株式会社クオリティア 様 – 顧客事例 –

社内に根付くマネジメントシステムを構築するためには、話のわかるコンサルトが必要でした。これからもLRMと一緒に、ISMSの維持改善を目指します

※2015年10月子会社のディープソフト株式会社と合併し「株式会社クオリティア」へと社名が変更になりました。

株式会社クオリティアは、2010年に業務改善活動の一環として情報セキュリティ委員会を立上げ、ISMS/ISO27001の新規認証取得活動に取り組んで来ました。LRMにコンサルティングを依頼した経緯、LRMが果たした役割について、ISMS管理責任者の取締役開発本部 本部長 野村維左夫氏、ISMS事務局の開発部 田畑千絵氏、経営管理部 人事総務課 本多里衣氏に伺いました。

(株式会社クオリティアについて)

株式会社クオリティアは、企業・教育機関・官公庁を対象としたメッセージングソリューションを軸に事業展開するIT企業である。国内販売シェアトップのWebメール『Active! mail』、ニーズ拡大中のメールアーカイブ『Active! Vault』の他、アンチスパム『Active! hunter』、メール誤送信対策『Active! gate』といったメールセキュリティ製品を開発・提供している。また、クラウドで提供しGoogleAppsとの連携を実現した『Active! Gate SS』『Active! Vault SS』、そして『Active! mail』のプラットフォームをベースとする統合サービス『Active! World』など、自社製品を活用したサービス提供にも力を入れている。開発からサポートまで一貫して自社内で行うことで、他に類を見ないユーザーフレンドリーな製品・サービスを実現し業容を拡大し続けるオンリーワン企業である。
設立;1993年。社員数;約60名。本社:東京都。

LRMに新規取得コンサルティングと運用サポートコンサルティングを依頼

— 御社がLRMに依頼した業務内容を教えてください。

弊社は2012年3月、ISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。
2012年12月、無事に認証を取得し、現在はISMS運用改善コース(情報セキュリティ倶楽部)を契約しています。

ISMS認証を取得した理由

国内シェアNo.1の『Active!mail』を核とするActiveブランドを展開。

国内シェアNo.1の『Active!mail』を核とするActiveブランドを展開。

— 御社が、ISMSを取得した理由を教えてください。

弊社がISMS認証を取得した理由は、主に対外的な信用力強化を目指したからです。

弊社が提供するサービスでは、お客様の情報をお預かりいたします。このような企業にとって情報セキュリティマネジメントシステムをいかに体系化しているかは、対外的な信用に結びつきます。最近は、弊社の製品やサービスにお引き合いをいただくお客様からは、プライバシーマーク(以下Pマーク)またはISMS認証の取得状況を問われる機会が非常に増えています。取得していない場合は、どのような対策をとっているのかを文書化して提出することが求められます。
いずれかの認証を取得していれば「取得しています」と回答するだけで済みますが、取得していなければ求められるたびに詳細な文書を作成しなければいけません。

時には、取得していない理由まで問われることもありました。そういう意味では、いずれかの認証を取得していることが、信用力にも繋がるということです。
弊社が今後も事業を継続していく以上、PマークかISMSの取得は必須課題でした。
認証取得を前提とした契約もありましたので、企業責任を果たすためにも取得しなければいけませんでした。
ISMSを選択したのは、Pマークが国内のJIS規格に準拠するのに対し、ISMSは国際規格に準拠するものだからです。
2010年の春頃から社内の改善活動の一環として情報セキュリティ委員会を組織して新規取得活動を進めてきました。

まずは自力で規格の理解と現状把握からスタート

幸松さんと会うことが楽しい。委員会のメンバー全員、そう感じていたと思います

幸松さんと会うことが楽しい。
委員会のメンバー全員、そう感じていたと思います
(開発部・田畑千絵氏)

— コンサルティングサービスを導入するまでの2年間の経緯を教えていただけますか。

現在の情報セキュリティ委員会は、事務局の田畑の提案をきっかけに業務改善活動の一環として立ち上がりました。立上げ時点では情報セキュリティは関係なく、社内のソフトウェアや機器類などの資産管理を行うための活動でした。
資産管理は一部門だけの問題ではないため、各部署からメンバーを募りました。

部門横断的な活動として活発な意見交換を行う中で、どうせやるなら社内だけではなく外部にアピール出来るような成果を出すべきではないかという意見があり、当時課題となっていた情報セキュリティの認証取得を目的とする情報セキュリティ委員会へと発展しました。

情報セキュリティ委員会は、ボトムアップ型でスタートしたプロジェクトのため、期限などの制限はありませんでした。いずれかの段階でコンサルタントを活用すべきという認識はありましたが、ただ言われるがまま、やらされるだけの取り組みでは意味がないと考えていました。

