株式会社Life is Style様 & 株式会社Phantom Management様 – ISMS/ISO27001認証・取得コンサルティング 事例

3Dホログラムサイネージ提供元・株式会社Life is Styleは、2020年12月、LRMのサポートを受け、同社の製品を使った広告運用管理を行う株式会社Phantom ManagementとのISMSグループ認証を取得しました。
「不安しかなかった」と語るのはISMS事務局の西川侑磨氏と折原和司氏。認証取得を終えたばかりのお二人に、取り組み前の不安と取り組みの経緯、そしてLRMに対するご評価を伺いました。

お客様が抱える課題とISMS構築アプローチ

• グローバル体験型メディアを目指すうえで、国際標準規格へこだわりたい
• スケジュール感と負担の大きさが見えないことが不安
• 認証取得の専任者を確保するのが難しい

• パスワード管理ツールを導入するなど、従業員のセキュリティ知識や行動を標準化
• コミュニケーションツールは一部リスク受容し、業務が滞らないように調整
• 現場がやりやすい範囲内でセキュリティを保てるラインを目指しルールを構築

LRMコンサルティングサービスへの感想

• 打合せ回数を状況に合わせて臨機応変に調整やリスケしてもらえた
• べき論の押し付けではなく、コミュニケーションを取りながら納得した上で物事を進められた
• 『セキュリオ』は、実施状況や理解度が可視化され把握できる

（株式会社Life is Styleについて）

LED光源がライン状についたブレードを高速回転させ、光の残像によって映像を映し出す3Dホログラムサイネージ『3D Phantom®』の開発・製造・販売等を行う。ヘッドセットの装着なしで、インパクトある3D映像を肉眼で見ることができる。空間に浮いているような不思議な魅力があり、店頭やイベント会場で人々を惹きつけ、大手企業を中心に着実に導入実績を増やしている。
外部調査機関によるリサーチでは、2020年10月現在、3Dホログラムサイネージとして国内導入実績No.1を誇る。同社最大連携台数となる95台を設置したアートアクアリウム美術館での体験型空間演出や、渋谷芸術祭2020にてお披露目した「3D Phantom® モビリティアートトラック」によるインスタレーション、駅周辺による広告媒体として設置などで話題を呼んでいる。BtoB仕様の3Dホログラムサイネージ提供元としては、海外類似品の総代理店にはないR&D部門を有することが大きな強みだ。現在、保守メンテや機能追加など、継続的にユーザーをサポートしていける体制を構築中である。今後は先進的なテクノロジー、データ、インタラクティブ機能を活用し、体験型広告メディア事業を推進。
本社;東京都渋谷区。設立;2017年1月。

---

（株式会社Phantom Managementについて）

3Dホログラムサイネージ『3D Phantom®』を活用した広告運用管理を行う。大手広告代理店や大手広告主を中心に、
新たな広告宣伝手法のご提案を行い、3Dホログラムサイネージによる体験型広告メディアの普及に努めている。
本社;東京都渋谷区。設立;2019年11月

— LRMへのご依頼内容をお話し下さい。

株式会社Life is Styleは、2020年6月、LRM株式会社にISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。株式会社Phantom Managementとのグループ認証です。金子さんと石濱さんのお二人にサポートしていただき、2020年12月、ISMS認証を取得しました。

— 年内取得という目標をクリアされ、「製品やサービスが安全・安心であることが伝わる環境整備」という目的に関しても、認証取得によって達成されました。今後、事 業拡大に取り組める体制も整備できたという実感はお持ちですか。

そのためのベースが作れたという表現が適切だと思います。これまでも、情報が大切であるという認識は社員それぞれ持っていましたが、知識や実際の行動にはばらつきがありました。ISMS認証取得に向けた取り組みでは、その差異を標準化することが出来ました。

端的な例がパスワードです。システムを安全に使う上でパスワードが重要であることは誰もが知っていることですが、パスワードの決め方や変更するタイミングなどはバラバラでした。ISMSの体制構築のなかでパスワードポリシーを定め、そのポリシーに沿って確実に運用できるよう、パスワード管理ツール『1Password』を導入しました。

