ストックマーク株式会社様 – 顧客事例 –

LRMのコンサルティングはISMS取得のための仕組みが整っていると感じました
（マーケッター・竹林祥恵氏）

— ISMS認証取得の理由をお話し下さい。

弊社がISMS認証を取得した最大の理由は、お客様に信頼していただける体制を構築するためです。弊社はエンタープライズ企業を対象に事業を展開しており、サービス上、お客様のビジネスに関連するテキスト情報を大量に扱います。特に『Asales』に関してはセンシティブな情報をお預かりいたします。弊社は事業実績が浅いスタートアップですので、お客様はセキュリティ要件を最も心配されます。お客様とお付き合いする上で信頼感を持っていただくためにISMS認証を取得しました。また、お客様の情報資産をお預かりしてビジネスを展開するベンチャーとして、社員の情報セキュリティ意識をしっかり保つためにもISMS認証取得に取り組むこととなりました。

我々が保有するデータは、大企業のビジネスに関わる嗜好データです。消費者の嗜好データではありません。ビジネスマンのデータをしっかり持っているところが我々の優位性であるとともに、守らなければいけないポイントでもあります。

— 2020年1月からの取り組みというのは、何かきっかけがおありだったのですか。

2020年に入って『Asales』、『Astrategy』のビジネスが本格展開し始めたことが、ISMS認証取得の1つの契機になりました。トライアルから本契約に移るお客様が数百社になった段階で、我々が会社として信頼に足る会社であるということを証明するためのエビデンスが必要となってきました。また、従業員数が一気に増えたのも今年に入ってからです。1年前と比較すると倍増していますので、これ以上人数が増えても統制を取リ続けられるようルールを定める必要性が高まっていました。

— ISMS認証取得に取り組むにあたり、あらかじめ期限は設けておられましたか。

営業からは夏までには取りたいという要望が出ていました。商談の際にまず問われるのがセキュリティ要件です。
チェックシートの記入を求められることもあります。その度に営業が時間を割いて対応していましたので、なるべく早く取りたいという気持ちはありました。ただ、過去にISMSを経験した者の感覚としては、認証取得に1年はかかると思っていましたので、半年で取りたいという希望が出た際は物理的に無理じゃないかという思いもありました。

事務局だけではなく運用を
現場にまで落とし込んで行くことが次の課題です
（チーフ・イネーブラー・
米盛修平氏）

— ISMS認証取得に取り組む上での社内体制を教えて下さい。

ISMS事務局は、本日のインタビューに参加している竹林、米盛、阿部の3名に、事務局長を加えた4名です。

竹林祥恵氏：ISMSを取得して運用していた企業に在籍した経験から主担当を務める。
米盛修平氏：イネーブルメントマネージャーとして社内の様々なプロセスを把握していることからISMS事務局に参加。
阿部崇史氏：システム管理者の立場で事務局に参加。過去に在籍した会社でISMSやPマークの取得を担当した経験があるため、システムに留まらずマネジメントシステム全体の構築にも参加。

— ISMS認証を取得するにあたり、ご懸念されていたことはございますか。

懸念点は2つありました。

懸念点1；社内の情報セキュリティ意識の統一
弊社の事業特性上、社員全員のITリテラシーは低くはありませんし、経営陣をはじめ、エンジニア、営業など、高いスキルや豊富な経験を持った人材が揃っています。ただその分、各自の中でポリシーや認識が確立されていますので、統一ルールを浸透させることに対する不安はありました。知識やITリテラシーがあるほど、自分の知識や過去の経験で判断しがちです。今回のISMS取得の取り組みは、そういった観点で、全社統一された意識を作るというところがポイントだと考えていました。

懸念点2；取り組み体制について
弊社はまだスタートアップの段階で、ISMSの専任者を配置できるフェーズにはありません。ISMS認証を取得するのに取り組むだけの体制と、人的リソースがありません。ISMS事務局のメンバーはそれぞれ、マーケティング、イネーブルメント、情報システムなど本来担当している仕事との兼任でISMSにも取り組む必要があります。兼任で、バランスを取りながら出来るかなという不安はありました。

