株式会社スタジアム様 – ISMS/ISO27001認証・取得コンサルティング 事例
株式会社スタジアムは2019年11月、LRM株式会社に、ISMS/ISO27001認証の更新審査に向けたサポートを依頼しました。
ところがそれに先立って行われた組織変更の影響で、急遽新規で取り直す事態に。同社とLRMは、この緊急事態にどのように対応したのでしょうか。同社のISMS事務局の皆さんに、LRMにサポートを依頼した経緯や認証取得後のサポート状況も含めてお話しいただきました。
目次
(株式会社スタジアムについて)
設立以来、セールスアウトソーシング事業を中心に成長を遂げ続けている。営業代行のプロフェッショナル集団として、営業戦略戦術の立案から実際の営業、メンバーのマネジメントまで一気通貫で支援。多岐にわたる業界のクライアントが抱える営業解決の解決に貢献している。
そんな同社が近年注力しているのが、ウェブ面接に特化したクラウド型の採用支援サービス
『インタビューメーカー』だ。ウェブ面接、Web説明会、録画面接が実施出来る他、採用管理機能を備えると共に、外部の採用管理システムとの連携も可能。企業の採用活動にかかる費用や時間にまつわる悩みを一気通貫で解決する。
2016年5月のサービス開始以降、導入社数は2,800社を超える。ユーザーの立場に立って設計されたUIなど使いやすさが最大の強み。新型コロナウィルス感染症が拡大し類似サービスが登場する中でもシェアトップを走り続けている。
本社;東京都港区。設立;2012年8月。従業員数;約209名(2021年6月末現在)。
LRMへの依頼内容;ISMS/ISO27001認証新規取得&文書見直しコンサルティング
— LRMへのご依頼内容をお話しください。
株式会社スタジアムは、2019年11月、LRM株式会社にISMS/ISO27001認証(以下、ISMS)の更新審査対応を依頼しました。ただ、更新審査の手続きを進める中で、審査会社から認証取得時と組織が変わっている点を指摘され、改めて取得し直す必要が生じたため、LRMにも新規取得のサポートをしていただくことになりました。
また、審査が終わった後は、文書類の見直しもサポートしていただきました。さらに2年目の維持審査を迎えるにあたっては、ISMSの運用支援サポート『情報セキュリティ倶楽部』を契約し、拡大審査のサポートをしていただきました。
『情報セキュリティ倶楽部』の契約は現在も継続中です。
–組織が変わったというのはどういうことですか。
弊社は2012年にセールスアウトソーシングの会社として設立されました。その後、2015年に、子会社を設立して『インタビューメーカー』をスタートしましたが、2019年5月にその子会社を統合し、社名を現在の株式会社スタジアムと変更しています。ISMS認証は統合する前の2017年3月、『インタビューメーカー』を提供していた子会社が取得しました。
2020年3月は初めての更新審査となるはずでしたが、統合により代表者が変わるなど全く異なる組織になっていたことから、
更新ではなく、改めてインタビューメーカー事業を認証範囲として新規取得することになりました。
ISMS/ISO27001認証は自社のセキュリティ体制を裏付ける貴重な証
— もともとISMS認証を維持し続ける理由をお話しください。
『インタビューメーカー』では、システム上に導入企業の情報や求人応募者の個人情報をお預かりしています。
そういった弊社にとって、ISMS認証はお客様に対してしっかりした体制で管理していることを示す貴重な証です。
また、社内的にも、ISMSがあればルールを立てやすいですし、社員に対してISMS認証取得企業として情報の取り扱いには気を付けましょうという意識付けのきっかけにもなります。
–認証を取得し直す必要があるとわかった時点で、スケジュールは動かさなかったのですね。
はい。動かしてしまうとISMS認証のない状態ができてしまいます。そうなるとお客様との取引にも影響が出てしまいますので、なんとしても3月に審査を受けて空白期間が生じることを避ける必要がありました。
–ISMSの運用体制をお話しください。
コーポレートITチームの中にISMS事務局を設けて運営しています。コーポレートITチームは、一般的には情報システム部門にあたり、普段はパソコンやアカウントの管理などを行っている部門です。
–現在の運用体制は経営を統合する以前からですか。
今回、更新審査の準備に取りかかるまでは、情報システム部門そのものが確立されていたわけではありません。
2019年5月に子会社との経営統合したのをきっかけに、体制整備の一環として、専任者を採用して部署を立ち上げ、ISMSの運用も引き継ぐことになりました。
