K.S.ロジャース株式会社様 – 顧客事例 –

「自由で自立したワークスタイル」の実践を理念に掲げるK.S.ロジャース社のWebサイト

— LRMへのご依頼内容をお話し下さい。

K.S.ロジャース株式会社は、2020年3月、LRMにISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。

LRMの担当者は松岡さんです。弊社側は、花房とPMを務めるドイツ在住のエンジニアの2名体制で準備に臨みました。約半年間、松岡さんのサポートを受けて準備を進め、同年10月、ISMS認証を取得しました。

— コンサルティング会社選定の経緯をお話し下さい。

LRMを含めて3社から話を聞き、比較した上でLRMに依頼しました。運用まで含めたトータルコストが安かったこと、リモートワークを実践している会社に対するサポート実績などが決め手です。

— 花房さんは普段どのようなお仕事をされている方ですか。

私は、肩書き上は人事マネージャーとなっていますが、諸々な業務を兼務しています。事業開発、営業の他、採用を含めたバックオフィスの領域全般に関わっています。K.S.ロジャースには、去年1月頃に業務委託として参画しました。エンジニア以外の職種では1人目です。

— エンジニアだけではなく、バックオフィスやビジネス系のスタッフにも業務委託の方がいらっしゃるのですね。

ビジネスやバックオフィスは全員業務委託です。中期経営計画も業務委託のメンバーが作成していますが、社員と業務委託の間に分け隔てはありません。社員も業務委託もフルリモートで、なおかつ複業という形で働いています。

— ISMSの認証範囲には業務委託の方も含まれているのでしょうか。

ISMS認証の適用範囲は社員のみです。7名のエンジニアが社員として契約しています。その他は全て業務委託です。
ただし今回構築したルールに基づいた教育は、雇用形態に関係なく全員に適用していきます

株式会社を名乗る以上、責任があります。そのためにISMSを取得しました
（代表取締役・民輪一博氏）

— K.S.ロジャース様の情報セキュリティに対するお考えをお話し下さい。

まず、弊社の特徴として、紙による情報管理は一切なく、全ての情報をクラウド上で管理しています。また社員か業務委託かに関わらず、弊社の業務に携わるメンバーは、複数の会社に所属していることが珍しくはありません。そのため会社としては、情報漏洩のリスクには注意を向ける必要があります。そこで、設立当初から、クラウド上のドライブを細かく分けて権限設定することで、漏洩するリスクの低減を図ってきました。

一方で、事業規模が拡大するとともに、大規模な企業との取引が増えて来ました。大手企業は監査が厳しいこともあり、委託先の情報管理体制を気にされます。弊社は“コミュニティ型企業”を謳い、実践してはいますが、株式会社を名乗りサービスを提供している以上、最低限の責務を果たす必要があります。ISMS認証はそのための体制整備を目的として取得しました。

— お客様からISMS認証、もしくはプライバシーマーク（以下、Pマーク）の取得を求められることもおありでしょうか。

これまで特定の企業から具体的に要求されたケースはありません。ISMS認証取得の意思決定に繋がる問題意識として最も大きかったものは、自分たちでルールを言語化出来ていなかったことです。客観的な基準に沿って、ルールを明文化したいという想いがありました。

正直なところ、弊社の信頼度はまだまだ高くありません。コロナ禍でリモートワークが定着したとはいえ、警戒されるポイントであることに変わりはありません。大手企業との取引が増えれば、ISMS認証やPマークが要求されることも増えていくことは予測されます。

— Pマークは選択肢にありませんでしたか。

コンサルティング会社に問い合わせをした段階ではPマークを取得するつもりでした。しかしLRMから、BtoCビジネスで膨大な個人情報を扱っているというわけではないためISMSの方が適しているのではないかというご指摘を受け、ISMSの取得に目標を変えました。

— 様々な立場の方が御社の業務に携わっています。就業規則のような統一したルールはございましたか。

社員向けにはありましたが、業務委託者に対して明文化したルールは存在しませんでした。その分、ドライブを整理して細かく権限を分けて管理して来ました。大事故に繋がる情報にアクセス出来る人を最低限に設定すれば、リスクを抑えることは可能です。メンバーの責任に応じて、それぞれが必要な情報にしかアクセスできない環境を作ることでリスクを抑えて来ました。

— 皆さんが仕事をする場所は基本的にご自宅ですか。

基本的には自宅ですが、カフェやコワーキングも可としています。カフェやコワーキングスペースで仕事をしている際は、他の人から見えないようプライバシーフィルターを使用する、席を外すときはパスワードロックをかけるといった注意喚起はしていました。また、ツールによっては2段階認証の設定をしてもらっていました。これらの対策は、今回のISMSのマニュアルにも記載してあります。

ISMS認証取得後も、新規事業を作った時の対応などについて相談しています
（人事マネージャー・花房啓佑氏）

— ISMS認証取得までのフローでご苦労はございませんでしたか。

マニュアルの作成は、ISO27001の規格に沿って表記する必要がありましたので難解な作業ではありました。
しかし、松岡さんが全面的にサポートしてくれたため、そこまでの苦労はありませんでした。そもそもISMSとは何かという話から始まり、どのようなプロセスで取得をしていくかを明示していただきましたので、迷うことなく作業を進め、スケジュール通りにISMS認証を取得することが出来ました。

— 文書作成に関して、LRMはどのようなサポートをしてくれましたか。

まず雛形を頂いて、読み合わせをしながら弊社の実態に合わせていくという作業を行いました。その際、規格に沿った表現の仕方について、他社の事例を提示していただくなど、様々な角度からヒントを頂きました。作業はほぼ打ち合わせをしながら進めましたが、その場で決められないこともありましたので、一旦弊社側で持ち帰って作業を進めました。わからないところがあれば松岡さんにメールで質問し、いただいた回答を元に作業を進めました。

— 従業員教育はどのように実施しましたか。

従業員教育は、LRMの情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能をご提供いただいて実施しました。今回はISMSの適用範囲に該当する社員のみを対象に実施し、ISMS担当者の花房は、管理者としてのメニューを受講しました。今後は業務委託者にも、社員と同じメニューで教育を実施していきます。

— 『セキュリオ』を利用したご感想をお話し下さい。

事前に教材が作成され、コンサルティングサービスの中に組み込まれてありましたので、テキストやテストを作成する工数を省くことが出来ました。そういう意味では『セキュリオ』にはISMSを運用していくために必要なコンテンツが揃っているため、従業員教育以外にも管理工数を削減することが可能です。特に弊社が便利だと思ったのが法令管理です。情報セキュリティに関連する法令の最新版を常にフォローしておく作業も自社でやるのは大変です。

— 委託先管理の機能は使っておられないのですか。

委託先管理の機能は使っていませんが、次年度以降は利用する予定です。現状では業務委託契約とNDA（秘密保持契約）を交わしていますので、管理台帳を作って管理しています。

— 内部監査はいかがですか。

内部監査は松岡さんに内部監査員代行をお願いしました。

内部監査員代行というサービスは、初回は特にお願いした方が良いと思います。ISMSの担当者は2人とも過去に取得経験があるわけではありませんし、仮にあったとしても1回やったぐらいではスキルとして蓄積されないと思います。
そういった状態で内部監査を実施しても効果的な取り組みにはならないと感じます。

— 実際、内部監査によって指摘された問題点などはありましたか。

情報資産の洗い出し、リスク管理表の漏れをご指摘いただき、追加しました。