株式会社ビジネス・アーキテクツ様 – 顧客事例 –

新たな成長ステージに向け大きな変化を遂げる中でのISMS取得。LRMは同じチームの一員として、最後まで根気強くサポートしてくれました

株式会社ビジネス・アーキテクツは2020年9月、LRMのサポートを受けISMS/ISO27001認証を取得しました。第二創業期における体制整備としての取り組みはどういうものだったのか。ソリューションUNITマネージャー・長澤隆氏と、システムエンジニア・信本浩二氏、田村健三氏、信谷好美氏の4名様にお話しを伺いました。

(株式会社ビジネス・アーキテクツについて)

デザインとエンジニアリングの力でビジネス課題を解決するというコンセプトのもと、大手企業を主要顧客としたWeb制作を軸とした事業を展開。直近3年間で従業員数は約30名から50名へと倍近くに増えるなど、飛躍的な成長を遂げている。強みは約20年間の事業実績の中で培ってきた、グローバルサイトなど大規模サイトの構築・運用ノウハウである。複数の担当者が携わる大規模サイト運用の煩雑化を防ぎ、正しい情報発信が出来るよう、ガイドラインの作成を含め、サービスの戦略策定からUI/UXの設計、システムの構築・運用まで一気通貫でサポートしている。2019年には創業20周年を迎え、第二創業フェーズとしての事業方針を固めた。今後はWebサイト案件に留まらず、クライアント企業における顧客とのコミュニケーション全般をサポートし、事業の発展に貢献していく。
本社;東京都港区。設立;1999年1月。従業員数;50名(2020年10月現在)。

ご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社は2019年6月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
金子さんと松岡さんのお2人にご担当いただき、2020年9月にISMS認証を取得しました。

事業規模拡大に応じた環境整備の一環としてISMS/ISO27001認証取得

シンプルな運用を実現するためのアドバイスをしていただきました

シンプルな運用を実現するためのアドバイスをしていただきました
(ソリューションUNIT システムエンジニア・信本浩二氏)

— ISMS認証を取得した理由をお話し下さい。

弊社がISMS認証を取得した理由は、事業成長に伴う環境整備です。弊社は直近の3年間で業績が飛躍的に伸び、従業員数も約30名から50名へとほぼ倍増しています。弊社の業務ではお客様から様々な機密情報をお預かりしますので、事業規模の拡大に伴い、今後はこれまで以上に適切な情報管理が求められるようになると考えました。ISMS認証取得は、お客様に安心してお取り引きしていただくための、わかりやすい指標になると判断しました。また、社内的にも、様々な背景を持った従業員の意識や行動を揃えるには、ルールを明確に定めて、業務環境を整備する必要があると考えました。

— ISMS認証取得にあたってご不安やご心配はございませんでしたか。

イメージとして、認証を維持するための形式的な手続が増えてしまうのではないかという心配はありました。そのため、実効性のあるマネジメントシステムの構築を目指しました。実効性があれば社内に周知する際にも説明がしやすくなります。LRMにコンサルティングを依頼した際も、できるだけシンプルで運用しやすいルールにしたいという話はしました。

— LRMにコンサルティングを依頼された経緯をお話し下さい。

LRMにコンサルティングを依頼したきっかけは、取引先からの紹介でした。長年に渡って信頼関係を構築してきた取引先でしたし、LRMの営業の方と話をした際に、最後まで一緒に取り組んでいただける感覚を持つことが出来たので、安心して依頼しました。

— 御社内の取り組み体制をお話し下さい。

弊社内では、ソリューションUNITの情報システムチームが中心となり、ISMS新規取得に取り組みました。マネージャーの長澤が情報管理責任者を務め、システムエンジニアの信本、田村、信谷の3名が、ISMS事務局を務めています。LRMとの打ち合わせには、この4名が常時参加していました。

— ソリューションUNITの本来の役割をお話し下さい。

ソリューションUNIT・情報システムチームは、一般的な企業で言う情報システム部門です。普段は、社内の、コミュニケーションツール、基幹システムの運用・保守・導入、というようないわゆるシステム管理者としての業務や、全社横断の業務改善的な役割を担っています。

