株式会社 小田原機器様 – 顧客事例 –

社会全体でキャッシュレス化が進行する中、ワンマンバスの運賃収受システムを開発する株式会社 小田原機器でも、情報の取り扱いが課題となっていました。そういった背景のもと、グループ全体の業務を認証範囲とするISMS/ISO27001認証を取得しました。先行して取得したEMS（環境マネジメントシステム）やQMS（品質管理システム）との統合を見据えたという今回の取り組みについて、ISO事務局に携わる早瀬様と、久保寺様にお話を伺いました。

お客様が抱える課題とISMS構築

• キャッシュレス決済の普及などに伴い取り扱うデータが増加している
• Pマークは取得しているものの、個人情報以外の情報管理もしたい
• EMSやQMSとの統合も見据えて、ISMSを構築したい

• 気軽に質問が可能で的確に回答してもらえるコンサル会社を選択
• 従来の社内ルールを土台に、不足部分を補強してISMSを構築
• EMSとQMSを統合したマニュアルをベースにしつつISMSのマニュアルを作成

LRMコンサルティングサービスへの感想

• 最も負荷が大きいと覚悟していたマニュアル作成をリードしてくれたため、プロジェクトがスムーズに進行した
• 要求事項が何を意図しているかなどの質問に対して的確に回答してくれた
• 情報セキュリティ教育クラウド「セキュリオ」はISMSとPマークの従業員教育に便利

— LRMへのご依頼内容をお話しください。

株式会社 小田原機器は、2022年2月、LRM株式会社に、グループ全体の事業を登録範囲とするISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。
2月にキックオフして、11月にISMS認証を取得しました。担当者は松原さんです。

— ISMS認証取得の社内体制をお話しください。

ISMS認証取得は、以前から社内に組織しているISO事務局が中心となって取り組みました。弊社は、2001年にEMS/ISO14000（以下、EMS）認証を、2002年にQMS/ISO9001（以下、QMS）認証をそれぞれ取得しました。
両認証の管理を担当しているのは、品質保証部のメンバーで構成するISO事務局です。メンバーは品質保証部 部長と、製品品質グループの2名をあわせて、合計3名です。将来的には統合を視野に入れているため、ISMSも一括して担当しています。

— QMS、EMS、ISMS、それぞれ管理する対象が異なりますが、統合するというのはどういうことですか。

各認証同士の差分を見ると、大きく異なるのは実際の運用面です。具体的な運用に入るまでの計画作成や、チェック、改善の手順に関してはほとんど同じなので、一本化した方が、維持審査や更新審査に向けた準備の負担は軽減されます。

— 今回は統合しておられないのですか。

今回は新規取得ですので、まずはISMS独自のルールとマニュアルを作成しました。ただ、将来的な統合を見据えた進め方はしています。手順としては、EMSとQMSを統合したMSマニュアルをベースに、ISMSの要素を足していきました。従って、現状では、部分的に内容を共有する2つのマニュアルが存在している状況です。

— 最初から統合を目指すのはかえって運用しづらくなるというご判断をされたのでしょうか。

従業員にとっても新しい取り組みですので、まずはISMSで独立させたマニュアルから入った方が、整理して捉えやすいだろうと考えました。まずは独立したルールでISMSの取り組みを浸透させた上で、将来的に統合しようと話し合っています。

— Pマークとの統合も考えておられるのですか。

Pマークの運用は、ISMS認証取得後からISO事務局が担当するようになりましたが、それまでは事務局が別にありました。取り組み自体は認識していたため統合も意識はしていましたが、理解できていないところもありましたので、今回は別々に取得しました。

— ISMSのルールを構築することによる業務への影響はご心配されませんでしたか。

ISMSに基づいたルールを作成することで、業務上の負担が増える心配はありました。しかし、結果的には、思った以上に社内のルールがすでにしっかり出来ていましたので、大きな影響はありませんでした。

— ISMSの規格に沿った対策が取れていたということですか。

はい。以前から弊社には、社内規程として文書化されたルールが存在していまして、ISMSの管理策と照らし合わせた結果、情報セキュリティを意識したような作りになっていました。そのため、業務フローに影響を与えるようなインパクトのあるルールを、改めて取り入れる必要はありませんでした。

