株式会社ネットオン様 – 顧客事例 –

※2020年4月以降のインタビューにつきまして、写真撮影の際は一時的にマスクを外して撮影させていただいておりますが、実際のインタビューにおいては新型コロナウイルス感染予防対策を徹底し実施しております。

LRMのシンプルな文書体系により、従業員が足並みをそろえて取り組めるマネジメントシステムが構築出来ました

中小企業向けの採用支援サービスを提供する株式会社ネットオンは、事業拡大に伴い、顧客保護を目的としてISMS/ISO27001認証を取得。目指したのは実運用に即したマネジメントシステムの構築です。取り組みに際して感じた不安と目指したゴール、LRMにサポートを依頼した経緯と成果を、取締役CTO・辻惠次郎氏、取締役・中山勝登氏のお二人に伺いました。

(株式会社ネットオンについて)

クラウド型採用支援ツール『採用係長』の運営を軸とした採用Webマーケティング事業ならびに採用コンサルティング事業を展開している。『採用係長』は、採用サイトの作成から応募者集客まで対応した採用サイト作成ツールである。フォーマットに求人情報を入力し好きなデザインテンプレートを選択するだけで採用サイトが完成。求人情報の自動作成機能も備え、簡単な質問に答えるだけで会社紹介や仕事内容の文章を自動作成出来る。また、採用サイト作成のみならず、大手求人検索エンジンへの求人情報の一括掲載も可能。さらに管理画面では、求職者とのやりとりや、選考状況の把握、アクセス数や応募者数などの効果測定など、応募管理を支援する機能も充実している。2017年6月の正式リリース以来、それぞれの地域に根づいてビジネスを展開する中小企業を中心に導入数を増やしてきた。現在の導入数は38,000事業者を超える。日本HRチャレンジ大賞も受賞。「働く人と企業に必要とされる、採用マーケティング支援企業No.1」を目指す。
本社;大阪市。設立;2004年10月。従業員数;約50名(2021年9月現在)。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話しください。

株式会社ネットオンは、2020年10月、LRM株式会社にISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。担当者の二宮さんと打ち合わせをしながらベースとなるマネジメントシステムを構築し、社内で十分検討を重ねながら改善を繰り返し、2021年7月下旬にISMS認証を取得しました。

事業拡大に伴い顧客保護を目的としてISMS/ISO27001認証取得に着手

「審査では全社を挙げてより良くしていこうという企業文化をご評価いただきました」(取締役・中山勝登氏)

「審査では全社を挙げてより良くしていこうという企業文化をご評価いただきました」
(取締役・中山勝登氏)

— ISMS認証を取得した理由をお話しください。

弊社がISMS認証取得を検討したきっかけは、お預かりしているお客様のデータが増えてきたことです。情報セキュリティのマネジメントをしっかりしなければ、お客様やその周辺の皆様にご迷惑がかかってしまいます。そこでISMS認証取得を通して、社内におけるセキュリティ意識向上を図ることにしました。

— 2020年10月から始めて認証取得まで約10ヶ月間をかけておられます。これは計画通りの進行ですか。

はい。弊社の決算期末は9月ですので、2021年度の計画を立てる際に、ISMSの予算を確保し、2021年8月ぐらいまでに認証を取ることを目標として準備をスタートしました。

予算とスケジュールを立てる際には、LRMを含めて5社ぐらいにお声がけさせていただき、見積もりと所要期間、進め方の説明などを伺い参考にしました。コンサルティング会社によって、所要期間やタスク量が全く異なっていたことには驚きました。

— ISMS認証取得の意思決定をされた際は10ヶ月ぐらいの期間は見込まれていたのですか。

取り組みのきっかけが社内の意識向上でしたので、自分たちで納得して運用できるマネジメントシステムをしっかり作りたいと考えていました。そのためにある程度の期間を要することは覚悟していました。

弊社は設立間もない頃、プライバシーマーク(以下、Pマーク)を取得し、運用していた経験があります。
非常に時間と手間をかけて準備して取得したものの、そこで構築したルールに沿って業務を行った結果、いろいろなところで業務の歩留まりが起きてしまったため2回目の更新は辞退した経緯がありました。個人情報保護は重要ですが、それで事業の成長が止まってしまうと本末転倒です。