ルールがないことで生じていた不便さが解消された

ルールが明確になったことで迷わなくなり、業務が効率化しました

ルールが明確になったことで迷わなくなり、業務が効率化しました
(ソリューションUNIT システムエンジニア・田村健三氏)

— ISMS認証取得にあたっての期限は設定されていましたか。

当初、2020年3月ぐらいには取得したいと考えていましたが、紆余曲折があり、結果として2020年9月の取得となりました。

弊社は2019年に創業20周年を迎えました。これを機に第二創業期として、子会社を設立し新しい事業を立ち上げるなど様々なチャレンジをしているところです。そのため社内の変化も激しく、ISMS認証取得においても何度か方針の変更があり、取り組み期間が延びる要因となりました。

そのような中でLRMのお2人には最後まで一緒に取り組んでいただき感謝しています。

— 取り組みの成果について伺います。当初目指した「シンプルで運用しやすいルール」は確立出来ましたか。

運用していくためのベースは構築出来たという認識です。現状、現場に大きな負担がかからないルールになっていますし、今後も状況の変化に合わせて変更する必要があれば変えて行くことが出来る、実効性のあるマネジメントシステムを維持していくための下地は出来上がったと考えています。

ISMS認証を取得した効果として、我々が最も大きいと感じていることは、これまで明確にルールが定まっていなかったからこそ生じていた不便さが解消されたことです。

— “ルールが決まっていなくて生じていた不便さ”の具体例をお話し下さい。

具体例を3つ挙げます。

(1)メールでのファイル送信手段
メールにファイルをそのまま添付することはが良くないだろうということは、誰もが漠然と認識していることです。
しかし最善策は何かというと明確な答はなく、各自の判断に委ねられていました。ZIP形式にしてパスワードを付けるという方法もありますし、ファイル転送サービスを利用する方法もありますが、そういったバラバラな状況を整理し、統一ルールを定めました。現状では専用のツールを導入し、メールの受信者にダウンロードしてもらう形にしています。

(2)一般社員からのリクエスト伝達手段
情報システム部門では普段、一般社員から、アカウントの設定や権限の変更など、様々なリクエストを受け付けています。その伝達はこれまで、少数体制だった頃の名残で、口頭で行われていました。しかし最近は従業員数が増えてきて、誰に頼めば良いのかわからないということが発生していました。そこでISMSの構築を機に、窓口を設けて、そこに情報が集まるようにしました。

(3)データの取り扱い方法
業務上発生する中間成果物などのデータの取り扱い方法は、これまでプロジェクトごとに独自ルールが存在していました。今回のISMS構築では、これを統一しました。

このように統一ルールが定まることで、迷いがなくなり、認識が揃うことで、仕事を進めやすくなりました。

LRMのお墨付きが最終的なルールの決め手になった

『セキュリオ』を活用し認証範囲外のグループ会社の社員にも情報セキュリティ教育を実施していきます

『セキュリオ』を活用し、認証範囲外のグループ会社の社員にも情報セキュリティ教育を実施していきます
(ソリューションUNIT システムエンジニア・信谷好美氏)

— ISMS認証取得の取り組みでご苦労されたことはございますか。

取り組み全体で苦労した点は社内に向けたルールの周知です。全社的に足並みを揃えるために工夫を凝らしました。

ISMSを構築する中で、一般社員の業務に影響するルールを決めると、それを実行するため全社員に周知していく必要があります。ただ、1つ1つのルールが決まる度に五月雨式で周知してしまうと、情報が埋もれてしまって認識されにくくなる恐れがあります。そこで全体像を把握しやすくするために、タスク管理ツールの中に全員が閲覧出来る領域を作り、その中で、いつから何がどう変わるのか、俯瞰的に捉えられる仕組みを整えました。

また周知活動はリアルな場でも行いました。弊社では、毎月1回、全社員が集まって業績の共有などを行う場を設けています。その場でISMS認証取得に向けた取り組みが、どのように進んでいるかを逐一報告するようにしました。

このように複数の手段を組み合わせたことで、会社としてISMSに取り組んでいることを理解するとともに、決まったルールは守っていかなければならないという認識を持つようにはなってきました。