— 業務負担が増えるご懸念は御座いませんでしたか。

特に心配はありませんでした。過去にISMSやPマークの取得を担当していた経験がある者が事務局にいましたので、最低限守らなければいけないラインを守った上で、現場には極力負担をかけないルール作りをしていくというイメージを持って取り組みをスタートすることが出来ました。

結果的に、LRMのお二人と事務局メンバーが相談しながら、ISMSの要求事項を満たしつつ、現場を締め付けない業務を優先させた、バランスの取れたルール作りが出来ました。極端に業務手順を変えたようなこともありません。

全社統一された意識を作る
というところがポイントだと考えていました
（情報システム部・阿部崇史氏）

— ISMS認証取得までの取り組みにおいて、LRMはどのようなサポートをしてくれましたか。

大きく言えば、（1）ISMS認証を取得するための仕組みの提供と、（2）ルール構築のための的確なアドバイス、の2点です。

（1）ISMS認証を取得するための仕組みの提供
LRMのコンサルティングメニューでは、体系的に整備されたドキュメント類のひな形や従業員教育のeラーニングシステム、内部監査員代行など、ISMSを構築し、審査を受けるまでの正しい道筋が仕組み化されていました。その仕組みにさえ乗ってしまえば、文書類を作成したり、ルールを決めたり、社内に周知徹底したり、やらなければいけない作業に集中することが出来ました。

また、作業を進める中で困ったことが発生した場合は、『Slack』を使って質問したり相談したりすると、タイムリーに回答していただきました。新型コロナ禍の影響で打ち合わせはいつもリモートでしたが、コミュニケーションで困ることは全くありませんでした。

（2）ルール構築のための的確なアドバイス
ルール構築において、ここだけは守らなければいけないという必要なラインをジャッジするときに、ISMSの専門家としての知見をお聞きできたことは非常に助かりました。事務局内にISMS認証取得経験者はいますが、どのような対策にすべきかということに関しては、取得企業によって判断が異なります。「これはやっておいた方が良い」「ここは自分たちの判断で大丈夫」といった細かいジャッジは、LRMのサポートがあったからこそ出来ました。

社会人経験をしていれば、感覚的に良いか悪いかの判断は付くようにはなっているはずですが、LRMと打ち合わせをしたり内部監査のチェックを受けたりする中で、我々自身、認識していなかったリスクに気付かされたことも少なくありません。リスク対応を考える場合も、我々が持っていない視点でアドバイスを頂けたことは非常に安心できる材料となりました。

— 当初1年ぐらいはかかるとご認識されていたISMS認証を半年で取ることになられたわけですが、途中でご不安になられることはありませんでしたか。

LRMが豊富な経験の中から出来るとおっしゃっていたので、信頼して取り組みました。最初の段階でISMS認証取得までのスケジュールやマイルストーンを設定した上で、取り組みの最中は的確にリードしていただけたので、着実に進んでいる実感を持ちながら取り組むことが出来ました。

— 従業員教育では、情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を使われたと思いますが、eラーニングを活用するメリットは感じられましたか。

管理者側としては、各自の実施状況をテストの結果を含めて、管理が簡単に出来るので便利だと感じました。
ユーザーインターフェースも使い易かったです。また受講する側としても、迷うことなく使えました。

時期的にもeラーニングは有効でした。コロナ禍で出社が減り、リモートワークが増える中、会議室などで集合研修を実施し、その場でテストを行い紙で回収するということがやりにくくなっています。システムで一元管理できるeラーニングはそういう意味でも便利です。

また、『セキュリオの』は、法令管理機能も活用しています。弊社のビジネスに関係する法令をリストアップし、常に最新版がチェック出来る状況です。

— 内部監査はいかがでしたか。

内部監査は、LRMに内部監査員を代行していただいてリモートで実施しました。まだ自前で内部監査を実施できるスキルやノウハウがありませんし、現場の社員にインタビューする際は、外部の方にやっていただいた方が緊張感を持って臨むことが出来ます。そういった観点で内部監査員代行というサービスはあって良かったです。

— 実際の審査を受審されたご感想をお話し下さい。

事前に何度もLRMにチェックしていただいて、その度に大丈夫だとはおっしゃっていただきましたが、当日はやはり緊張はしました。ただ、結果としてはクリティカルな指摘はありませんでした。すぐにフィードバックをすべき指摘はありましたが、LRMのアドバイスをいただいてすでに対応を終えています。