今回のISMS認証取得では、準備期間をじっくりかけて、実効性のあるマネジメントシステムを構築したいと考えました。

— ご不安はございませんでしたか。

ありました。個人情報だけではなく全ての情報資産が対象となりますので、Pマーク以上に負担がかかるのではないかという不安はありました。

実際、何社かコンサルティング会社から話を聞いた際に、その不安を裏付けるような提案をされる会社もありました。
作成するドキュメント類のタイトル数を見ただけで十分恐ろしかったです。

最終的にLRMの説明を聞いて、かなり精神的負担は軽減されましたが、どちらにしても顧客保護のためにはやらざるを得ないと覚悟を決めました。

— セキュリティ上のご不安もございましたか。

ありました。重要なシステムやデータベースなどは、人為的なミスが発生しないように自動化ツールを導入して守っていました。ただ、それだけで完璧なセキュリティ体制が整備できるわけではありません。
例えば、退職者が出た時の情報の持ち出しの可能性といった不安はありました。後々、LRMが提供する教育資料で、
情報漏えいは、外部からの不正アクセスよりも、内部からの持ち出しによって発生している件数の方が多いという事実を知り、なるほどと思いました。

実運用に即したISMSの構築を目指しLRMにサポートを依頼

— LRMにサポートを依頼された経緯をお話しください。

LRMの幸松社長と辻が15年来の知人だったため、お声がけさせていただきました。ただ、弊社は仲が良い会社だから依頼するということはありません。あくまでもフラットな視点で比較した上でLRMに依頼しました。

— 決め手となった要素をお話しください。

実際の運用とマッチするかどうかは別としてルールづくりや書類作りに力を入れるところや、審査を通すことに力を入れているところなど、コンサルティング会社によって様々な特徴がある中、LRMは、ISMS認証を取得する企業の実運用に即した情報セキュリティマネジメントシステムの構築を謳っています。
ドキュメント管理の手間を可能な限り省いて、重要度や緊急度に応じたリスク管理をするというところが、弊社のニーズと合致していました。それがLRMに依頼した決め手です。

全社的なプロジェクトでは役員が旗振り役を担う企業文化

「形骸化しないマネジメントシステムの構築を目指し、LRMにサポートを依頼しました」(取締役CTO・辻惠次郎氏)

「形骸化しないマネジメントシステムの構築を目指し、LRMにサポートを依頼しました」
(取締役CTO・辻惠次郎氏)

— ISMS認証取得は、取締役を務めるおふたりが中心に進めていかれたのですか。

社内の体制としてはそうです。2人で事務局を務め、LRMとの打ち合わせをしながら準備を進めました。

— 書類作りなど、実際に手を動かされたのもおふたりですか。

そうです。弊社は役員もきっちり仕事をします。特に全社にまたがるプロジェクトには、昔から役員がしっかり関わってきました。誰かに丸投げをせず、自分たちできちんと管理をしながら作っていこうという企業文化が定着しています。

— しかしお忙しいですよね。

いや、忙しいのは良いことですよ。もちろん各部門のマネージャーの協力がなくてはうまく行きませんでした。書類作成や仕組みづくりは我々が動きましたが、現場に落とし込む作業は各部門のマネージャーが担いました。

ルールの明確化により安心して事業運営ができる環境を整備

— ISMS認証取得までの経緯で、時間をかけて取り組まれたのはどの工程ですか。

最初の文書読み合わせは早かったのですが、一旦ベースとなるマニュアルを作った上で、現場の実態に合わせてカスタマイズしていく工程に最も時間をかけました。

特に大変だったのが情報資産の洗い出しです。各部門から、膨大な量が上がってきましたので、それを分類して、リスクを洗い出していくという作業は非常に骨が折れました。作業をする人によって、精度が粗かったり、細かすぎたりしますので、やり直してもらうことも度々ありました。ただ、それを大雑把にやってしまいますと、意味のないルールが出来上がってしまいますので、手間や時間を惜しむわけには行きませんでした。

また、各マネージャーや他の役員と話をする中では、当然、ここまでやると業務効率が下がるといった意見が出てきます。そういった場合は、その都度、LRMとも相談させていただいて、落とし所を探りながら、細かくルールを決めていきました。

