クレストホールディングス株式会社様 – 顧客事例 –

グループのデジタルトランスフォーメーション（以下、DX）を進めるクレストホールディングス株式会社は、適切な情報管理の仕組みを作るため2020年10月、ISMS/ISO27001認証を取得しました。同グループがDXに注力する理由や認証取得にあたって考慮した点、取り組みの成果などについて、情報セキュリティ統括責任者を務める取締役経営管理本部長 CFO・峯拓也氏にお話しいただきました。

お客様が抱える課題とISMS構築アプローチ

• グループ全体の情報管理を適切に行う仕組みを作りたい
• 海外ブランドとの取引において国際的な認証制度が必要
• 従業員に理解してもらえて、社内へ浸透するルール構築がしたい

• メール送信時の添付ファイルの暗号化は、ツールを導入することで手間を軽減
• 将来的になぜそのルールが必要なのかを説明し続けることでルールを浸透させる

LRMコンサルティングサービスへの感想

• 全体のスケジューリングや、マイルストーンを提示してプロジェクトの進捗管理をしてくれた
• 自社の現状を詳しくヒアリングし、一緒に議論しながら業務実態に即して文書を作成してくれた
• 『セキュリオ』のeラーニング機能は、”わかったつもり”を改めて学ぶきっかけに

（クレストホールディングス株式会社について）

LEGACY MARKET INNOVATION®というスローガンを掲げ、各事業会社への経営指導および経営管理業務を行う。デジタル技術の活用によって、伝統産業に革新を起こし、成長産業として未来へ継承していくことが同社のミッションだ。中核企業の株式会社クレストは、CRMやMAツールなどのデジタルツールをいち早く取り入れ成果を上げてきた、国内におけるDXの草分け的存在だ。その長年にわたる実践で培ったノウハウが最大の強みである。現在は事業会社4社を擁し、サイン＆ディスプレイ事業、リテールテック事業、植物小売事業、デザイン事業、木材卸売事業を展開中。事業活動を通して、国内産業の活性化に貢献する。
本社；東京都港区。設立；2019年8月。グループ従業員数；約185名（2020年10月現在）。

— LRMへのご依頼内容をお話し下さい。

2020年1月、クレストホールディングス株式会社はLRMに、ISMS/ISO27001（以下、ISMS）認証の新規取得コンサルティングを依頼しました。LRMさんのサポートを受けて準備を進め、2020年10月、ISMS認証を取得しました。

— コンサルティング会社選定の基準をお話し下さい。

コンサルティング会社の選定において、最も考慮した点は、各社の支援実績です。どういう組織のお手伝いをされたのか、どれぐらいの経験をお持ちかということを重視しました。

LRMを選んだ決め手は、有力なベンチャー企業に対する支援実績があったことです。中には、ISMS認証を取得した後に上場を果たしている企業への支援事例もございましたので、それぐらいの成長を目指す企業にも通用するレベルでコンサルティングしていただけるというイメージが出来ました。弊社は現在、新体制のもとで伝統産業の革新という新しい事業領域での成長を目指しているところですので、成長ベンチャーへの支援実績に期待してLRMに依頼しました。

— 取得するまでの経緯で大変だったことはございますか。

ISMS事務局を担った情報システム部のメンバーは大変だったと思います。パソコンの設定を1台ずつチェックしなければいけないなど、タスク量は膨大だったと思います。事務局のメンバーの地道な取り組みによってISMS認証が取得出来たと考えています。

— そういった中でLRMが果たした役割はどういうものですか。

色々とサポートしていただきましたが、箇条書きにするとすれば概ね次のようになります。

（1）全体像の提示
最初に全体のスケジューリングをして、いつまでに何をやるべきかというマイルストーンをご提示いただきました。

（2）文書作成支援
ISMSマニュアルの作成においては、打ち合わせの際に弊社の現状を詳しくヒアリングしていただいて、一緒に議論していただきながら弊社の業務に即して文書化していただきました。また情報資産台帳やリスク管理台帳などの台帳作成においてもサンプルを示していただきました。

（3）プロジェクト進行管理
LRMと打ち合わせをしながら作成した文書類は、最終的には弊社側で細部をアレンジしていく必要があります。
そういった作業を進める際の、進捗管理もサポートしていただきました。

