株式会社HERP様 – 顧客事例 –

リスクを放置することで起こりえる弊害に意識を向けられるようになりました
（コーポレート・西山麻未氏）

— 当初からPマークとISMS認証のW取得を目指しておられたのですか。

西山　はい。当初からPマークとISMS認証のダブル認証取得を目指していました。
ただ、スケジュール的な問題がありましたので、まずはPマークを取得し、続けてISMS認証を取得しました。ダブル認証取得の目的は以下の2点です。

（1）大手企業への販路拡大に向けた信頼の獲得
2018年1月に『HERP Hire』のβ版をリリースした際は、日頃からお付き合いのあるベンチャー企業を中心に導入いただいていましたが、2019年3月の正式リリースに向け大手企業への販売も視野に入れた環境整備が必要でした。

（2）従業員のセキュリティ意識向上
弊社の従業員の大半はエンジニアです。平均年齢は20代後半で社会経験も一定以上ありますので、情報の取り扱いに関してリテラシーは低くはありません。しかし今後、組織が拡大していく中で社員のリテラシーだけに頼り続けることは難しく、組織を成長させながら従業員のセキュリティ意識を維持・向上させるには、社内統一ルールを定め、継続的に教育していく必要があると考えました。

— Pマークとの文書統合は、どのような経緯でご依頼されたのですか。

西山　Pマークとの文書統合はISMS認証取得のコンサルティングを依頼した際に、LRMからご提案いただきました。
弊社における情報セキュリティマネジメントシステムの運用工数がミニマムで済む文書体系にしていただきました。

— ISMS認証の適用範囲をお話し下さい。

hiroqn 本社のみです。現在、つくばと京都にも開発拠点がありますが、いずれも準備中に増えた拠点であるため適用外とし、本社のみで取得しました。

担当者だけではなくチーム全体で対応するサポート体制も良かったです
（コーポレート・田口悠希氏）

— 御社内の取り組み体制を教えて下さい。

西山　ISMSとPマークの運用は、ISMS事務局と情報セキュリティ担当者が連携して取り組んでいます。ISMS認証取得にあたっては、Pマーク取得時の担当者から引き継ぎ、コーポレート部門の西山と開発部門のhiroqnの2名体制でスタートしました。田口は内部監査の準備から参加しており、現在はこの3名がISMS事務局として活動しています。
情報セキュリティ担当者は部門ごとに任命しており、情報資産やリスクなどの洗い出し、ルールの周知・浸透を担っています。部門ごとに洗い出した情報資産やリスクなどは、それぞれISMS事務局が集約し、検討の上情報資産台帳、リスク管理台帳などのドキュメントにまとめました。

— 情報セキュリティ担当者はどのように選定されたのですか。

田口　情報セキュリティ担当者は、各部署の業務を把握し、なおかつ部署のメンバーにセキュリティの啓蒙を行う際の窓口になっていただける人物を選任しました。

— ISMS事務局の方々の、ISMSおよびPマークの運用経験をお話し下さい。

西山　田口は前職でISMSとPマークを運用していた経験がありましたが、西山、hiroqnはいずれも未経験でした。
そのため12月に田口をISMS事務局に迎えるまでは、円滑に作業を進めることが出来ずにいました。

— ご苦労されたのはどのような点ですか。

西山　本来の業務とのバランスを取るところが最も苦労した点です。ISMS認証取得に取り組み始めた当時は従業員数が14名ぐらいで、まだコーポレート部門も確立されていませんでした。ドキュメント類を整備していく作業は主として私が担当していましたが、コーポレート業務との両立で苦慮していました。途中でオフィスの移転準備があったことも業務量が増えた要因でした。しかし田口が入社し、ドキュメント類の整備を分担してもらったことで、円滑に進めることが出来るようになりました。

— 文書統合はどのような方法で行われたのでしょうか。

hiroqn　今回はすでにPマークの文書が存在していましたので、個人情報以外のISMSに必要なリスクアセスメントを追加で実施した上で、Pマークの文書と合体させて1つの文書体系にまとめ、それを叩き台として打ち合わせの中で確認しながら、弊社の実態に合わせて修正していきました。

— 今回、ISMSを構築した中でみなさんの業務に影響を与えるようなルールはございませんでしたか。

hiroqn　特に現場の業務に負荷がかかったり、開発スピードにブレーキを掛けたりするようなルールはありませんでした。今回適用したルールは、無理なく出来る範囲のルールばかりです。

