株式会社フェローズ様 – 顧客事例 –

事業規模が急拡大する中、情報セキュリティ体制の見直しを図るためにISMS/ISO27001認証を取得した株式会社フェローズ。サポートをLRMにご依頼いただき、創業当時から運用していたプライバシーマークとの統合も行いました。
取り組みの経緯と成果を、運用担当者の管理局 人事総務部 総務課担当課長・荻野允氏に伺いました。

（株式会社フェローズについて）

株式会社フェローズは、人材を軸にした事業展開を行う会社である。主力事業は、インターネット回線や携帯電話などの販売店を対象とした営業・販売支援事業である。売上の底上げや立て直しといった課題を持つ店舗や売場に対し、単なる販売員の派遣に留まらず、販売戦略やセールスプロモーション企画の立案から、人員の手配、実際の販売を通して得られた情報の分析、改善までを一気通貫で請け負い、クライアントの事業成長に貢献。独自に築き上げた販売メソッドと人材教育のノウハウを武器に、圧倒的な販売実績を残しながら事業を拡大してきた。近年は人材派遣事業や教育事業などの新規事業にも注力。クライアントや自社の従業員を含む全ての生活者に笑顔のある世界を実現することをビジョンに掲げ、さらなる成長を目指している。
設立；2008年2月。本社；東京都渋谷区。従業員数；約360名（2019年4月現在）。

— LRMへのご依頼内容をお話し下さい。

弊社は2018年9月、LRMにISMS/1SO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。
また、プライバシーマーク（以下、Pマーク）との統合オプションも追加しました。

LRMの担当者は大谷さんです。9月中旬からコンサルティングがスタートし、2019年5月、ISMS認証を取得しました。Pマークとの統合はLRMからのご提案でしたが、結果的に運用がシンプルになり良かったと考えています。

— ISMS認証を取得した理由をお話し下さい。

ISMS認証取得を検討し始めた直接のきっかけは、既存のクライアントからの要望でした。クライアントから外注先はISMSの規格に沿った体制整備が出来ているのが望ましいというお話をいただき、弊社としても、社内の業務環境を見直す良い機会になると考えました。

— ISMS認証の適用範囲をお話し下さい。

教育事業部以外の全てです。教育事業は、フランチャイジーとして学習塾を運営しておりますが、フランチャイザー（フランチャイズ本部）のルールに沿った運営をしていますので適用外としました。

— Pマークを取得された時期を教えて下さい。

Pマークは弊社が創業してすぐの2008年に取得し、2019年3月に5回目の更新を終えました。

— Pマークだけでは十分ではないということだったのですか。

そうですね。これまで機密情報として重視されてきたものは個人情報のみでした。しかし現在は、守るべき情報の範囲が広がりましたので、状況に応じた管理体制を整備してほしいというクライアントのご希望がありました。

一方、弊社もPマークを更新し続けてきて、緩みが出てきているという危機感がありました。また、急激に従業員が増えたこともあり、文書化されたルールと実態が合わない部分も出てきていました。そこでクライアントからのご要望を機に、見直すべきところは見直して、前向きに整理して行こうという意思決定をしました。

— コンサルティング会社は、何社ぐらい比較されたのですか。

実は他社との比較はしていません。当初は、複数の会社を比較するつもりでしたが、営業の藤居さんと会って話をした際の感じが良く、安心して任せられると判断し、ほとんど迷うことなくLRMに依頼しました。

— 具体的にはどういった点を感じが良いと思われたのですか。

藤居さんのサービスの説明がわかりやすかったことです。コンサルティングの進め方、サポートの範囲、サポート体制など、ISMS認証取得に至るまでのサポートの全体像を、短時間で明確に説明していただきました。この方がバックにいるなら、途中で何かあっても大丈夫だと思いました。

— Pマークとの統合については、どの段階で提案されたのですか。

商談段階です。ISMSとPマークを統合すれば、今後の運用がシンプルになるというご提案をいただきました。
ISMSもPマークも、従業員教育や内部監査を毎年実施する必要があります。統合せずバラバラに運用すれば、何回もやらなければいけませんが、統合すれば1回で済みます。また、日々の運用に必要なマニュアルや、審査に必要な記録類なども、共通する要素をまとめてしまえば、管理がしやすくなります。統合することでISMSとPマークの運用がシンプルになり、PDCAサイクルも回しやすくなると判断し、提案を受けることにしました。