そのように考えた背景には、以前、Pマーク取得に取り組んだ経験がありました。
その時はコンサルタントに言われた通りに動くやり方で、プロジェクトが思うように進みませんでした。
それが教訓となり、今回のISMSでは最初からコンサルタントに頼るのではなく、自分たちが主体的に取り組み、我々自身が、ISMSとは何か、規格はどうなっているのか、を理解するところからスタートしました。

– 途中でコンサルティングを導入したきっかけを教えてください。

情報セキュリティ委員会による新規取得活動が大詰めを迎える中で、認証取得というゴールへ適性に導いてくれる存在が必要となったことがきっかけです。

それまでの2年間、我々はISMSを理解するために、市販の関連書籍やWebサイトを読んだりセミナーを受講したりしました。そして規格に照らし合わせて弊社の現状把握を行い、情報資産の洗い出しや台帳の作成、社内規定などの文書類作成といった作業を一通り行いました。
我々が作業する上で意識したことは、全社員の理解を得て社内に情報セキュリティ意識を浸透させることです。
セキュリティを強化すると業務フローに影響が出る場合があります。それによって社員の負担が増えると、構築したマネジメントシステムに対する社員の理解を得る事は難しくなってしまいます。
そのため出来るだけ意味のないルールは省いて、どうしても必要なことはなぜ必要なのかをきちんと理解した上で制度化したいと考えました。
その一方で、審査に合格するためには、ISMSの規格に適合したシステムを構築しなければいけません。
そこで弊社の業務フローに合わせたマネジメントシステム構築と規格への適合を両立させることが問題となりました。

参考にした関連書籍やWebサイトには膨大な量の情報が公開されています。
しかしその中には、弊社として本当にそこまでやらなければいけないのか、そしてそれをやることにどんな意味があるのかと疑問に思うことが沢山ありました。
また、書籍やWebサイトによって主張が対立する内容もあり、何が正しいのかを判断することも困難でした。
このような問題を解消するために、コンサルティングサービスを導入しました。

選定理由は「同じ目線に立って一緒にゴールを目指していける」と感じたこと

— コンサルタント会社としてLRMを選定した理由をお聞かせ下さい。

最大の理由は、LRMは私たちと同じ目線に立って一緒にゴールを目指していただけると判断したからです。そう判断した材料はいくつかあります。

(1)コミュニケーションの取りやすさ
コンサルティング会社は実質的に3社を比較しました。面談の結果、最もコミュニケーションがとりやすかったコンサルタントがLRMの幸松さんでした。
面談の中で感じたことは、幸松さんは我々の話にしっかり耳を傾けてくれるということです。
我々はそれまでの2年間で、自社の実情に合わせたシステム構築を目指した活動をしており、積み重ねた成果を無駄にしたくありませんでした。
幸松さんは我々の考えやこれまでの社内の取り組みを尊重してくれるため、必要以上に規格に縛られることなく、柔軟な制度構築が出来ると考えました。
反対に他のコンサルタントはひな形に合わせて構築する方法で、我々の意志は尊重されず、今まで積み重ねてきたことが生かされる余地はないと感じました。

(2)実績と経験
幸松さんはIT業界出身で我々の業務に対する理解が早いことと、IT企業に対するコンサルティング実績が豊富であることから、安心してお任せできると考えました。
また、幸松さんはISMS審査員としても活動していますので、そこで蓄積した知識や経験にも期待しました。

(3)認証取得後の運用サポートメニュー
LRMのコンサルティングメニューには、認証の新規取得だけではなく、取得後の運用をサポートするISMS運用改善コース(情報セキュリティ倶楽部)があります。
ISMSは認証取得後、しっかり運用していくことが重要です。PDCAサイクルを回していく上で、やらなければいけないことは沢山ありますので、きちんとサポートしていただけるメニューがあることは心強い要素です。
また、認証取得後の運用をサポートするメニューを用意している企業姿勢は、信頼の裏付けとなりました。

以上、3つの理由から、LRMと一緒にゴールを目指すことを決めました。

コンサル開始から取得までの経緯

審査直前、確認作業を一緒に手伝ってくれたおかげで精神的に楽になりました

審査直前、確認作業を一緒に手伝ってくれたおかげで精神的に楽になりました
(経営管理部 人事総務課・本多里衣氏)