パソコンの扱いでは他にもスクリーンセーバーの設定などのルールを設けています。ただ、そういった１つ１つのルールが全て完璧に出来ているかと言えば、まだまだ不十分です。第２段階審査の際、審査員の方とも話しましたが、今後の運用で当たり前に出来るよう徹底していくことが今後の課題です。

— 従業員の方々の意識や行動に変化は見られませんか。

普段の会話でISMSに関連した話題が出るようにはなりました。何かルールを逸脱してしまいそうな時に「危なかった」といった声を聞くと、意識付けは出来ているように感じます。

— 皆さんの業務がやりづらくなるということはありませんか。

現状では、そこまで業務がしづらくなるようなルールは設けていません。今回、ルールを決めるにあたっては、基本的に現場がやりやすい範囲内でセキュリティを保っていけるギリギリのところを目指しました。ひな型に書いてあることでも、「これは重たすぎるからやらない」と決めたこともありました。

— これはやめておこうと決めた事例というのはありますか。

例えば、コミュニケーションツールは有料版しか使ってはいけないというルールにしていますが、現状ではお客様とのやりとりで無料の個人向けサービスを使わざるを得ないこともあります。それは弊社側で選ぶ立場にはありません。
お客様から指定されれば仕方がありません。そこで管理監督者である西川の許可を得て使うということにしました。
これは一つのリスク受容であると考えています。

— コミュニケーションツールは有料を使うべき、というのはISMSの規格で要求されていることですか。

いいえ。特に規格で定められているわけではありません。弊社のルールとして、LRMと一緒に検討した結果、一旦は、有料版を使うというルールにするのがわかりやすいと判断をしました。本質的に有料版だから良いかどうかという問題もありますが、グレーゾーンをたくさん作ってしまうと際限がありませんので、一旦有料を使うというルールを決めて、必要に応じて判断していくという方がわかりやすいだろうと考えました。

— 今回の取り組みの中でご苦労されたことはございますか。

ルールを決めた後の実行段階は大変でした。文書作成やルール決めは、ISMS事務局とLRMの4人で打ち合わせをしながら粛々と進めることが出来ました。しかし各部門のトップや管理部に協力していただくところや、設備増設にあたっての稟議、さらにルールの周知徹底など、社内に展開していくところは苦労した部分です。それ以外は審査結果も含めてスムーズに行きました。

— ルール構築や文書作成にあたっての打ち合わせは何回ぐらい実施されたのですか。

打ち合わせは全てリモートで実施しましたが、30分ぐらいの短いミーティングも含めると、数え切れないぐらい行いました。スタート時点で、大まかなスケジュールとマイルストーンは決まっていて、打ち合わせ回数も設定してありましたが、必要に応じて細かい打ち合わせを挟みながら進めて行きました。

— そこがコンサルティング会社選定の打ち合わせ回数が決まっていないというところですね。

そうです。しかし、LRMのコンサルティングの本質的な価値は、コミュニケーションのしやすさにあると感じました。そこがコンサルティング会社の選定段階で最もこだわっていたところです。

コンサルティング会社選定の際に各社と話しながら感じたことは、「ISMS認証を取得するためにはこうあるべき」といった“べき論”で押し通されるとやりづらくなるなということでした。ISMS認証を取るには通常8ヶ月かかる、マニュアルは200ページになる、そんな風に杓子定規な対応をされると弊社の実態とかけ離れていくと感じました。

そういった不安を感じなかったからこそLRMに依頼したのですが、結果として非常にやりやすかったです。打ち合わせは予め決めたスケジュールで必ず実施するということではなく、状況に合わせて臨機応変に調整やリスケさせていただきました。弊社側での宿題を進める中で発生した細かなコミュニケーションは、メールや電話を使わずに『Slack』で出来たため、ストレスを抱えずに進めることが出来ました。また、マニュアルはボリュームが少ない方が運用しやすいですし、現場への浸透もしやすいと思っていましたので、出来る限りミニマムな形にしていただきました。