こういったサポートを通して、プロジェクトの全体像を把握し、着実に進行することが出来ました。

— 従業員教育のサポートはございましたか。

情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能をご提供いただきました。私自身、管理者向けと一般社員向け、2つの研修を受けました。

— 『セキュリオ』は使ってみてどうでしたか。

自動車免許の試験問題に近いものを感じました。例えば自動車免許の試験では、「白線では一旦停止する」が不正解で、正しくは「一時停止」であるといった問題があります。引っかけ問題みたいなものですが、きちんと問題を読んで、立ち止まって考えないと間違えてしまう。それと同じで、情報セキュリティも知ったつもりで意識せずにやっていたら間違えてしまうということを、改めて学ぶことが出来ました。基礎を押さえるという意味で有意義でした。

セキュリティ事故のほとんどがそういった何気ないミスから起きています。電子メールの運用で、BCCで送るべきところをCCで送ってしまうといったミスも、微妙なかけ違いで起きてしまいます。そういう“わかったつもり”を正すきっかけにもなりました。

— 今回構築した御社のルールを浸透させる上でのサポートは何かございましたか。

内部監査員代行サービスがあります。現場へのヒアリングを通して構築したマネジメント通りに運用出来ているかどうかチェックしていただき、不足している箇所を指摘してもらいました。それがマニュアルに書かれたことを改めて認識する機会となりました。

また、内部監査を通してご指摘いただいた箇所は、本審査前に全て改善し、審査当日は、余裕を持って受審することが出来ました。

— ISMS認証取得の取り組みを一通り終えた現在、改めてISMSの重要性について考えておられることはございますか。

ISMSは、短期的な視野で見れば、生産性とは矛盾するように見えます。現場が面倒に思うことも理解出来ます。
ただ長期的に見た場合、情報セキュリティ事故を未然に防ぎ、顧客の信頼を失わずに事業を継続した方が、利益にも繋がっていきます。結果的にはそれがサスティナビリティにも繋がっていくのです。

ニュースになる企業の不祥事の多くは、たった1つの誤った判断から始まります。私達も海外のブランドを扱っていますが、万が一にでも発売前の情報を漏らしたら、それで事業継続が不可能になってしまいます。誠実に事業を運営していく上でISMSは必要な規格です。

その通りです。ここまでやった上での事故ですと言えるかどうかは大きいですね。

ISMSをきちんと構築して事業を継続していくことは社会貢献にも繋がっていきます。お客様から信頼を勝ち取ってより多くのお仕事をいただければ、企業の利益に繋がりますし、納税額を増やす結果にもなります。それが企業としての社会貢献のあり方であると考えています。

— LRMのコンサルティングはいかがでしたか。

LRMのお二人には、掛け値なしに頑張っていただきました。ルール構築を始め、様々な相談に乗っていただきました。また、実際の作業面でもお手伝いをいただき、スムーズにISMS認証を取得することが出来ました。今後も、『メールZipper』『セキュリオ』、さらにISMSの運用改善サポート『情報セキュリティ倶楽部』を通して、お付き合いさせていただく予定です。

— サポートを継続するメリットをお話し下さい。

前述の通り『メールZipper』で、添付ファイルを暗号化する手間は簡略化出来ます。また定期的に従業員教育を実施することは、認証を維持するだけではなく、従業員の意識を持続させる上でも重要ですが、『セキュリオ』のeラーニング機能があることで、教材やテストの作成や配信、管理といった手間を省くことが出来ます。LRMは、良いソリューションを持っていると思います。

さらに『情報セキュリティ倶楽部』に関しては、ISMS認証を維持するには年に1度のサーベランス審査、3年ごとの更新審査を受審する必要があります。その度に新しいコンサルティング会社を探して、一から説明するのも大変です。
組織の規模としても、今はまだ社内に情報セキュリティの専任者を置くフェーズではないと思いますので、LRMのサポートを受けながらしっかり運用を維持していきたいと考えています。

クレストホールディングス株式会社の皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ クレストホールディングス株式会社様のWEBサイト
※ 取材日時 2020年10月