— 今回の取り組みで最も苦労されたことをお話し下さい。

最も苦労したのは、弊社内で行った情報資産の洗い出しとリスク管理表の作成です。ISMS事務局は管理局の担当役員と人事総務部長、そして私の3名で担っていますが、現場にどのような情報があるかを全て把握しているわけではないので、情報資産の洗い出しやリスク管理台帳の作成は、各部署の責任者に協力してもらう必要がありました。

認証取得が完了した今では、認証マークを名刺に印刷できるなど、認証を取得することのメリットが感じられ、社内の意識も変わってきたと感じています。ただ、認証取得の段階では、情報資産の洗い出しやリスク管理台帳作成の進捗状況を確認しにいくと、面倒臭がられる場面はありました。私達自身も情報資産の範囲をどう線引きして良いか、理解出来ていないところがある中での取り組みだったので、根気強く、時には一緒に手を動かしながら進めていきました。

— 社内の取り組みを進める上で、LRMはどのようなサポートをおこないましたか。

情報資産の洗い出しやリスク管理表の作成に関しては、事前にどのようなものが情報資産に含まれるのか、どのようなリスクが考えられるのかを、事例を示していただきながら説明していただきました。社内で作業を進める中でわからないことがあった時は、電話やメールで問い合わせをしてアドバイスをいただきました。また打ち合わせの際に進捗管理や内容のチェックをしていただいて、改善点のアドバイスもいただきました。

— 文書類が固まった時期はいつですか。

2019年2月末です。Pマークの更新審査が3月にありましたので、12月中にPマーク更新の申請書を送る必要がありました。そこで一旦、文書の読み合わせは中断して、Pマーク審査に向けた内部監査と従業員教育を実施して申請書を作成・送付し、1月に文書の読み合わせを再開して2月いっぱいかけて完成させました。

— 今回のPマーク更新審査は、新しいルールで受審したのですか。

いいえ。まだ移行期間中であるということと、今回のPマーク更新では申請前に新しいルールでの運用期間を確保することが難しかったので、従来のルールで受審しました。

— Pマークの更新審査へ向けた準備に、LRMは関与していないのですか。

Pマークの更新審査に向けた準備でも、ISMSとは別途、従業員教育と内部監査をサポートしていただきました。従業員教育は、LRMの情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能で実施しました。内部監査では、本社の内部監査を代行してもらいました。地方の各支店は社内の人間が内部監査員を務めて実施しましたが、スムーズで有効な内部監査を実施できるよう、チェック項目を作成して頂きました。

— 従業員教育についてお話を伺います。『セキュリオ』をご利用になられたご感想をお話し下さい。

『セキュリオ』は非常に使いやすいです。従来はテキストとテストを紙に印刷して実施していました。それに比べて格段に管理がしやすいですね。まず、一人一人の実施状況が簡単に把握できます。実施記録を紙で保管するとなると、何百名分もの記録用紙を管理しなければいけません。しかし『セキュリオ』なら、クラウド上にデータを持っている状態ですので、必要な時に必要な記録だけ印刷すれば済みます。審査では、ISMSの場合は画面を見せるだけですし、Pマークなら受講記録を1枚印刷して渡すだけで済みます。便利なので、ISMS認証取得後も契約し、使い続けています。

— 内部監査員を代行してもらうメリットをお話し下さい。

正しい方法で内部監査を実施出来ました。従来は自己流で何となくやり続けてきただけでしたので、引き締めることが出来ました。

内部監査は、自社内のリソースで実施するのが理想なのかもしれませんが、現実的には日常業務と並行して実施しますし、顔見知り同士で監査し合うことになりますので、妥協が生じます。その点、外部の方に見ていただければ、ダメなことはダメと釘を刺していただくことが可能です。自分達でやっている時は、何をチェックすれば良いのかわからなかったので、重点的に見なければいけないポイントや、見るべき視点を教えていただけて良かったと思います。

