ISMSの認証取得を一緒に進めてくれたLRMのコンサルタントが実施しました。

普段のやり取りで状況を把握されているにもかかわらず、的確な指摘をしてくれましたね。非常に健全な監査だと感じました。

3日間にわたった外部審査は、「これほどまでに細かくチェックされるのか」と驚くほど。それでもLRMのサポートで万全の体制を組めていたため、特に問題なく終えられました。担当者が厳しく審査を受けている様子を他メンバーも目の当たりにして、改めて情報管理の重要性がチームにも伝わったと思います。

— ISMS認証取得後の効果はいかがでしたか？

やはり顧客や取引先に対し、セキュリティレベルを客観的に証明できるようになったことが大きいですね。導入検討時に求められるセキュリティチェックシートにも、「ISMS認証取得済み」と書けるようになり、商談を進めるうえでの大きな強みになりました。

またコクヨ社内にも、情報セキュリティに関して本気で取り組んでいることを伝えることができました。新規事業という“攻め”のフェーズにもかかわらず、“守り”の体制をしっかり整えていることは、新規事業にかける私たちの決意の表れを示すものとなりました。

— ISMS認証取得が、社内から応援されるきっかけになっているんですね。

もうひとつ印象的だったエピソードに、マネジメントレビューがあります。マネジメントレビューに臨む上司が情報セキュリティに対する想いを熱く語っている姿から、「みんなで情報セキュリティへの意識を高めよう」という機運が高まりました。上司とは普段からよく会話していましたが、それでも、改めてセキュリティに関する想いを明示的に確認できたことは良かったと思います。

ISMS認証取得は”やらなくてはならないもの”から、“事業成長のためにやるべきもの”として、チーム全体で認識合わせできた瞬間だったように思います。

— — 今後のセキュリティ対策として、強化していきたいポイントを教えてください。

ISMSの運用を通して、情報資産の管理と運用は常にアップデートし続けたいと考えています。今後事業が順調に拡大すれば、業務プロセスも変わっていきますし関わるメンバーも増えるので、管理と運用の徹底が課題になります。規格に則った運用をきっかけとしながらアセスメントや教育の機会を通じて一人ひとりの意識を高いレベルで維持していきたいです。

研修に限らず、LRMさんには引き続き、ISMS運用の支援を依頼しています。今後も事業フェーズに合わせた運用アップデートのご提案を期待しています。

— — セキュリティ対策に力を入れている企業に向けて、メッセージをお願いします。

ISMS認証取得は、見落としがちな重要な情報資産やリスクを改めて認識するきっかけになるとともに、規格に則ることで管理・運用方法を効率的に創り上げる手助けになるものだと感じました。また、関わる従業員のセキュリティ意識向上や運用周知徹底にも有効な手段になりました。認証取得を目的にするだけでなく、仕組みづくりや意識啓蒙のきっかけとしても活用していけるものだと思います。

コクヨ株式会社様、お忙しい中ありがとうございました。

※コクヨ株式会社様のWEBサイト
※組織成長ソリューション「TEAMUS（チームアス）」のWEBサイト※ 取材日時 2025年10月