税理士法人ネイチャー国際資産税様 – 顧客事例 –

社内の仕組改善の一環としてISMS認証を取得しました。本題から逸れたITの相談にも親身に答えてくれるLRMのコンサルタントはとても心強かったです

税理士法人ネイチャー国際資産税は、2017年9月、ISMS/ISO27001認証を取得しました。国際資産税のニッチトップとして成長中の同社がISMS/ISO27001認証取得に取り組んだ理由と、認証取得に至る経緯、成果などについて、代表税理士・芦田敏之氏に伺いました。

記事index

社内の仕組改善の一環としてISMS/ISO27001認証を取得
情報セキュリティと直結しない細かな質問も気軽にできる親身さ
ISMS/ISO27001認証取得に向けた取り組み
ISMS/ISO27001認証取得を通して従業員の情報セキュリティ意識が向上
線を引かないコンサルティングスタイルは期待通り
LRMへの期待

（税理士法人ネイチャー国際資産税について）

富裕層向けの国際資産税に特化した税務全般のコンサルティングを行う。
国内を含む税務アドバイザリー、事業承継、資産管理会社の会計税務、民事信託や不動産活用、さらにM&Aなど富裕層の抱える様々な悩みに対し広範囲なサービスを提供している。強みは、長年にわたる富裕層ビジネスで培われたノウハウと国際的なネットワークだ。その強みを活かしてトップとしてのポジションを確立。
これまでのコンサルティング実績は数百件に及ぶ。強固な関係性を築く金融機関からの紹介も多く、今後はさらなる成長が見込まれる。
設立；2012年7月。従業員数；40名（2018年4月現在）。本社；東京都千代田区。

社内の仕組改善の一環としてISMS/ISO27001認証を取得

ブルーチップカンパニーが取り組むことは全て取り入れるつもりで環境整備を進めています
（代表税理士・芦田敏之氏）

— 御社は、2017年9月、ISMS/ISO27001（以下、ISMS）認証新規取得をされました。まず、ISMS認証を取得された理由をお話し下さい。

弊社は、社内の仕組改善の一環としてISMS認証を取得しました。弊社の経営にとって致命的なダメージに繋がるリスクは、【人材流出】、【情報セキュリティ事故】、【お客様に対する誤った回答】の3つです。弊社は現在、これらのリスクに対する備えとして、社内の様々な仕組改善に取り組んでいます。

【人材流出】
現在、国内企業の平均離職率は高まっていますが、税理士業界は特に高い状況です。弊社は2018年には社員数が40名になりますが、その中のキーマンとなる人材が大量に離職してしまうと、一気にリソース不足に陥ります。

【情報セキュリティ事故】
弊社は日頃、大手金融機関や上場企業とお付き合いさせていただいています。その中で情報をいい加減に扱うことは、絶対にあってはならないことです。仮に情報漏えい事故などがあれば、全ての取引が停止となります。そのため弊社にとって情報セキュリティは、継続的に取り組むべき重要課題の1つです。

【お客様に対する誤った回答】
弊社の社員がお客様に間違った回答をしてしまえば、弊社の信用は一気に失墜してしまいます。

以上3つのリスクのうち、ISMS認証取得は【人材流出】、【情報セキュリティ事故】の2つと関連します。

（1）人材流出との関連
弊社の社員が弊社を退職した後の転職先として選択するのは、ブルーチップカンパニーと呼ばれる優良企業です。
人材流出を防ぐには、そのようなブルーチップカンパニー（※）と同等以上の環境を整備する必要があります。
そこで現在、長期休暇の導入や残業時間の大幅削減といった働き方改革にも取り組んでいます。
この他にも弊社はブルーチップカンパニーと呼ばれる企業が取り入れる制度や仕組は全て取り入れようと考えて、整備を進めているところです。ISMS認証取得もその一環です。

※収益性や成長性に優れるとともに、財務的基盤が磐石な優良企業。「ブルーチップ」とはもともと、主としてダウ工業株30種平均（NYダウ）に採用されている代表的な米国企業の株式銘柄を指していた。現在は米国以外でも最優良株を指す場合に用いられる。

（2）情報セキュリティ事故との関連
弊社はお客様の個人資産と関連したあらゆる個人情報をお預かりしています。そのような組織として情報を大切に扱うことは当然のことであり、前々より意識して取り組んできました。その取り組みを対外的に証明する根拠として、第三者認証の取得は有効な手段です。弊社は金融機関からお客様をご紹介いただくケースが増えています。
その際に重要となるのが信頼性です。ISMS認証は、お客様に対して、弊社がきちんとした会社であることを示し、ご安心いただく材料となります。

