株式会社FPパートナー様 – 顧客事例 –

テレビCMでおなじみ『マネードクター』を運営する株式会社FPパートナーは、2019年11月、社内システムの開発と運用を担う経営企画部 システム課を適用範囲とするISMS/ISO27001認証を取得しました。ISMS/ISO27001認証取得の理由と取り組みの成果について、経営企画部 システム課 野崎雷太氏にお話を伺いました。

（株式会社FPパートナーについて）

無料FP相談『マネードクター』に相談申込みをしていただいた顧客に対し、ファイナンシャルプランニング業務を行っている。国内に97拠点を構え、外交員は国内最大級の1,500名以上（2019年11月現在）が在籍。地域に根ざしたコンサルティング活動を行っている。売上が最も大きい保険分野では21ブランドを扱う。その充実した商品ラインナップと提案力が最大の強みだ。
成約に至るか至らないかに関わらず、提案を受けた顧客の満足度は9割以上にのぼっている。
設立；2009年12月。本社；東京都文京区。従業員数；約1,700名。

（経営企画部 システム課について）

顧客接点の入り口である『マネードクター』のWEBサイト上の申し込みフォーム、顧客とファイナンシャルプランナーとのマッチング処理、営業支援システムの独自開発と運用を担う。もともとはASPサービスを使っていたが、2012年頃より自前システムの開発運用をスタート。問い合わせに対するレスポンスのスピードや、業務の正確性、効率を大幅に向上させ、事業成長を後押しし続けている。長らく社内システムとして運用してきたが、2019年に入り、一部の提携企業に対して営業支援システムとAPIを通じたマッチングシステムの提供をスタートしている。

— LRMへのご依頼内容をお話し下さい。

弊社は2019年5月、LRMに経営企画部 システム課を適用範囲とするISMS/ISO27001（以下、ISMS）認証の新規取得コンサルティングを依頼しました。LRMの担当者は三崎さんと金子さんです。お二人のサポートを受け、2019年5月から準備をスタートし、10月中旬に第2段階審査を受審し、11月1日、ISMS認証を取得しました。

— ISMS認証を取得した理由をお話し下さい。

弊社の経営企画部 システム課がISMS認証を取得した目的は、2つあります。
（1）属人的な業務運用からの脱却、（2）対外的信用の獲得です。

（1）属人的な業務運用からの脱却
ISMS認証の取得に関しては課のメンバーが増え始めた2年前ぐらいから必要性を感じていました。システム課が開設されてから7年が経ちますが、そのうち5年近くは私が1人で開発をしていた状態であり、属人的な運用になっていました。ところが会社の成長に伴い、2017年ぐらいから、取り扱いデータの規模や件数が一気に増え始め、1人では対応に限界が見え始めたため、人員を増やすことになりました。そして人が増えるとともに、組織立った情報セキュリティマネジメントの必要性を感じ始め、ISMS認証取得を検討し始めました。

（2）対外的信用の獲得
組織立った情報セキュリティマネジメントの必要性を感じる中、今年（2019年）に入り、提携先企業へのお客様マッチングシステムの提供がスタートしました。それに伴い、提携先に対して万全なセキュリティ体制でシステムを運用をしていることを証明する必要が出てきました。そこでISMS認証を取得することとなりました。またISMSは、弊社にご相談いただくお客様や保険会社様に対しても、きちんとしたマネジメントが出来ることを示すにあたって有効であると考えました。特に、ご成約に至ったお客様は弊社のお客様であると同時に保険会社様のお客様でもあります。保険会社様から見れば、自社の顧客情報を我々がお預かりしているという位置づけになります。そのようなセンシティブな情報を管理する立場として、情報セキュリティマネジメントシステムが整備されているということを示す重要性は高いと考えました。