実態に即したルール作りを行うため、ITやWEBサービスに強いコンサルティング会社を選定
— ISMS認証を取得していたということは、文書類も整っておられたということですね。コンサルティング会社のサポートが必要だった理由をお話し下さい。
Web面接に特化した
クラウド型の採用支援サービス
『インタビューメーカー』。
2016年5月にリリースされたWeb面接システムのパイオニアである。
コンサルティング会社のサポートを受けた理由は、(1)無事に審査を乗り切る、(2)業務に合ったルールを構築しなおす、の2点の目的を満たすためです。
(1)審査を乗り切る
コーポレートITチームを立ち上げ、ISMSに関しても社内の運用体制が固まりました。
その時点で、更新時期が差し迫っていましたので、審査を乗り切るために、外部のサポートが必要でした。
(2)業務に合ったルールを構築しなおす
以前運用していたルールは、インタビューメーカー事業の業務に合ったものではありませんでした。ルールに合わせて業務を行わなければいけない状況でしたので、コンサルティング会社のサポートを受けてルールを改善することにしました。
— ISMS認証を取得した際のコンサルティング会社のサポートは受けていなかったのですか。
新規取得時のコンサルティング会社にサポートしていただいていました。ただ、当時運用していたルールと実際の業務とのギャップを埋めるには、ITやWEBサービスの業界に詳しいコンサルタントにサポートを依頼すべきと考えました。
–コンサルティング会社は何社か比較された上でLRMに依頼されたのですか。
3社ほど比較しました。従来のコンサルティング会社とLRMの他に、もう1社ピックアップして比較し、最終的にLRMに依頼しました。
–LRMに依頼した決め手をお話し下さい。
LRMに依頼した決め手は主に3つです。
(1)IT業界およびWEBサービス業界への支援実績
ITやWEBサービスに強いことが第一の決め手です。WEBサイトや営業資料の実績を拝見して判断しました。
(2)セキュリティ教育クラウド『セキュリオ』の提供
特にeラーニングの機能が魅力的でした。効率的に負担なく従業員教育を実施することが可能です。
(3)打ち合わせ回数
また更新審査に向けた準備を進めるための打ち合わせ回数に制限がないことも決め手の1つでした。
LRMのアドバイスを受け、ISMS認証の新規取得を優先
— コンサルティング会社に依頼した2つの目的は、同時に満たすことはできましたか。
ISMS認証を取得するにはルールを構築して文書を揃えるだけではなく、実際に運用してPDCAサイクルを回す必要があります。スタートした時期が遅かったため、その期間は確保できませんでした。そこでLRMのアドバイスを受け、3月の審査はそれまでのルールを大きくは変えず、文書体系も活かしたまま、最低限の修正だけを加えて受審することにしました。
— 新規取得の審査までは、具体的にはどのような取り組みをされましたか。
主に文書体系を確認する作業を行いました。マニュアルの中に記載されている資料が何を指しているのかを突き合わせて情報を整理し、社名や組織図、ネットワーク図など、統合したことで変わっているべき箇所を含め、実態と異なる箇所を修正していきました。
また、第2段階審査ではインタビューメーカー事業部の各部署に対する審査員からのインタビューがありましたので、各部署の一般社員にISMSの認識を持ってもらうため、ルールの周知や浸透を図りました。
— その中で苦労されたことはございますか。
最も苦労したのは社内の意識を変えて行くところです。インタビューメーカー事業部がISMS認証を取得していること自体は誰もが把握していますが、自分が関わっているという意識は希薄でした。ルールはあっても形式的なものだろうという感覚もあったと思います。内部監査や審査を受けることに対しては、締め付けられるのではないかと身構えられるところもありました。
そういった意識を持つ社員に対して、「ISMSはそういうものではない。審査で指摘を受けたとしても次年度に修正すれば良い」ということを理解してもらう必要がありました。
— そういった周知や啓蒙はどのような手段で行われたのでしょうか。
主に『Slack』を使って発信しました。またワンフロアなので、気づいたことがあるごとに、改善を呼びかけました。こういったコミュニケーションは現在も継続中です。
さらに、内部監査に事務局メンバーも同席して、コミュニケーションを取りながら認識を揃えていきました。
— そういった取り組み成果はいかがでしたか。