以上がISMS認証を取得した理由です。

— ISMS認証取得によるデメリット、ご心配などはございませんでしたか。

もちろんやるべきことは増えます。特に管理部門の負担が増えますが、それは必要なことなのでデメリットとは捉えていません。

弊社は業務の中でITツールを積極的に活用しています。スケジュール管理、ワークフロー、承認プロセスなどは、紙でやっているとミスが生じやすく時間もかかります。そのためなるべくITツール導入による自動化、効率化を進めています。これらのITツールを有効に活用するためにも、しっかりとした仕組み作りや、従業員の情報セキュリティ意識の向上は必要です。

税理士も、5年程かけて体系的な勉強をするという段階が必要な資格です。その中には一見無駄に思えるようなこともありますが、それはデメリットではなく、必要なステップです。弊社にとってISMS認証取得は、それと同じであるという認識で取り組みました。

情報セキュリティと直結しない細かな質問も気軽にできる親身さ

— コンサルティング選定の経緯をお話し下さい。

LRMとのコンサルティング契約は、複数のコンサルティング会社を比較して決めました。比較ポイントは、実績、信頼性、親身さです。実際に何社かのコンサルティング会社と会って話をし、LRMを選びました。

LRMを選ぶ決め手となったのは親身さです。担当者の吉村さんには、本題から逸れた問題についても気軽に相談しやすい雰囲気がありました。特に弊社は業務の中でITツールを積極活用していますが、特別ITスキルに長けているわけではありません。しかしISMSは、ITと切り離すことはできません。
ISMSについての話をしていると、ITに関する細かい疑問が生じ、本題であるISMSの話からは逸れていくことは多々あります。そういった細かい疑問にも親身に対応していただける点が非常に有難いと感じました。
どのようなことでも気軽に相談できる相手としてLRMを選びました。

ISMS/ISO27001認証取得に向けた取り組み

— ISMS認証取得の経緯をお話し下さい。

ISMS認証取得の経緯で最も重要な工程は、マネジメントシステムの構築です。LRMと一緒に、情報セキュリティマニュアルの他、ネットワーク図、組織図、資産管理台帳、外注先リストなどの管理シートを作成していきました。
情報セキュリティマニュアルは、LRMが用意したマニュアルのひな形を読み合わせしながら、自社の業務に合わせて変更を加えながら完成させました。
これにより弊社が従来行っていた業務手順や管理の仕組が整理され、把握できる状態となりました。

ここまで月1回の打ち合わせを約半年間行い、その後従業員教育や内部監査を実施しました。

— 従業員教育はどのような形で行いましたか。

従業員教育は、まず情報セキュリティマニュアルをグループの全社員に渡して読んでもらい、その上でLRMが構築した情報セキュリティ教育クラウド「セキュリオ」のeラーニング機能でテストを実施し、社員の理解度を確認しました。

「『セキュリオ』は、若年層社員のベースアップに役立つeラーニングシステム」

— 『セキュリオ』を使われたご感想をお話し下さい。

『セキュリオ』は非常に役に立ちました。弊社は新卒採用に力を入れています。そのため社会経験が少なく、ISMSの基礎知識を持たない人材が多数在籍しています。
ISMSとは何かといったことや、よくある情報セキュリティ事故など、基礎を一通り学び、理解度のチェックまで可能な『セキュリオ』は、社会経験が少ない社員のベースアップを図る上で大変役に立ちました。

— 内部監査はいかがでしたか。

内部監査は、吉村さんに内部監査員を代行していただきました。その後、審査を迎え、無事に認証を取得することができました。

ISMS/ISO27001認証取得を通して従業員の情報セキュリティ意識が向上

— ISMS認証取得に取り組まれた成果をお話し下さい。

ISMS認証取得の目的は社内の仕組改善でしたが、その目的は達成することが出来ました。

（1）情報セキュリティマネジメントシステム構築
情報セキュリティマニュアルの他、ネットワーク図、組織図、資産管理台帳、外注先リストなどを作成したことで、セキュリティ体制やネットワーク環境などを管理する仕組が構築できました。
それによって管理コストが下がり、抜け漏れが少なくなるなど、管理がしやすくなりました。