— 細かいルールを作ったことで仕事がやりづらくなることはありませんでしたか。

そうならないように時間をかけて議論をしました。データベースへのアクセス権限を例に話をしますと、CTOだからといって、常に何でもできる特権アカウントを使う必要はありません。そこで、普段使いのアカウントと緊急時に使う特権アカウントを用意して、それぞれログを残し、統制が取れる仕組みを作りました。それで不便かというと、実務に携わっていない業務のデータに、常にアクセスできる必要はありません。逆に不要なデータにアクセスできる状態ではよりリスクが高まります。

このように必要なことと、不要なことを切り分けて、適切なルールを決めていきましたので、業務に負担がかかるようなマネジメントシステムにはなっていません。

— 構築したルールに沿って適切に業務を行うための施策にはどのようなものがありますか。

教育を通してルールの浸透を図っていることに加え、いくつかの施策を打っています。

(1)監視ツールの導入
全てのルールは網羅できませんが重要なことはある程度防げるようになりました。
例えば、誰がいつ、どのファイルを持ち出したのかがわかります。また、PCにUSBを繋ぐと自動的に切断され、管理者に通知される仕組みになっています。このためUSBメモリなどの記憶媒体を使うことはできません。

さらに、意識付けの役割も果たしています。例えば印刷は特別禁止していませんが、印刷したあとの処理に関してはルールを決めています。そこで印刷するたびにポップアップを出して、ルールに従って処理するよう促しています。

現在、コロナ禍で3分の2はテレワークをしている状況ですが、どこで仕事をしていても、これらの機能は動作します。

(2)インシデント報告・ヒヤリハット報告の徹底
インシデントに限らず、危ないと思うような事象があった時は、グループチャットなどではなく、情報管理責任者に直接連絡をするよう指導しています。LRMからアドバイスを頂いて取り組み始めました。
報告があることについては、マイナス評価ではなく、むしろプラス評価の対象とすることもアドバイスしていただきました。結果として小さなインシデントもたくさん上がるようになりました。

— 教育はどのような形で実施されましたか。

LRMの情報セキュリティ向上クラウド『Seculio』を使った他、オンライン研修を実施しました。オンライン研修は動画に残し、新入社員が入社する際の研修にも活用しています。

また、全体会議や朝礼などの機会に、ISMS事務局から繰り返し周知している他、マネージャー会議で、各部門のマネージャーに下ろし、現場で周知徹底してもらうということも継続して行っています。

— 従業員の方々の反応はいかがですか。

良好です。会社が作ったルールで、合理的なものであればしっかり守っていこうという企業風土が定着しています。
弊社の場合、代表のパソコンにも監視ソフトが入っています。そういった例外は一切ありません。
社長自身がしっかり守っていこうというメッセージを発信していることもあり、各自、自主的に取り組んでいます。
守るべきルールが明確になり、従業員全員の足並みがそろっている状況ですので、安心して事業運営ができる環境が整備されました。

「事故が起きてからの方が大変。多少手間暇をかけてでもセキュリティ意識が定着する工夫を続けていきます」(左から;中山氏、辻氏)※右は、弊社・二宮

「事故が起きてからの方が大変。多少手間暇をかけてでもセキュリティ意識が定着する工夫を続けていきます」
(左から;中山氏、辻氏)※右は、弊社・二宮

シンプルな文書体系が形骸化しないマネジメントシステムを実現

— ISMS認証取得に取り組み始めた際の目的は果たせましたか。

目的は果たせました。以前は、いつどんな事件が起きるかわからず、暗闇を歩いているような状態でした。
情報資産の洗い出しやリスク評価を通して、リスクを可視化できましたので、退職者の件を含めて漠然と感じていた不安も解消することができました。

— LRMのサポートで良かった点を教えてください。

一番良かったのは、シンプルな文書体系です。ISMSは認証を取得した後、運用を回していくものです。管理すべきドキュメントの数が増えて、複雑になってしまいますと、更新もしにくくなって、形骸化してしまう恐れがあります。

また、社内でルールを検討していて迷った時は、すぐにチャットで相談しアドバイスをいただけましたので、腹落ちできないままルール化したようなところはありませんでした。

他にも二宮さんは、色々な面でサポートをしてくれました。ガイドブックや記録類のベースもほとんど二宮さんに作っていただきました。我々の中でタスク化していたことも、知らない間にやってくれていたこともたくさんありました。年間計画なども、事前に細かくヒアリングをしていただいたものがあって、それをもとに我々の頭の中にあることを過不足なく反映して作成していただきました。

