株式会社AoyamaLab様&株式会社ミチノバ様 – ISMS/ISO27001認証・取得コンサルティング 事例

株式会社AoyamaLabと株式会社ミチノバは、2020年7月から2021年3月までの9ヶ月、LRMのサポートを受けながらISMS/ISO27001認証の新規取得に取り組みました。「ISMSに対する認識が変わった」と語るのは両社の代表取締役を務める内山和也氏です。取り組みの背景や認証取得までの経緯などについて、株式会社AoyamaLab総務・濱田伸子氏を交え、お話を伺いました。

（株式会社AoyamaLabについて）

「食の流通を最適化して、人々の豊かな暮らしに貢献する」ことをミッションに、飲食料品のEC市場を牽引していくことを目的として設立された。現在は伊藤忠商事社との共同運営事業として、会員企業の福利厚生ショッピングサイト『SECRETMALL』と、BtoBの手土産用ギフトカード販売サービス『AOYAMAGIFTSALON』を展開中だ。2020年12月から運用を開始し、大手企業を中心に導入社数を増やしている。今後は2つのECサイト事業を中心に100万会員、流通総額300億円の目標実現を目指す。さらにクローズドな『SECRETMALL』を発展させたオープンなEC事業も計画中。飲食料品のEC化率を高める上でネックとなっている既存の物流構造やUI/UXの問題をクリアし、より便利な食のECを実現していく。
本社；東京都港区。設立日；2018年11月。従業員数；12名(2021年6月現在)

（株式会社ミチノバについて）

経営/事業戦略コンサルティング事業を展開。代表取締役・内山和也氏が外資系大手コンサルティング会社で培った分析力を強みに、業務分析、技術開発、システム開発により、クライアント企業の成長、コスト削減を、実行段階まで支援する。特に大量のデータを扱うことを得意とするため、クライアントも大手流通企業が中心。未知の世界に新たなイノベーションを起こし、世の中をより便利に変えて行くことがミッションだ。
本社；東京都港区。設立；2016年6月。従業員数；8名（2021年6月現在）。

— LRMへのご依頼内容をお話し下さい。

内山氏（以下、表記がなければ内山氏） 株式会社AoyamaLabと株式会社ミチノバは、2020年7月、LRM株式会社にISMS/ISO27001（以下、ISMS）のグループ認証新規取得コンサルティングを依頼しました。
LRMのサポートにより、AoyamaLabは1月、ミチノバは3月に、それぞれISMS認証を取得しました。途中でグループ認証に変更したり、担当者が交代したり、何度か手戻りがあった中で、最後まで丁寧に対応していただきました。

— コンサルティング会社の選定にあたって重視したポイントをお話し下さい。

コンサルティング会社を選定する際は、4社ほど比較しましたが、当時は右も左もわからない状態でしたので、比較しても明確な差は認識出来ませんでした。取得までの期間も大きな違いはありませんでした。最終的にLRMに依頼したのは、コストと実績、コンサルティングの進め方など、総合的なバランスが取れていると感じたからです。

比較した中にはドキュメント管理に独自の専用ツールを使う会社もありました。それによって体系的な管理が出来る点は良いと思いましたが、認証取得後も制限されて、やりにくくなると思いました。他の会社も、そういったツールはなくても、体系化されたフォーマットは持っています。LRMの場合は文書管理に『Box』を使用し、その中でフォルダ分けして管理するという進め方ですが、それだけでも漏れのない必要十分な管理が出来ると思いました。

— ISMSを構築したことで、業務がやりづらくなったようなことはございませんか。

業務がやりづらくなったことはありません。そもそもISMSに取り組む以前から情報セキュリティの重要性は認識していましたので、書類の管理場所や個人情報の管理方法などは固まったものがありました。それをそのまま明文化しただけなので、業務上の運用を変えた部分はありません。

— ISMS認証取得の前後で社内の変化はございませんか。

細かい部分で、管理上の抜け漏れを埋めた部分はありました。例えば、社員の退職時の手続をより厳密に決めました。会社の業務で使っていたものを返却してもらうことや秘密保持に関する誓約書を書いてもらうことを改めて定め、チェックリストを作りました。秘密保持誓約書は入社時にも書いてもらいますし、それは退職後も範囲に含めたものですが、LRMから改めて退職時にも取った方が良いというアドバイスを頂き、取り入れました。