（2）従業員教育の基盤構築
セキュリティマニュアルは、情報セキュリティについて体系的に教育する材料にもなっています。周知徹底の抜け漏れを低減することが可能となりました。
特に役立つのは、新入社員入社時の啓蒙です。現在、弊社は業務を拡張しており、毎月のように社員が増えています。ISMS認証取得以降も複数名の入社があり、早速、入社時に情報セキュリティマニュアルを渡して読んでもらいました。もちろんマニュアルを読むだけでは不十分であり、別途、講義やeラーニングなどは行う必要はありますが、一通り網羅されたマニュアルが準備できていれば、一時的な対策はできるので便利です。

— 社員の方々の言動から情報セキュリティに対する意識が向上したと感じることはありますか

社員同士で注意を喚起し合う会話が増えました。従業員教育では、情報セキュリティ事故の事例を学習しました。
その事例と近しい状況の時に、そのような会話が聞こえてきます。これは情報セキュリティ意識が高まった証だと考えています。

— 情報セキュリティ意識を浸透させる上で、ご苦労されたことがあればお話し下さい。

情報セキュリティマニュアルに落とし込まれた多くのことは、これまでも弊社内で実施していたことですが、その実行度合いには個人差がありました。導入時は一人ひとりのPCとスマートフォン、デスク回りの書類を一通りチェックして、基準を満たしていない社員がいれば改善を促し、再チェックするなどの実働が伴いました。ここはISMS担当者が最も苦心した点だと思います。
しかし、そういった取り組みを通して社内の情報セキュリティ意識の向上や環境整備が進みました。

— これまで使っていたITツールが使えなくなったといったことはありませんでしたか。

特にありません。出張時などPCを社外に持ち出す際には申請するなどのひと手間が増えましたが、それが当たり前の手順として浸透していく前提で運用しています。メール送信時に添付ファイルにパスワードをつけることも、1度やればそれが当たり前になります。面倒くさいと感じることがあっても、それは最初だけです。回り出せば、むしろそれをやっていないと気持ち悪いという感覚になっていくでしょう。

— 今後の課題をお聞かせ下さい。

今後はISMS認証の運用を維持するための体制作りが課題です。現在、総務を担う担当者が1人でISMSも担当しています。しかしISMSで決めた通りに定期的なチェックを行うには1人ではリソース不足です。
そこで、現在総務スタッフの増員を図るべく採用活動を行っています。現在は出来る範囲で対応していますが、担当者を増やして綿密にチェックできる体制が整えば、徹底度、実施度はより高まるでしょう。

情報セキュリティ事故を1度でも起こせば破壊的なダメージを受けます。ISMSは事業継続に不可欠です

情報セキュリティ事故を1度でも起こせば破壊的なダメージを受けます。
ISMSは事業継続に不可欠です（左；芦田氏）

線を引かないコンサルティングスタイルは期待通り

— LRMのコンサルティングに対するご感想をお話し下さい。

社内にはISMSに関する知識を持った人材がいません。マネジメントシステムや従業員教育の仕組づくりをサポートしていただけたことは、非常に心強かったです。

また、ちょっとした相談がしやすいという点も期待通りでした。例えばコンサルティングの期間中にインシデントが発生した際『Chatwork』で相談した時も、具体的な解決策を迅速かつ親身に提示していただきました。
「ここから先は追加料金」と割り切った対応をするコンサルティングスタイルもあると思いますが、LRMという会社にも、吉村さん個人にも、そのような融通の利かなさは一切感じませんでした。

以上のことから、LRMのコンサルティングには満足しています。ISMS認証は3年ごとに更新審査を迎えますが、それに備えて、ISMS運用改善サポート『情報セキュリティ倶楽部』も契約しました。

LRMへの期待

— LRMへのご期待をお話し下さい。

まず、ISMS認証の更新に向けて実施すべきことがありますので、諸々のアドバイスをいただければと考えています。
よくわからないまま自分たちだけで運用すれば無駄が生じ、失敗する確率も高まります。

また、日頃の運用においても気軽に相談できる相手がいれば安心です。すでにいくつかの相談をしています。
認証取得後に事務所を引っ越したため、移転審査を受審する必要がありますが、現在は、それに向けた取り組みについて相談しているところです。情報セキュリティ教育クラウド『セキュリオ』も10アカウント分ついているので、こちらも有効に活用していきたいと考えています。

税理士法人ネイチャー国際資産税様、お忙しい中、有り難うございました。