— 社内規程の情報セキュリティに関連する箇所が過不足なく、そのまま流用できたのですか。

従来のルールを土台として、物足りない部分を補強した箇所がいくつかありました。例えばホワイトボードに書いたメモの消去です。会議体でメモを取った後のルールが、これまでは明確に定まっていませんでしたが、クリアデスク・クリアスクリーンの一貫として、会議終了後はメモを消すというルールを定めました。

また、データの消去に関するルールも明確にしました。これまで紙の書類はかさばるため、年限を決めて廃棄していました。ただ、データはサーバーに蓄積している限り邪魔にはなりません。これまで年限を決めて廃棄するという概念はありませんでしたが、ISMS認証取得を機に明確化しました。データ削除に関しては、ISO27001の規格にもこれまでは明示されていませんでしたが、2022年版では明確に定められています。

— 既存のMSマニュアルとの将来的な統合を見据えたISMSのマニュアル作りは計画通りに行きましたか。

はい。既存のMSマニュアルと矛盾しないISMSのマニュアルは作れました。むしろ既存文書とISMSの要求事項や管理策を照らし合わせる作業を通して、MSマニュアルの方を修正した箇所もありました。既存のMSマニュアルよりも、ISMSで作成した文書の方が、具体的かつわかりやすい表現になっていると思います。マニュアルを見ながら仕事をする人はいないと思いますが、わかりやすい表現になっていれば、何か伝達し合わなければならない時に誤解を防げます。

— 従業員のみなさんのご意見を吸い上げたり、取りまとめたりする際のご苦労はございませんでしたか。

Pマークを取った直後でしたので、比較的スムーズにいきました。各部署に担当者を任命したのですが、ISMSもPマークも管理の対象となる情報を洗い出してリスクアセスメントを行う点は一緒だと伺っていましたので、基本的にPマークの取得や運用に関わっている人を選出してもらいました。

ただ、ISMSは対象となる情報が個人情報だけではありませんので、どこまで情報資産に含めるのか、実際に作業を進める上での考え方の周知は工夫しました。具体的には、ISO事務局のメンバーが所属する品質保証部が、先行して情報資産台帳を作成し、リスクの洗い出しを行い、それを見本にしながら各部門で作業を行ってもらいました。

— LRMとの打ち合わせは、どのようなペースで実施されたのですか。

LRM松原さんに、年内取得を目指したスケジュールを立てていただき、マイルストーンを設定して、作業の進捗状況に合わせて月1、2回のペースで実施しました。打ち合わせ1回の時間は2時間ぐらいです。限られた時間を有効に使えるよう、打ち合わせの中では大きな粒度の話をして、細かい部分はメールで問い合わせしながら作業を進めました。

— ISMS認証取得のプロジェクトはスケジュール通りに進みましたか。

予定が大きくずれるようなことはありませんでした。社内の作業進捗が多少遅れることはありましたが、全体のスケジュールに影響を与えるような遅延はありませんでした。

— ISMS認証取得までのお取り組みでご苦労された点をお話しください。

特に苦労したことはありませんでした。ISO事務局が担う作業で、最も負荷が大きいであろうと覚悟していたのはマニュアルの作成です。しかし、今回、その作業はLRMの松原さんが中心となり進めてくださいました。我々は、松原さんが作成したマニュアルに微修正をかけたぐらいです。そのサポートがあったことで、プロジェクト全体がスムーズに進行しました。それが今回、LRMのサポートで最も助かったポイントです。

— 実際に、LRMへお問い合わせをされることは多かったですか。

社内で作業を進める上で、細かい疑問点や確認事項が出てきた時は、その都度問い合わせました。

— 問い合わせの内容で多かったのはどのようなことですか。

要求事項の解釈に関する質問です。ISMSの要求事項は、様々な解釈ができるように書かれています。捉え違えると見当違いなものになってしまいますので、「その要求事項が何を意図しているか」を確認することが多かったです。

— お問い合わせに対するLRMの対応はいかがでしたか。

的確にきちんとご対応いただけましたので、ストレスを抱えることなく作業を進められました。

松原さんのおかげで、QMSやEMSなどと比較しても、非常にスムーズに進行出来ました
（上左；早瀬様、上右；久保寺様　※下は弊社・松原）

— 『セキュリオ』の活用方法をお話しください。

新規認証取得の段階ではeラーニング機能と法令管理機能を使いました。認証取得後は、サプライチェーンセキュリティ機能を利用して、協力会社を対象としたアンケートを実施する際の項目出しに利用しています。今後は、社内アンケートも活用する予定です。