ISMSのルールに関心を持ってもらう機会にはなったと思います。特に内部監査や第2段階審査で、ルールに則した指摘を受けたことが実感に繋がったようです。
内部監査や審査が終わった後、「こういう指摘を受けたけど、そのルール自体、実際の業務にそぐわないものだから、こう変えてはどうか」といった意見が出てきました。例えば、ローカル環境にはファイルを保存しないというルールがありますが、作業する際は、どうしてもクラウドからローカルにダウンロードする必要がありますし、作業に一区切りつくまではローカル環境に置いたままになります。作業中に手を止めたり、離席したりするたびに削除することは現実的ではありません。
そこで次年度に向けては、「作業途中に外出する際はローカルのデータを全部消す」という運用しやすいルールに変えました。
不要な文書は割愛し軽量化。審査当日も『Slack』でサポート
— 新規取得の審査を受けるまでの期間、LRMはどのようなサポートをしてくれましたか。
内部監査員代行を含めて、全般にわたってサポートしていただきました。
審査を受けるために何をしなければいけないか、審査当日はどのようなことを聞かれるのか、など、全般にわたって細かくサポートしていただきました。作業が遅れ気味の時は「テンプレートを作りましょうか?」といったお声がけをしていただくなど、進捗管理とともにフォローアップもしていただきました。
また、文書体系をそのまま活用したと申しましたが、文書類を整理する工程で、不要な書類は省いてもらいました。
大幅に軽量化することができて、審査対応も楽になりました。
— 新規取得までの打ち合わせ回数は何回ぐらいされましたか。
内部監査を含めると3回です。最初の打ち合わせが2019年11月半ばで、その後、1月中旬、2月中旬に内部監査を行いました。初回の打ち合わせの際に、もともとあった文書をベースにして審査を受けるという方針を立て、その方針に沿ってタスクを決めていただき、我々はそれに基づいて作業を進めていきました。途中、『Slack』で、進捗状況を報告しアドバイスをいただきながら作業を進め、審査時期が近づいてきた時点で内部監査を実施しました。
— 『セキュリオ』は実際に使われていかがでしたか。
『セキュリオ』はeラーニングと法令管理機能を使いました。
当初、従業員教育は自分たちで教材やテストを作って、Googleフォームで実施するつもりでいましたが、管理が煩雑になる恐れがありました。『セキュリオ』なら1つのツールで、個人の実施状況や正答率を一括管理することが可能です。
法令管理機能も管理画面で常に最新版を確認できる機能は便利でした。自分達でチェックし続けることは実質的に困難です。
今後は委託先管理の機能も活用したいと考えています。
— ISMS事務局の方々にとっても、初めての審査だったと思いますが、受けてみていかがでしたか。
審査を迎えるにあたっては、我々自身、審査をパスできるのか不安がありました。
審査準備の時に、三崎さんに「これを出せば、大丈夫です。通ります」とおっしゃっていただきましたが、不安が大きかったため、審査当日も『Slack』で待機していただきました。実際、回答に困った時に、急いでメッセージを送って、アドバイスをいただきました。
— 新規取得では最低限の修正を加えただけということでしたが、その状態で審査に臨んだ結果はいかがでしたか。
不適合はなく、改善の機会が8つありました。審査員の方も柔軟に対応してくれましたので、結果的に恐れることはありませんでした。いただいた改善の機会への対応は既に済んでいます。2021年3月の維持審査に向けて改善しました。
ISMS認証取得後の文書見直しで、リモートワークに対応したルールへ
— 審査後、自社の業務に合ったルール構築と文書作成も行われたのですね。
新規取得の第2段階審査が終わってすぐ、4月末と5月頭の2回に渡りマニュアルの読み合わせを行いました。
我々が新規取得への準備を進めている間、キックオフミーティングでヒアリングしていただいた内容をもとに、LRMの三崎さんがマニュアルのひな型を作成していてくれたため、スピーディに着手することができました。
— 以前と比較して、業務に即したルールにはなりましたか。
はい。実態に即したものにはなったと思っています。三崎さんは、キックオフミーティングで会社の雰囲気や業務を把握していただきましたので、ルールを決める際も適切なアドバイスをいただけたと考えています。
— 今回の取り組みを機に、新たに検討して追加したようなルールはありませんでしたか。
新たに構築したルールは、リモートワークに対応したものになっています。