不要なルールは増やしたくない。その想いに沿ったサポートをしていただきました
（エンジニア・hiroqn氏）

— ISMSの構築、Pマークとの文書統合を行う上で、LRMはどのようなサポートをしてくれましたか。

hiroqn　私たちとしては出来るだけ不要なルールは増やしたくないという思いがありました。そういった希望に沿ったマネジメントシステムの構築をサポートしていただきました。

田口　PマークとISMSの要件をどちらも満たしつつ、業務スピードを落とさない形でのマネジメントシステムを構築するための知恵を頂きました。ISMSとPマークは、重なる要素もありますが、単に個人情報と機密情報と守る範囲が違うだけではなく、そもそもの性質が異なる制度に基づいた認証です。それらを維持する中で、ISMSの要求事項を守ったばかりにPマークがおろそかになるということがあってはなりません。逆も同様です。
どちらの要求事項も満たしつつ、弊社の運用が重くなるのは望ましくないという、ややわがままな要望を実現するためにLRMのお知恵をいただきました。

— ISMSとPマークで、矛盾する部分もあるということですか。

田口　矛盾というほど大きな乖離ではありません。ただ、「ルールを定めること」が要求されているISMSと異なり、Pマークでは、要求事項に「こうして下さい」と厳密に運用が規定されています。LRMにはその議論を通して決めたルールについて、ISMSならびにPマークの要求事項上問題ないかどうかを確認していただきました。

その中で、両方の規格の要求事項を満たしながらも、業務のスピード感や柔軟性を維持しつつ、セキュリティも担保するためにどの程度のレベル感で落ち着かせるのが望ましいかという議論をかなりしました。LRMにはその議論を通して決めたルールについて、ISMSならびにPマークの要求事項上問題ないかどうかを確認していただきました。

— その他のサービス内容についてお聞きします。従業員教育では、情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能をご利用になられましたか。

西山　『セキュリオ』は、従業員教育の実施と管理、およびPマークとISMS上必要な法令管理台帳を揃えるために使いました。

— 『セキュリオ』をご利用になられたご感想をお話し下さい。

西山　必ず必要かと言われるとそうではないかも知れませんが、例えば従業員教育は、従業員数が増えるに従って対象者が増えますので、全従業員への周知や準備、テスト結果の管理などが一元的に行えるところは便利だと思いました。また、全てクラウド上で完結しますので、紙の文書が発生しない点も管理がしやすい要素です。

田口　法令管理台帳に関しても同様です。法令管理台帳で管理すべき外部ドキュメント類は、外部でバラバラに存在しているものです。それらの更新状況や改訂状況を逐一見に行くのは結構手間がかかることですので、一箇所に集約され、常に最新版をチェック出来ることは非常に有り難いツールだと思っています。

機能面では、対象となる法令や外部文書を検索する際の選択も容易ですし、エクセル形式でエクスポートすることも出来ますので、そこからGoogleスプレッドシートに移して社内文書として容易に管理、活用が可能です。
特にPマークでは自社の運用に関連がある法令を一覧化しておく必要があります。前職時代はこういった管理台帳類を一から作っていましたが、大変な作業でした。

— 内部監査員代行も活用されましたか。

田口　はい。弊社規模の組織はメンバー同士の関係が濃いため、内部監査がなあなあになったり、形骸化したりしてしまうのではないかと懸念していました。あくまでも内部監査責任者は社内の者である必要がありますが、監査員をLRMに対応してもらうことで公平性のある内部監査が実現できたと考えています。妥協のない内部監査を実施したことで、対応が不足している箇所も洗い出せましたし、こういう指摘があったと社内で話しやすい状況も生まれました。

— 外部審査はいかがでしたか。

田口　スムーズに終わった印象はありました。もちろん指摘事項はありましたが致命的なものではなく、今後の運用に結びつく前向きな指摘事項ばかりでした。

— 田口さん以外のお二人は審査を受けるのは初めてですね。

西山　はい。どういう審査員が来るかもわからないし、何を聞かれるかもわからないので、始まる前は緊張しましたし不安でした。しかし、始まってみると、すでにLRMとのミーティングで話したことを聞かれることが多かったので、回答に困ることは特にありませんでした。