— eラーニング機能を活用されたご感想をお話しください。

eラーニングに関しては、オリジナルの教材を作成出来るほか、あらかじめ教材が用意されているところが便利だと思いました。今回はISMSの教材を使いましたが、Pマークの教材も用意されています。従業員全員の実施状況や理解度を把握できますので、今後も、ISMS、Pマークの従業員教育に活用していきたいと考えています。

— 協力会社向けアンケートの項目出しとおっしゃいました。アンケートそのものはどのような方法で実施されているのですか。

現在はExcelでアンケート票を作成し、メールに添付して送付しています。『セキュリオ』を、そのまま利用しない理由は、アンケートの実施方法を統一するためです。例えば大手企業の場合、Webに自由にアクセスできないケースもあります。今後もしばらくは、このような方法でアンケートを実施する想定です。

— 社内アンケートはどのような使い方をされるご予定ですか。

ヒヤリハットの情報収集に活用していく予定です。社内でインシデントとまではいかない小さな問題が生じた際に、都度、報告を上げてもらうのが理想ではありますが、全て吸い上げることは難しいと思っています。
逆に、こちらから聞きに行けば、現場で発生している細かい問題を収集できるのではないかと思いますので、定期的に社内アンケートを実施したいと考えています。

— 今回の内部監査はLRMが行いましたが、これまで外部に内部監査員代行をご依頼されたことはございますか。

なかったと記憶しています。Pマークを取得した際も、内部監査は社内の人間が実施していました。

— はじめて外部による内部監査を実施してみていかがでしたか。

LRM松原さんにご訪問いただいて、グループ全体の内部監査を実施しました。ISMSに関しては初年度でしたので、要求事項を完全に把握できていませんでしたし、社内の人間には見えないところがあると思いますので、外部の方に代行していただいて良かったと思っています。松原さんに内部監査員を代行していただいたことで、見るべきポイントは把握出来ました。2年目以降はEMSやQMSと同様に、社内に内部監査員を立てて実施していきます。

— 審査準備のサポートはございましたか。

はい。内部監査の後、審査でどのようなことが聞かれるか、どのように対応すれば良いかなど、傾向と対策をご教示いただきました。また、作成したドキュメント類も不備がないかチェックしていただき、万全な状態で審査を迎えられました。

— 審査はいかがでしたか。

審査日がQMS、EMSと重なったため、対応に追われましたが、内容的には大きな問題もなく、スムーズに終えられました。指摘事項も致命的なものはありませんでした。

— ISMS認証取得に取り組んだご感想をお話しください。

LRMのサポートを受けたことでスムーズにISMS認証が取得できましたし、安心して事業に取り組める環境が整備されました。今後の課題は、従業員のISMSに対する理解度や意識レベルを揃えることです。
今回の取り組みでは、各部門で選出した担当者の中にも、ISOには関わった経験がない者がいて、意識や理解度には個人差があることが明らかになりました。今後、運用を重ねながら経験値を上げていくことで解決される問題ですが、人事異動による担当者の入れ替えに備えるためにも、全体的な底上げを図っていきたいと考えています。

— 具体的な取り組みとして考えておられることはございますか。

現在、弊社は4つの認証規格に基づいたマネジメントシステムを運用しています。ISO事務局としては、出来るだけ社員に負担がかからないようにすることを主眼に置いたルール作りをしていきたいと考えています。その上で、事務局が主体となりつつ、各部署では「製品の品質に直接関わるQMSとEMS」、「情報セキュリティに関わるISMSとPマーク」、2つに分けて担当者を決め、それぞれ責任を感じて取り組んでもらうことで、取り組みを前進させていきたいと考えています。

— LRMのコンサルティングを受けたご感想をお話しください。

松原さんのサポートもあり、スムーズにプロジェクトを推進できました。過去のQMSやEMSなどと比較しても、ISMS認証取得は非常にスムーズに進行出来ました。質問に対しても的確に対応していただけましたので、期待通りです。

株式会社 小田原機器様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社 小田原機器様のWEBサイト
※ 取材日時 2023年2月