— 『Seculio』はどのような使い方をされたのですか。

『Seculio』はeラーニングの他にサプライチェーン管理、法令管理を使いました。
eラーニングは、LRMの教材をそのまま使うのではなく、弊社用にカスタマイズして配信しました。二宮さんに『情報セキュリティ基本研修』のフォーマットをいただいて、独自の項目を追加し、1時間から1時間半ぐらいかけて受講するコンテンツを作成して配信しました。フォーマットをいただけなかったらどうしようかと思っていましたが、すぐにいただけたので助かりました。

— 委託先は多いのですか。

委託先は多いですね。業務で利用しているWebサービスも全て委託先になります。数が多いので、自前でアンケートを作って管理しようと思えば非常に労力がかかります。『Seculio』はISMS認証取得後も継続利用しています。

— eラーニングの教材は今後もカスタマイズして配信されるご予定ですか。

そうする予定です。ちょっと意地の悪い問題を織り交ぜて、立ち止まって考えてもらえるきっかけになるようなコンテンツにしたいと考えています。

年一回、維持審査や更新審査を受けるための恒例行事みたいになってしまいますと、受講して合格することがゴールになってしまいます。そうやって慣れてしまうことで、事故も起きやすくなります。事故が起きてからの方が大変ですので、手間暇をかけてでも、現場にセキュリティ意識が定着する工夫は続けていこうと考えています。

— 内部監査も内部監査員代行をご利用になったのですか。

はい。二宮さんにお願いしました。マネジメントシステムの構築のフェーズは、オンライン会議とチャットを組み合わせてやりとりしていましたが、内部監査はご訪問いただいて実施しました。

— 内部監査員代行を利用するメリットをお話しください。

まず、客観的な立場から、改善点をいくつかご指摘いただけることがメリットです。

また、ISMSも時代の変化に応じて少しずつ変化していきます。それを専門外の我々が学び続けるのは大変です。
餅は餅屋に任せた方が安心な領域だと思っています。内部監査は今後もLRMに委託する予定です。

— 審査はいかがでしたか。

審査でも改善の機会はいただきましたが、審査員の方からはいろいろなポイントを褒めていただきました。
最もご評価いただいたのは、弊社の企業文化です。全社を挙げて会社をより良くしていこうという意識が現場に根付き、実行できていることが素晴らしいというご評価をいただきました。

「チャットで相談した時のレスポンスの早さは非常に有り難かったです」(左から;中山氏、辻氏)

「チャットで相談した時のレスポンスの早さは非常に有り難かったです」
(左から;中山氏、辻氏)

継続的にPDCAサイクルを回すため『情報セキュリティ倶楽部』を契約

— LRMのコンサルタントはいかがでしたか。

レスポンスの早さは非常にありがたかったです。チャットで相談すると休日の夜でもすぐに返信をいただき、逆に申し訳ないぐらいでした。また、二宮さんはコミュニケーション能力が高い方だと思いました。打ち合わせの席でも、こちらから質問を投げて、こちらの意図とは異なる回答が返ってくるということは一度もありませんでした。

— 情報セキュリティの取り組みに関して、今後の展望をお話しください。

時期は未定ですが、ISMSのアドオン認証も取得予定です。具体的にはISMS-PIMS/ISO27701認証と、ISO27017/ISMSクラウドセキュリティ認証を視野に入れています。お客様からお預かりするデータは非常に重要ですので、しっかり管理する範囲は広げたいと考えています。

また、いくつか、セキュリティソリューションの導入も検討しています。来期に向けても、メールの添付ファイル暗号化ツール『Active! Gate』などの導入を検討中です。

— LRMのコンサルティングも継続されるのですか。

はい。ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。継続的にPDCAサイクルを回していくためにもLRMのサポートは必要です。

事業環境は刻一刻と変わります。ISMSもそれに合わせた運用が求められます。しかし、私たちは専門家ではありません。信頼できる専門家のサポートを受けながら、しっかり運用できる体制を維持していきたいと考えています。

株式会社ネットオン様、お忙しい中ありがとうございました。 今後もよろしくお願いします。

株式会社ネットオン様、お忙しい中ありがとうございました。
今後もよろしくお願いします。

※ 株式会社ネットオン様のWEBサイト
※ 取材日時 2021年9月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る