またこれまでは、個人情報の取り扱い方法やPCの管理方法など、気を付けなければいけないことに関しては、口頭やチャットなどで周知していましたが、LRMが提供するセキュリティ教育クラウド『セキュリオ』の仕組みを使うことで、今回構築した社内ルールの周知やセキュリティ教育もしやすくなりました。

— 内山社長は実際にISMS認証取得に取り組まれて、いかがでしたか。

内山氏　今回の取り組みを通して、ISMSに対する認識が変わりました。取り組み前は、もっと厳格なものだと思っていました。このようにしなければいけないという厳格なルールが沢山あって、がんじがらめになるような印象を持っていました。

ただ、LRMや審査員の話を聞いて感じたのは、改善し続ける運用体制と取り組みさえ示すことが出来れば、ISMS認証は取得するということです。おそらくノックアウト・ファクターはあるとは思いますが、当たり前のことを当たり前にやっていって、指摘されたことをきちんと改善すれば取れる。ISMSとはそういうものかという理解が出来ました。

— 「厳格なものではない」ことを示すような事例はございますか。例えば、「本当はやった方が良いのはわかるけど、現状ではやっていない」といったものもあるのでしょうか。

内山氏　あります。審査員から「全てを守る必要があるわけではなく、事業を推進するためにリスクを認識して受け入れるという判断も当然ある」という話をされて、そういう考え方で良いのかと思いました。例えば、弊社では今、4割ぐらいリモートワークで業務を行っていますが、各従業員の自宅のネットワーク管理をどこまで厳密にやるかは非常に難しい問題です。厳密にやるなら、ルーターを支給して暗号方式まで指定するということをするべきですが、現在の我々のステージではそこまでは出来ません。今回はリスク認識した上で諦めて、一般的なパスワードロックがかかったWi-Fiを使っていれば良いというルールにしました。

— 今後の展望をお話し下さい。

内山氏　今後、事業が拡大するにつれ、扱う情報や従業員数も増えて行きます。今はまだ私の目が届きますが、仮に数十人の規模になっても一貫した思想や認識、ルールに基づいて管理・運用ができる仕組みを作っていかなければいけないと考えています。

漏洩リスクという意味でも、10名前後の組織なら、経営者自身が真っ当な認識と知識を持っていれば、日々の注意喚起をすることで抑えられると思います。しかし人が多くなればなるほど、それが難しくなります。ルールの存在は管理する者の代弁者として、より重要性を増していくと思います。事業が急成長する前に土台作りが出来て良かったと考えています。

— LRMのコンサルティングを受けたご感想をお話し下さい。

内山氏　本当のことを言うと、ISMS認証取得を検討し始めた際は、自分たちだけでも取得出来るのではないかと考えていました。実際、情報は溢れていますので、Webなどで調べながらやってみれば出来ると思います。だから社内では専任を一人入れてやろうかとも話し合った経緯がありました。しかし今は、サポートをお願いして良かったなと思っています。審査前の準備も含め、専門家がいた方が安心して取り組むことが出来ます。

また、コンサルタントは話しやすくて良かったです。我々と世代も同じぐらいですし、堅苦しさもありませんでした。

— ISMS認証取得後の運用サポートのご契約はされたのですか。

内山氏　3年ごとに更新審査がありますので、ISMSの運用支援サポート『情報セキュリティ倶楽部』の契約はしました。

— 今後のご期待をお話し下さい。濱田さんからどうぞ。

濱田氏　ISMS認証取得の取り組み自体は、会社の制度を作る機会となり良かったと思っていますが、今はまだマネジメントシステムを作った段階です。これからは周知も含めてしっかり運用していかなければいけないと思っています。
より運用を強化していくためにも、LRMにはこれまで同様、相談に乗って頂きたいと考えています。

— 内山社長からもお願いします。

内山氏　税理士などもそうですが、専門家の力を借りる理由は、素人には何を気にしなければいけないかがわからないからです。こういう時はこうしなければいけないというアンテナの張り方がわかりません。例えば「従業員教育の時期ですよ」「内部監査の時期ですよ」などと知らせていただけるだけでも価値はあると思っています。

株式会社AoyamaLabならびに株式会社ミチノバの皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社AoyamaLab様のWEBサイト
※ 株式会社ミチノバ様のWEBサイト
※ 取材日時 2021年6月