社会保険労務士法人プラットワークス様 – ISMS/ISO27001認証・取得コンサルティング 事例

社会保険労務士法人プラットワークスは、2021年4月、新型コロナ禍が長引く中、ISMS/ISO27001認証取得の取り組みをスタートさせました。目指したのは柔軟かつ実効性のある情報セキュリティマネジメントシステムです。LRMにコンサルティングを依頼した経緯、目的に対する成果、今後のビジョンなどについて、代表社員・芳賀満氏にお話を伺いました。

（社会保険労務士法人プラットワークスについて）

従業員数100名から数千人の中堅中小企業を主要顧客層として、人事制度や就業規則を含めた社内制度の整備、退職給付制度設計・導入の支援など、人事・労務コンサルティングをメインとしつつ、助成金・補助金申請にあたっての事業計画策定から実行まで、さらにはM&AやIPOなどの支援を行う。2020年秋には、企業向けカウンセリングアプリ『Plattalks』をリリース。導入企業の従業員がオンライン登録された臨床心理士のカウンセリングを受けられる福利厚生サービスであり、現在、数万人規模の医療グループをはじめ、大手企業への導入が進んでいる。開発を担う株式会社プラットワークスとともに、主力サービスへ育てるべく力を注ぐ。
本社；東京都千代田区。設立；2019年8月。従業員数；4名(2021年9月現在)。

— LRMへのご依頼内容をお話しください。

社会保険労務士法人プラットワークスは、2021年4月、LRM株式会社にISMS/ ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。

弊社は従業員が少ない状況もありましたので、担当者の柴田さんに色々な作業をお願いしました。また、基本的に持ち帰りの宿題がないようにしていただいて、ルール決めからドキュメント作成まで全て打ち合わせの場で終わらせることができました。準備は最後までスムーズに進み、4ヶ月後の8月にISMS認証を取得しました。

— LRMにサポートをご依頼された理由をお話しください。

実効性のある仕組みを構築するには、弊社の事業内容や目的を理解した上で支援してくださるコンサルタントが必要でした。LRMはITベンチャーをサポートしてきた実績があります。その経験を通して培ってきた情報セキュリティマネジメントのノウハウに期待してLRMに依頼しました。

— 何社か比較はされましたか。

数社比較しました。決め手は“Security Diet”というLRMのサービスコンセプトでした。無駄を排除して、必要十分を目指す。私もコンサルティングをする上で重視していることですので、期待が持てました。

— ISMS認証取得にあたり期限は設けていましたか。

具体的な期限は設けませんでしたが、可能な限り早く終わらせたいと思い、柴田さんにお願いして、打ち合わせの間隔を短くして、持ち帰りの宿題もないようにしていただきました。

— ミーティングはオンラインで実施されたのですか。

これもこちらからお願いをして、基本的には訪問していただいて打ち合わせを行いました。また、柴田さんにお願いしていた作業の進捗確認など、30分ぐらいの短い打ち合わせはオンラインで実施しました。

— 約5ヶ月での取得ということはかなりお忙しいスケジュールだったのではないですか。

訪問での打ち合わせは、1週間から2週間に1回ぐらいの頻度で実施しました。4月は毎週、ご来社いただいていました。

— 短い期間での取り組みで、しっかりした情報セキュリティマネジメント体制は構築できましたか。

ISMS認証取得後約1ヶ月が経ちますが、構築したルール通りの運用が継続できていますので、できていると思います。

— ISMSのルールを構築したことで、仕事がやりにくくなったようなことはございませんか。

特にありません。新しいルールは決めましたが、必要な変更ばかりです。業務が止まってしまうようなことも一切ありません。

— テレワークに対応した施策などはございますか。

リモートワークを進める上での施策は、以下の通りです。

（1）ペーパーレス化に伴うルール
可能な限り印刷はしないようにすることとし、印刷した場合は社外への持ち出しを禁止するとともに、使用後は速やかに処分することを明記しました。

（2）VPNの導入
ローカル環境にデータを残さないというルールを設ける一方、VPNを導入して、社外から社内サーバーにアクセスする際は、VPN経由でアクセスするようにしました。

（3）在宅の作業環境に関するルール
社外で業務を行う際は、原則として自宅で行うこととし、専用スペースを用意して、ヘッドセットをつけて作業をするというルールを設けました。

緊急事態宣言が解除されて、今は通勤型になっていますが、ISMS構築にあたってテレワーク対応のルールを明文化したことは、BCPの観点からも意味があったと思います。災害時においても事業が止まらないような体制作りができました。

弊社は以前からBCPを意識した取り組みは行ってきました。現在入居中のビル自体、免震構造になっており、ソーラーシステムにより電源やネットワークが確保されている他、水、食料が備蓄されています。よほどのことがない限り業務が止まることはありません。

— ご苦労された点はございますか。

マネジメントシステムの構築においては、全く苦労はしていません。わからないことは教えていただきましたので、何をすれば良いかわからないということはありませんでした。持ち帰って行った作業としては、フロア図を書いたぐらいです。マニュアルや台帳、ガイドブックなど、ISMSの運用に必要なドキュメント類はほとんどLRMに作成していただきました。この他、新しい社員が入社した際のレクチャーなど、本来のメニューにない領域を含め、サポートしていただきました。

