株式会社Newbees様 – 顧客事例 –

ISMS取得は今後仲間を集める上でも弊社の強みになるでしょう
（代表取締役・鈴木氏）

— お集まりいただいている方々について教えて下さい。

鈴木氏　今、ここに集まっているメンバーは全員ISMS事務局のメンバーです。代表・鈴木、人事総務部GAリーダー・山本、GAスタッフ・吉田の合計3名でISMS認証に取り組みました。

— ISMSを取得した理由をお話し下さい。

鈴木氏　弊社は、社内のセキュリティ強化対策の一環としてISMS認証取得に取り組みました。他には、システムの脆弱性診断（セキュリティ診断）、DDoS対策も行っています。

現在、弊社のメイン事業はマッチングサービスの受託開発です。おかげさまで事業を開始してから毎年170%前後の成長を遂げています。マッチングサービスでは一般ユーザーの個人情報を大量に扱います。弊社はサーバーの管理まで受託していますので、しっかり管理しなければいけないと考え、取り組みを始めました。

— お客様からのご要請もあったのでしょうか。

鈴木氏　いいえ。弊社が自主的に取得しました。婚活サイトやマッチングアプリといったサービスは、出会い系サイト規制法（インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律）という法律の規制対象です。その法律によって、お客様の登録時に身分証明書を取得することが義務づけられていますので、サーバーには身分証のデータが何万人分も蓄積されます。それが漏洩してしまうと事業を続けることは出来ません。特にマッチングアプリのユーザー情報は非常にセンシティブなので、漏洩だけは絶対に避けなければいけないと考えました。

— 「情報セキュリティに絶対はない」と言われますが、御社の場合は絶対に漏らさないためのマネジメントシステムを目指されたということでしょうか。

鈴木氏　その通りです。絶対に漏らさないという覚悟を決めて取り組みました。DDoS対策も、今の規模なら入れなくても良いのではないかという話が出ましたが、何よりお客様のデータを守るためですので、コストがかかってでもやるべきだと判断して実施しました。

— 具体的にはどのようなマネジメントシステムをイメージされていましたか。

鈴木氏　私は、ISMSを「人の脆弱性」を減らすための手段であると考えていました。もちろんシステムの脆弱性にも関わって来る部分はありますが、システムを扱っているのも結局は人間です。人為的な要因で生まれる脆弱性を減らしたいと考えていました。

山本氏　従来も情報セキュリティには気を遣っていましたが、エンジニアの作業効率を優先することで、知らず知らずのうちにセキュリティが緩んでしまうところはあったと思います。それを防ぐには、作業効率とセキュリティのバランスを取るための明確な基準を設ける必要がありました。ISMS認証を取得したことで、個人情報を取り扱う企業として最低ラインに立つことが出来たと感じています。

— 社内で抵抗はございませんでしたか。

鈴木氏　ISMS取得に取り組む前に社内で話をした際には、「ルールがきつくなるのでは？」といった声もありました。ただ、全員、自分達が扱っている情報が、センシティブなデータであることは理解していますので、納得してもらうのに苦労はしませんでした。

— ISMSの構築や運用において、社長ご自身が参加される意義はどのように感じておられますか。

鈴木氏　取り組みのスピードが早くなります。特に社内への周知については、経営者自身の言葉で説明した方が伝わりやすいのは確かです。特に取得目的は重要です。それを曖昧にしてしまうと意識改革が出来ませんので、徹底して伝えるようにしました。人の脆弱性を減らすためには、一人ひとりの意識改革が必要です。

遅い時間の問い合わせにも即答していただき、作業を円滑に進めることが出来ました
（人事総務部GAリーダー・山本氏）

— 「絶対に漏らさないという覚悟」とおっしゃいましたが、それだけ厳しいルールを作られたのですか。

鈴木氏　そうですね。私を含めたISMS事務局4名で、しっかりルール作りを行いました。

— 例えばどのようなルールを作りましたか。

鈴木氏　例えば、端末の管理ルールを決めました。以前は、各チームで管理していましたが、現在は管理者を決めて一元管理しています。

山本氏　また、権限管理のルールも定めました。これまでは必要が発生した際に、その都度付与していましたが、申請から許可、付与まで権限付与の手順を明確にし、誰にどういった権限が付与されているのかが把握出来るようにしました。このように見える化したことで権限管理を整理しなおす機会にもなりました。