もう一つ、ツールの選定でも苦労しました。今回のISMS認証取得では、先ほど話したファイルのダウンロード用サービス『PrimeDrive』や、社外とのファイル共同編集サービス『Box』を新しく導入しました。これらを選定するにあたっては基本機能のスペックだけではなく、付加機能も比較して我々が求める要件に合致するサービスを探していきました。必要な要件を洗い出して、機能を比較し、絞り込んでいく作業は骨が折れました。

— そういったご苦労をして体制整備を進める中、LRMはどのようなサポートをしてくれましたか。

まず、いつまでに何をしなければいけないかなど、スケジューリングと進捗管理をして下さいました。

その上で洗い出したリスクに対してどのような取り組みをすべきか、シンプルな運用を実現するためにどのようなツールを入れたら良いかなど、相談に乗っていただきました。また、我々が決めたことに対して、それを実施するにあたってはどのような点に気をつけるべきかといったアドバイスも頂きました。最終的にどのようなルールを適用するのか、どういった対策を取るかを決めるのは我々自身ですが、ISMSの要求事項を満たしているかどうかの判断は我々には出来ません。色々な方法がある中で迷った時も、LRMのお墨付きを頂くことで最終的な決定を下すことが出来ました。

今後は認証範囲をグループ全体に拡大していきたいと考えています

今後は認証範囲をグループ全体に拡大していきたいと考えています
(ソリューションUNIT マネージャー・長澤隆氏)

— 従業員教育や内部監査のサポートも受けられたのでしょうか。

はい。従業員教育では、LRMの情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用しました。内部監査の際は内部監査員を代行していただきました。

— それぞれのサービスを活用するメリットはどのようなところに感じられましたか。

まず従業員教育に関しては、教材とテストを用意するだけでも大変です。その上、従業員全員に受講を促したり、実施状況を把握したりといった管理も必要になります。そういった煩雑な作業が、システムを使うことで簡単に出来る上、全従業員にISMSの基本や情報セキュリティの重要性について要点を押さえて学習してもらえるというところは非常に便利だと思います。このようなシステムがあれば、対象人数も拡大しやすくなります。『セキュリオ』は引き続き契約する意向ですが、今後は、今回ISMS認証範囲外としたグループ会社の全従業員にも受講してもらう計画です。

— 内部監査員代行に関してはいかがですか。

初めてのことですし、何をどうして良いかわかりませんでしたので、サポートしていただいて助かりました。
また外部の方にチェックしていただくことで、評価が甘くならないという効果もありますし、内部にいると当たり前過ぎて見過ごしてしまうような問題もしっかり指摘していただき、改善することが出来ました。

多様化する働き方に合わせた体制作りが課題

— 外部審査はいかがでしたか。

最も心配していた不適合を頂くことなく、ISMS認証を取得することが出来ました。改善の機会はいただきましたので、今後どうするか対応を検討しているところです。

— ISMS認証取得を終えて、今後の展望や課題がございましたらお話し下さい。

今後はグループ全体に認証範囲を拡大する計画を進めていきたいと考えています。また多様化する働き方に合わせた体制作りも課題です。弊社は現在、在宅勤務と出社型のハイブリッドで事業を運営しており、そのためのルールは整備しましたが、コロナ禍が長期化する中、さらに精度を上げるべく検討を重ねたいと考えています。

実効性のあるマネジメントシステムを維持していくための下地は作れました

実効性のあるマネジメントシステムを維持していくための下地は作れました
(左から長澤氏、田村氏、信本氏、信谷氏)

長期間にわたるプロジェクトも根気強くサポート

— LRMのコンサルティングを受けたご感想をお話し下さい。

LRMにはいろいろな無理を聞いていただいて助かりました。会社の方針が変更され、仕切り直しが必要になった時も、粛々とご対応いただきました。結果として長期間にわたるプロジェクトになりましたが、根気よくお付き合いいただき、同じチームの一員のように一緒に取り組んでいただけたと感じています。
今後、認証範囲を拡大していく際には、やはり我々だけでは対応出来なくなると思いますので、引き続き運用改善サポート『情報セキュリティ倶楽部』も契約する方向で検討しています。

株式会社ビジネス・アーキテクツの皆様、お忙しい中ありがとうございました。

株式会社ビジネス・アーキテクツの皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社ビジネス・アーキテクツ様のWEBサイト
※ 取材日時 2020年10月

  • Web制作・運用
  • 50~199名
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る