コロナ禍の影響で弊社も在宅勤務にシフトしました。もともとは個人情報やお客様の情報に繋がる領域は、社内のネットワークからしかアクセスできないようになっていましたが、VPNを張って自宅からアクセスできるようにしていました。
今回、ルールを見直した際には、そのVPNを使える部署を限定し、承認を受けた社員のみが使えるようにしました。
— 維持審査に向け『情報セキュリティ倶楽部』を契約して拡大審査のサポートを受けたとおっしゃっていました。認証の対象はどのように拡大したのですか。
新規取得以降、大阪と沖縄にインタビューメーカー事業を担う拠点も開設していたため、維持審査のタイミングで認証範囲に含めました。
— そのために何度か打ち合わせもされたのでしょうか。
『情報セキュリティ倶楽部』の契約は、『Slack』やメールなどを使った相談と内部監査員代行です。
今回もその契約の範囲内でアドバイスをいただいて、最後に内部監査を実施していただきました。拠点が増えただけで業務内容は一切変わっていませんので、その範囲で対応することができました。
— 『情報セキュリティ倶楽部』の契約は予め決めておられたのですか。
当初は決めておりませんでしたが、拡大審査に向け、内部監査員代行を依頼する必要があると思い、契約しました。
今後も毎年、維持審査や更新審査を受審しなければいけません。その際は内部監査を依頼しなければいけませんし、我々だけで運用することはまだ難しいので年間契約を結ぶことにしました。
社内の状況が可視化。社員の意識にも大きな変化
— ISMS認証取得、文書見直し、拡大審査と取り組んで来て、社内の変化はございますか。
まず、これまでは事故が起きていないと言い切れない、不透明な状況でしたが、マネジメントシステムが確立されたことで社内の状況が可視化され、事故が起きていないと明確に言える状況を作ることができました。
社員も不安なことがあった時はすぐに、気軽に連絡してくれるようになりましたので、ISMSに対する意識の変化を感じます。
— 今後の展望についてお話しください。
ISMSの取り組みをより全社的なものにしていきたいと思っています。
以前に比べると社員の意識は大きく変わりましたが、あくまでもISMSに取り組む主体は事務局です。毎年実施する情報資産管理台帳やリスク管理台帳の更新なども、各部署のマネージャーに確認している状況です。
将来的には各部署がISMS担当者を選出し、それぞれでリスクアセスメントを行うなど、本当の意味で組織に根づいた取り組みにしていきたいと考えています。
— ISMS事務局を担うお立場として、豊富をお話しください。
情報セキュリティマネジメントは目立たない仕事ではありますが、大切な仕事だと考えています。
ただ、それによって社員が負担を感じるようなことになっては本末転倒です。社員が負担に感じることなく、安全に働ける環境を作っていきたいと考えています。
フランクな対応、相談がしやすいコンサルタント
— LRMのコンサルティングを受けたご感想をお話しください。
三崎さんにはいつもフランクに対応していただいています。何か困ったことがあった時も相談がしやすいコンサルタントだと思っています。新規取得や拡大審査の準備を進める際は、期限ギリギリの時にお尻を叩いていただきました。
内部監査では時期的にリモートで対応していただきましたが、部署数が多く、なおかつタイトなスケジュールだったので大変だったと思いますが、非常に助かりました。今後、スタジアムはさらに成長し、インタビューメーカー事業も拡大していくはずですので、それに伴ってルールも変えていく必要が生じます。
また、毎年、内部監査もしていただく必要がありますので、引き続きこれまで同様のサポートをお願い致します。
株式会社スタジアム様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ 株式会社スタジアム様のWEBサイト
※『インタビューメーカー』サービスサイト
※ 取材日時 2021年7月
- 200~499名
- 東京
ISMS/ISO27001新規取得に関する無料相談・お見積り
LRM株式会社は年間500件以上のISMSの認証/取得コンサルをしています。
ISMSの認証 ・取得でお悩みならまずはご相談ください。
メールフォーム (24時間受付)
神戸・東京オフィスで、情報セキュリティマネジメントシステムの国際規格であるISO27001/ISMSの認証を取得しています。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/iso27001/wp-content/themes/lrm_basic/images/f_tel.png)