鈴木氏　必要のない領域にアクセスできないようにすることで、ヒューマンエラーが発生する確率を最小限に抑えることが出来ます。ヒューマンエラーをなくすという意味では、他にパスワード管理ツールも導入しました。

— 結果的に「絶対漏れない体制」は作れましたか。

鈴木氏　「漏れない体制」というより、「漏らさないためのPDCAを回せる体制」を整備したという認識です。事業を継続する以上、情報セキュリティ上の問題は、次から次へと生まれてきますので、PDCAサイクルを回しながら、その都度対策を取る必要があります。弊社では、ISMS認証を取得した後も改善を続けています。現場で情報セキュリティ上議題にすべきことがあれば、すぐにISMS事務局に報告が上がってきて共有されます。そして毎月、ISMS会議を開催し、報告された問題を議題に挙げて対策を検討しています。

ISMS事務局が中心となり会社全体で意識的に取り組むことが出来ていますので、ISMS認証取得の目的は達成できたと考えています。

ISMS取得を通じて備品の管理などバックオフィス業務もしやすくなりました
（人事総務部GAスタッフ・吉田氏）

— 取り組みの中で、LRMからはどのようなサポートがございましたか。

鈴木氏　ルール作りを進める上で、LRMのサポートは主に3点ありました。

（1）ひな型の提供
まず初めにマニュアルや情報資産管理台帳やリスク管理台帳など台帳類のひな型をいただきました。

（2）ルールの説明と問い合わせ対応
いただいたひな型を自社に合わせてカスタマイズをする過程では、記載されたルールの説明をしていただいた上で、実際に作業を進める中で出てきた不明点に対するアドバイスを頂きました。

（3）作成したドキュメント類のチェック
作成したドキュメントの記載内容を細かくチェックして頂きました。

山本氏　作業を進める中での問い合わせには、打ち合わせの場だけではなく、チャットやメールなどでもご対応頂きました。ドキュメントの作成に集中していると気付いたら夜の8時、9時になっていて、それから不明点を連絡するということが何度かありましたが、その度に即答していただきました。即答を期待していたわけではありませんが、作業を円滑に進められる要因にはなりました。

— ISMSで義務づけられている従業員教育やルールの周知はどうされたのですか。

山本氏　まず従業員教育は、LRMの情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を使用しました。『セキュリオ』で配信した教材は、情報セキュリティの啓発を目的としたコンテンツです。ISMSの基礎を学び、情報セキュリティの重要性を再確認する機会になりました。

一方、構築したルールは、一般従業員向けにガイドブックを作成し、読み合わせを実施して周知しました。

— 『セキュリオ』を利用されたご感想をお話し下さい。

山本氏　『セキュリオ』のeラーニング機能は、実施の記録や成績をオンラインで一元管理し確認出来るため便利だと感じました。現在も、新しいスタッフが入社した際には、初日に必ずガイドブックの読み合わせと併せて、『セキュリオ』による研修とテストを実施しています。

— eラーニング以外の機能は利用されていますか。

山本氏　法令管理機能を使っています。

鈴木氏　弊社の事業には、出会い系サイト規制法を初め、様々な法律が関わってきます。それらの法律が改正されると、サービスの改修が必要になる場合があります。最近では、2020年10月に施行された改正健康保険法に合わせて、本人確認のために取得する健康保険証のマスキング処理機能を追加しました。関連法令の改正は事業にも影響を及ぼしますので、常に最新版を管理出来る法令管理機能は重宝します。

— 内部監査員代行もご利用になられましたか。

山本氏　はい。お願いしました。内部監査とは何か、何をすれば良いのかがわかりませんでしたので、代行していただいて助かりました。実施している様子を拝見して理解出来た部分もありますが、自分たちだけで実施するように言われても、難しいように思います。第三者の視点でチェックしていただいたことで、我々自身が気付かないリスクをご指摘いただき、改善する機会にもなりました。

— 審査自体はいかがでしたか。

山本氏　審査では改善の機会をいくつかいただきましたが、全て自分達で対応出来るものだけでした。いただいた指摘事項のほとんどは、すでに対応を完了しています。今すぐ対応出来ないものに関しても、ISMS会議で検討し、年間実施計画に盛り込み済みです。全て年内に対応を完了する計画です。