— 従業員教育はどうされましたか。

従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』を利用しました。

— 『セキュリオ』をご利用になったご感想をお話しください。

『セキュリオ』は審査に必要な機能が揃ったツールだと思いました。今回、弊社が利用したのはeラーニングの他、最新法令管理、サプライチェーンマネジメント機能ぐらいですが、その他にも情報管理台帳、インシデント管理、内部監査など、ISMSの審査項目が全て網羅されています。管理画面を見れば取り組み状況を把握することが可能です。ある程度の規模を持った企業であれば、継続的に利用していく価値はあると思いました。

— 内部監査はどうされましたか。

内部監査もLRMに内部監査員を代行していただいて実施しました。来年以降は社内で実施しようと考えていますが、初年度は要点が掴めていませんので、教えていただく意味を含めて代行していだきました。

— 審査はいかがでしたか。

内部監査員を代行していただいて内部監査を実施した他、審査前にどのようなところをチェックされるのかレクチャーしていただきました。内部監査で出た指摘事項は改善した上で審査を受けましたので、指摘事項はほとんどありませんでした。

第1段階審査で、プラスαでこうすればもっと良くなるといった趣旨の指摘はいただきましたが、第2段階審査までに修正しました。第2段階審査では指摘事項がありませんでした。第2段階審査で指摘事項が出ないということは珍しいとのことでした。

— 今後の事業ビジョンをお話しください。

現在、働き方や組織のあり方が大きく変わろうとしています。テレワークを始め、働き方が多様化していくことで、個人情報を含めた情報管理の重要性を理解して仕事に取り組むことがより重要となっていきます。また、社会保険など、これまでは会社にまかせていればうまくいっていたことも、今後はそういうわけにはいかなくなります。特に人口が減少する中で生活を持続させるには個人が危機意識を持たなければいけません。

ただ、それだけだと個人の自己責任ということになってしまいますが、1人で対応できることには限界があります。
時代の変わり目の中で、個人が新しい環境に対応しつつ、働きやすい社会を作っていきたいと考えています。

社労士のクライアントは企業です。あくまで企業が成長していくことが目的です。しかし組織がうまくまわるためには、そこで働く人たちが納得できるフェアな制度を作っていく必要があります。それが最終的には組織の成長、事業継続につながっていくものと考えます。

— 今後は組織規模も拡大していく予定ですか。

弊社は事業自体の拡大を目指していますが、事務所の規模を大きくするつもりはありません。それよりも外部との連携を強化していく考えです。これからの時代は人をたくさん採用して支店を増やしていくような時代ではありません。
情報管理の観点からも必要以上に規模拡大を目指さず、管理の質を高めながらビジョンの達成を目指していきたいと考えています。

— そういった中で、情報セキュリティマネジメントについてはどのような展望を持たれていますか。

まずは構築したマネジメントシステムを、次の維持審査に向けて、継続的にしっかり運用していきたいと考えています。

今後の課題として残ったのは、情報管理に関する権限委譲です。例えば社内システムとして利用しているクラウドサービスのアクセス権は私が管理しています。現場でわからないことがありますと、逐一私に聞かなければならないため非効率的です。初期構築ではそのための時間を取ることができませんでしたが、現場である程度のことは判断できるような状態を作っていきたいと考えています。

— LRMのサポートはいかがでしたか。

必要なところを押さえるという基本に沿ったコンサルティングが良かったです。ルールづくりにおいては、無駄を削ぎ落としていくことが重要です。気をつけておかなければ、意味のないルールが際限なく出来てしまいます。私がコンサルティングを行う時も、クライアントの会社が成長し、継続していくために、本当に必要なものを見極めることを心がけています。

そういう意味でLRMは、マニュアルの雛形自体が洗練されていました。プラスアルファというものは理由がなければ追加してはいけないものです。自信がない人が作る雛形は、最初から余分なものを付け足してあります。しかしそういったものを使うと矛盾が生じたり、余計な作業が増えたりして、後々理解できなくなってしまいます。LRMのマニュアルの雛形は、無駄なものは極力排除してありました。これまでの事業経緯の中で洗練されてきたのでしょう。

— ISMSの運用においてはLRMのサポートは受けられるご予定ですか。

ISMSの運用は可能な限り自社内で対応したいと考えています。今回目指したことは、実効的なマネジメントシステムの構築です。LRMとのディスカッションを通して、情報セキュリティマネジメントにおいて押さえるべきポイントを把握することができましたし、メリハリを利かせた管理ができるようになったと考えています。

ただ、今後はISO27017/ISMSクラウドセキュリティ認証も必要になる可能性があります。そういった新しい認証を取得する際や新しいビジネスを始める時、または拠点が増えた時など、新たなアクションを起こす際には、改めてLRMにサポートを依頼したいと考えています。

社会保険労務士法人プラットワークス様、お忙しい中ありがとうございました。

※ 社会保険労務士法人プラットワークス様のWEBサイト
※ 株式会社プラットワーク様のWEBサイト
※ 取材日時 2021年9月