— この2年間でシステム課ではどのような方を採用されてきたのですか。

ほとんどが中途採用の方でした。それぞれ前職までの経験がありますので、各自のやり方に任せていました。
個々のスキルが高い事が多く、品質に問題はありませんが、体系化された仕組みがないため管理コストがかかります。管理者の責任として、ルールを明文化して、そのルールに則って動けば良いという状況を作る必要がありました。
セキュリティ対応は「これで十分」と言えることはありません。実務を担当する側にとっても、何をどこまでやったら良いのか、その理由は何故かを明確にした方が格段に動きやすいはずです。自身の作業の必要性と重要性の理解が得られるからです。

— ISMS認証を取得するためにどのようなことをされましたか。

現状の可視化と、その現状に基づいたルールの明確化です。現状の可視化というのは、情報資産の可視化、リスクの可視化、物理的なインフラの可視化などであり、情報資産台帳やリスク管理台帳やインフラ構成図などのドキュメントを作成することです。インフラ構成図はもともと存在していましたが、情報資産台帳、リスク管理台帳などはありませんでしたので、LRMからフォーマットをいただいて作成しました。フォーマットに沿って現状を書き込むだけでしたが、結果的に現状の棚卸しが出来て良かったです。

— これまでみなさんの自主性に任せていたことを統一する作業はどのようにされたのですか。

リスクを洗い出す作業は、私を含めた主要メンバー4名で行いました。それぞれの社員が漠然と「ここは危ない」「ここをもう少しきちんとした方が良い」と思っていたものを洗い出してリスト化し、それぞれのリスク許容度を設定した上で対策を決めていきました。それによってメンバーの頭の中にあったリスクを可視化し、課としてのルールを整理することが出来ました。 この「明らかにする」という作業が非常に大事です。

— リスクへの対策を決めたことによって、業務の手順などが変わることはありましたか。

従来のやり方を変えたことはほとんどありません。システム課は30代後半の社員が中心で、実務経験豊富、かつセキュリティに対する意識が高い人材が揃っています。そのためやるべきことは出来ていました。

あえて言うならBCP対策ぐらいでしょうか。社内システムには従来から有事の際も継続的に動ける仕組みを設定していましたが、いざという時に設定通りに動作するかどうかはその時になってみないとわからない状態でした。ISMS認証取得に向けた取り組みの中で予行演習を実施し、設定通りに動作することを確認しました。

— ご心配されていたような形骸化したルールが出来る可能性があるとすれば、それは何が原因となるのでしょうか。

情報資産台帳やリスク管理台帳などの作成において、個人の判断により、手を抜いてしまうことです。それによって現状と乖離したルールが出来て実効性が失われてしまいます。本当は10個あるのに「面倒くさいから5個だけにしておこう」など、おそらく自身の怠慢が形骸化に繋がる恐れがあります。認証を取得することだけが目的になってしまうと、そうなってもおかしくありません。

— そうなる可能性があるぐらい作業量は多いということでしょうか。

そうですね。普段の業務と平行してやるには多かったです。実際に残業してやることもありましたし、業務が忙しい時は作業がストップしてしまうこともありました。

— 特にご苦労されたことはどのようなことですか。

リスクの洗い出しです。台帳の作成にあたってはフォーマットだけではなく、サンプルもご提供いただきましたが、洗い出したリスクの中には、サンプルには載っていない弊社独自のものがありましたので、それをどのように反映すべきか悩むことは少なくありませんでした。

— LRMからは作業を円滑に進めるためのサポートはありましたか。

アドバイスはよくいただきました。自分達がやっていることをどのように記述すれば良いのか迷った際に質問すると、実例を交えながら「こういう書き方が良い」と教えていただきました。経験に基づいたアドバイスは有効でした。
そのサポートがありましたので、途中で作業が止まっても最終的にはスケジュール通りに審査を迎えることが出来ました。

— 従業員教育はどうされたのですか。

従業員教育に関しても、LRMにご用意いただいたツールを活用しました。情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能です。『セキュリオ』があったおかげで、苦労なく取り組むことが出来ました。