コミュニケーションを取りながら納得した上で物事を進めることが出来ます。まさに弊社が求めていたサポートでした。

— 従業員教育はいかがされましたか。

セキュリティ教育クラウド『セキュリオ』のeラーニング機能を使いました。今回配信したのは、基礎的な教材コンテンツです。
従業員ごとの実施状況や理解度が可視化され明確に把握できるという点がeラーニングのメリットだと感じました。
結果がわかりやすく効果測定も出来ますので、ISMS認証取得後の運用でも継続利用するために改めて契約しました。

ただ、eラーニングだけでは、ルールを浸透させることは出来ません。キックオフの場における定期的、反復的な周知が必須です。『Slack』に他社の情報セキュリティに関する事例を配信する専門チャネルを作り毎日配信していますので、その中からピックアップして全員が集まる時に話をするなど、色々と工夫していきたいと考えています。

— 他社の事例というのは、どのように収集しておられるのでしょうか。

LRMに教えていただいたおすすめサイトを『Slack』のRSS機能に登録し、取得したニュースの中から、我々がピックアップして配信しています。

— 内部監査のサポートはいかがでしたか。

内部監査は、内部監査員を代行していただきました。コロナ禍の影響で、打ち合わせは全てリモートで実施しましたが、第2段階審査の前に実施した内部監査は、現地にて細かくチェックしていただきました。そこで出来ていないことを洗い出し、改善した上で審査を受けました。

我々は情報セキュリティの最新情報に触れているわけでもありませんし、何をどういう評価基準で監査して良いかがわかりませんので、客観的な視点で監査することは困難です。そういう意味でも内部監査員代行サービスは便利だと感じました。

— 実際に受けた審査はいかがでしたか。

内部監査の他、トップインタビューを含めて、事前に予行演習を実施していただき、しっかり事前準備をした上で審査を迎えることが出来ました。当日もLRMのコンサルタントに同席していただけたため安心感がありました。

また、審査の内容は、内部監査や予行演習とほぼ同じ内容でしたのでやりやすかったです。指摘事項も軽微なものが少しあっただけです。

— 今後、ISMSを運用していくにあたっての展望をお話し下さい。

審査の際に内部環境における課題感として伝えたのが、社内へのルールの浸透です。今回決めたルールが当たり前のように出来るよう、周知を繰り返していかなければなりません。次の維持審査を終えて、何とか身に付いたという感覚が持てるのかなと感じています。そして、いずれはISMS事務局を他のメンバーに引き継げるような状態を作ることが目標です。誰がやってもISMS運用が出来ることこそ、組織としてあるべき姿であると考えています。

— LRMのコンサルティングはいかがでしたか。

言うことなしです。繰り返しになりますが、“べき論”ではなく、現場に寄り添ったコンサルティングをしてもらえたことが最大の価値です。“べき論”だけならコンサルタントは必要ありません。そこがわからないからこそ聞いているのです。LRMのサポートがあったからこそ、ISMSの要求事項を満たしつつ、我々の要望も満たせました。非常にバランスの良いマネジメントシステムが構築できて良かったと思っています。

— 今後の御期待がございましたらお話し下さい。

今後も社内への浸透や内部監査をサポートしていただくために、ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。

社内への浸透に関しては、ISMS事務局の私達自身が理解できていなければ、社員に説明できませんし、納得もしてもらえません。ISMSを運用する主体はあくまでも社員ですので、現場に運用を定着させる際のサポートをしていただきたいと考えています。

内部監査に関しては、当事者による監査は意味がありません。外部の視点で見てしっかり指摘してもらうことが、運用を定着させる上で大切です。社内の人間だけで運用していくと、やりたくないことがたくさん出てきて、面倒になってしまう危険があります。駄目なところをきちんと指摘してくれる存在がいないと、知らない間にどんどん基準が下がり、形骸化してしまうことにもなりかねません。緊張感を維持しながら運用し続けるためにも、外部の専門家に関与していただいた方が良いと考えています。

株式会社Life is Styleの皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社Life is Style様のWEBサイト
※ 株式会社Phantom Management様のWEBサイト
※ 『3D Phantom®』製品サイト
※ 取材日時 2020年12月