さらに、審査の予行演習にもなりました。事前に弊社からお願いして、より審査に近い形で実施してもらいました。

— ISMS認証の審査はいかがでしたか。

ISMSの審査はやりやすかったです。審査員の方はダメ出しをするのではなく、「もっとこうしたら運用がしやすくなりますよ」と、教えてくれるというスタンスでした。もちろんダメなことがあれば指摘されるはずですが、今回はアドバイスを頂いたという感触がありました。

— ISMS認証を取得して良かったと思うことはありますか。

まず、弊社の実態に合ったルール作りが出来た点です。

社員の情報セキュリティに対する意識が高まったという実感もあります。何かあるとすぐに「こうしたいから許可して欲しい」という問い合わせが来るようになりました。それは自分が所属している組織がISMS認証を取得・運用している会社であるという意識の表れであると認識しています。

また管理者サイドとしても、今回のISMS認証取得を通して沢山の気付きを得ることが出来ましたし、具体的な管理方法も知ることが出来ました。

— ISMSとPマークの統合についてはいかがですか。

統合して良かったですね。統合したことでルールが体系化されシンプルになりました。文書もスリム化し、ルールを確認したいと思った時は、簡単に振り返ることができます。ルールを形骸化させないためには、組織への浸透が不可欠です。だからこそルールはシンプルにしなければいけません。

— 文書類のボリュームはどのぐらい減りましたか。

劇的に減りました。以前はPマーク用の文書だけでしたが、A4ファイルで成人男性の身幅ぐらいの厚さがありました。現在はおよそ30ページの文書類が5冊なので、平均的な雑誌1冊分ぐらいです。以前は何重にも重複した記述があったり、そもそも弊社には不要な記録類があったり、無駄な要素が沢山あったということですね。とにかく大幅に削減することが出来ました。

— 今後の課題をお話し下さい。

今回は、守らなければいけないところは守って、自社の運用を壊さないということに重きを置いて、ルールを作りました。しかし会社が大きくなると、社会的責任も大きくなります。外部からの要請が増えることも考えられますので、そういった声を気にしながら、PDCAサイクルを回していかなければいけません。

目先の課題は、社内システムの刷新です。より具体的に言うと、規模に応じた情報の保管・共有の仕方を検討していく必要があると考えています。弊社は設立から10年以上が経過し、事業拡大とともに、拠点、従業員、情報、全てが増えました。しかし、情報の保管・共有の仕方は、小規模だった時と変わらず、社内に置いたファイルサーバーのままなので、クラウド化すべきかどうかを含めて検討して参ります。

— LRMのサポートはいかがでしたか。

大谷さんは、ざっくばらんに腹を割って話が出来るところが良かったです。説明も丁寧でした。商談の中で、「対応が悪いと感じられた場合、いつでも担当者を変更します」と言われていましたが、心配無用でした。

またLRMは、会社を挙げてのサポート体制が整っていました。作業を進める中で確認したいことがあった場合、LRMの事務所に電話をすると、担当者不在の時でも事務所にいる方が対応してくださいます。誰が対応してくださっても、我々が求める回答がしっかり返って来ました。全社を挙げてサポートしてくださる安心感がありました。

— 『セキュリオ』は引き続きご利用されているとのことでしたが、ISMSやPマークの今後の運用全般について、LRMにご期待されることはございますか。

先日、ISMSとPマークの運用改善サポート『情報セキュリティ倶楽部』を契約しました。LRMには今後もサポートしていただきます。特に期待していることは、他社の取り組み事例です。『情報セキュリティ倶楽部』と『セキュリオ』を契約をしておけば、メールマガジンでの情報配信のほか、いつでもコンサルタントに相談できます。
また、『セキュリオ』上では、実際に起きた情報漏洩事故の分析や最新関連法令など、関連コンテンツが配信されていますので、それらを見るだけでもずいぶん参考になります。情報セキュリティは組織内部の話ですので、他社の情報を得ることが困難です。世の中ではこういうことが流行っている、こういうやり方をしているといった情報をいただけることは、非常にありがたいです。

また内部監査のサポートもしていただきます。ISMSやPマークを形骸化させないためにも、ダメなところはダメだとしっかりご指摘いただきたいと考えています。

株式会社フェローズ様、お忙しい中有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社フェローズのWEBサイト
※ 取材日時 2019年9月