— 『セキュリオ』は使い易かったですか。

使い易かったです。各自の実施状況、合否結果などが記録され結果が可視化されますので、管理者としては受講の必要がある旨を周知するだけで済みました。また受講する側の立場でも、使い方で迷うことはありませんでした。

— 内部監査はいかがでしたか。

内部監査はLRMに内部監査員を代行してもらいました。

— 内部監査員を代行してもらうメリットをお話し下さい。

チェックすべきところをしっかり監査していただける点です。情報セキュリティに詳しい人材はシステム課に集中しています。そのため社内の人員がISMSの内部監査員を務めて実施すると、手続き上実施するだけに留まってしまう可能性がありますので、外部の専門家に任せるのが最善だと考えています。

また、審査を受けること自体初めてで不安が多かったので、内部監査が不安を払拭する機会になりました。事前に準備すべき資料は何か、実際の審査では何を聞かれるのかなどを確認させていただきました。そういった質問に対し、三崎さんや金子さんは様々な事例を交えてアドバイスして下さいました。

— 実際の審査はいかがでしたか。

「しっかり準備出来ている」と思える状態で臨むことが出来ましたので、特に困ったことや不安はありませんでした。審査員にはこれまでやってきたことをざっくばらんにお伝えすることが出来ましたし、過度に緊張するようなこともなく、最後まで自然な会話で審査を終えることが出来ました。

— ISMS認証取得の取り組みを通した部署内の変化はございますか。

今回の取り組みを通して課内に2つの変化がありました。

（1）安心して業務に取り組めるようになった
各自の認識をすり合わせて可視化したことで、安心して業務に取り組めるようになった実感は持っています。この安心感があるからこそ、業務のスピードアップ、効率化にも繋がっています。

（2）リアルタイムでリスクを共有するようになった
日々の業務でリスクに気付いたらすぐに共有し、次の年間計画に入れようという流れが生まれました。これまでは気になったことがあっても業務の都合上後回しにしていたようなことも、気付いた時点でリスト化され、次のタスクに繋がって行くという形が出来つつあります。これまで以上にセキュリティに対する意識が高まったように思いますので、非常に良かったと感じています。ISMSのPDCAサイクルをメンバー全員が意識したことによって、情報が埋もれずに共有されるようになったのではないでしょうか。

— 情報セキュリティに関連した今後の課題がございましたらお話し下さい。

今後は、実際にPDCAサイクルを回すフェーズに入って行きますので、毎月、一定の時間を確保して、リスクを見直す作業は行いたいと考えています。

また、認証範囲の拡大も課題の1つです。弊社は拠点数が非常に多く、全社取得には膨大な時間と手間を要します。
そのため今回は最もクリティカルな情報を扱っているシステム課からスタートすることとなりましたが、今後は他の部署にも拡大していきたいと考えています。担っている業務や立場によって情報セキュリティの重要度が異なりますので、重要度が高い部署から働きかけていきたいと考えています。

— LRMのコンサルティングはいかがでしたか。

比較対象がありませんので私個人の1回限りの経験での印象を申し上げますと、ISMS認証取得という結果が出ていますし、そこに至る過程の支援は非常に満足出来るものでした。そういう意味では依頼して良かったと思っています。

— 今後の御期待がございましたらお話し下さい。

今後も継続してサポートをお願いできるよう、ISMSの運用改善サポート『情報セキュリティ倶楽部』の契約と、情報セキュリティ教育クラウド『セキュリオ』の継続契約を検討中です。実際にPDCAサイクルを回すフェーズは我々にとっては未経験ですが、運用する中で問題や課題は出てくると思います。弊社のサービスにも言えることですが、必要な時に質問や相談が出来る専門家と繋がっておくことは非常に価値があると考えています。『セキュリオ』に関しては、eラーニングだけではなく、関連法令の管理機能などもうまく活用していきたいと考えています。

株式会社FPパートナー様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社FPパートナー様のWEBサイト
※ 『マネードクター』のサービスサイト
※ 取材日時 2019年11月