— LRMのコンサルティング開始後、認証取得はスムーズに行きましたか。

はい。3月にLRMを交えた作業を開始し、12月に取得出来ました。

LRMが担った役割で最も重要だったことは、それまでに情報セキュリティ委員会の活動で構築したシステムの確認作業です。それは我々が最も期待した部分でした。
情報資産台帳やベースラインリスク分析、社内周知の仕組み、運用の仕方などを一通り見直してもらい、不足する部分を補強したり、冗長すぎる箇所を削ったり統合したり、文書の文言に修正を加えたりしました。
その上で幸松さんに審査に必要な規定類や書式などといった文書を、改めてまとめていただきました。
幸松さんのコンサルティングが始まって新たに着手した作業には、社内の整理整頓があります。
アドバイスに沿ってオフィス内の文書管理方法などを見直して整理していきました。

また、社内システムに関しても、ログやバックアップ方法の整理、社内に散らばったパスワードなどの情報を一元化して共有できるようにしました。

— 途中コンサルタント選定時の期待に対する成果はいかがでしたでしょうか。

期待通りでした。規格に対してどこまでやれば適合するのか、また適合するための文言など、弊社の事業内容や業務フローに即した適切なアドバイスをいただくことで、必ずやらなければいけないこと、やった方が望ましいこと、ある程度までやれば十分なこと、の仕訳ができました。
また、社内システムの整理はIT業界出身の幸松さんだからこそのアドバイスだったと感じています。

さらに、リスクアセスメントの際に、幸松さんが委員会以外の社員にインタビューを行う機会がありましたが、それが社内全体の意識向上に繋がりました。
一般社員の間でも日常的に「これはISMS的にどうなんだろう」という疑問の声が上がるようになっており、情報セキュリティへの意識が社内に根付いたと感じます。

ISMS運用改善コース(情報セキュリティ倶楽部)が必要な理由

— ISMS運用改善コース(情報セキュリティ倶楽部)を依頼した理由を教えてください。

情報セキュリティマネジメントシステムの構築にはゴールがないということが理由です。

ISMS運用改善コース(情報セキュリティ倶楽部)は、一度構築したマネジメントシステムを効果的に運用し続けるためのサポートメニューです。一旦はマネジメントシステムを構築しましたが、会社は変化し続けますし、ISMS認証を維持するためには定期的な維持審査や更新審査に合格し続ける必要があります。そのためにPDCAサイクルを回しながら運用改善し続けなければいけません。
また、認証取得を通して社員の意識が高まった分、社員からの質問が増え、その内容も高度化しています。
我々だけでは解決できない問題・課題は、今後も多数発生することが見込まれます。
こういった課題や問題への対応を的確に行うためには、コンサルタントの継続的なサポートが必要です。
以上のような理由から、ISMS運用改善コース(情報セキュリティ倶楽部)を依頼しました。

顧客の立場で親身に対応するコンサルティングスタイル

LRMは、クオリティアならどうすべきかを、親身になって考えてくれるコンサルタントです

LRMは、クオリティアならどうすべきかを、親身になって考えてくれるコンサルタントです
(取締役 開発本部 本部長・野村維左夫氏)

– LRMへのご評価をお願いいたします。

弊社がLRMを評価するポイントは主に次の3点です。

(1)顧客起点のコンサルティング
LRMのコンサルティングスタイルの最大の特徴は、顧客起点である、ということです。

認証の新規取得活動においては、ISMSの規格ありきの一般論で話を進めるのではなく、あくまで我々の立場に立ち、事業内容や企業としての規模、さらに社内での取り組み状況を踏まえてリードしてくれました。
何かを決める際には、答えを1つに限定して一方的に示すのではなく、我々自身の考えを引き出すスタイルでした。
情報セキュリティ委員会では、過去の取り組みにおいて課題や問題が発生したらみんなで相談するという行動が定着していました。
それを十分理解していただいていたからこそだと感じています。

このような顧客の立場に立ったコンサルティングよって、クオリティアという企業に最適化されたマネジメントシステムが構築できました。

(2)話しやすさ
LRMの幸松さんは、とても話がしやすいコンサルタントです。関西人らしい親しみのあるコミュニケーションスタイルで、威圧感はなく、何でも気軽に相談することが出来ます。それは選定時に期待した通りでした。

例えば、新規取得活動の中では、所属する部署の業務が忙しくて、ISMS関連の作業が期日通りに完了出来なかった時も、正直にその旨を話すことが出来ました。
そのような時でも機転をきかせてそれをカバーするアドバイスをしてくれることで、スケジュールをずらすことなく、予定通りに進めることが出来ました。

このようなことから、一緒に仕事をしていただける実感が持てて、頼りがいとともに会うことが楽しいとも感じました。それは、情報セキュリティ委員会のメンバー全員が感じていたことだと思います。

(3)契約書や見積もりに縛られない親身な対応
契約書や見積もりに縛られない親身な対応に助けられています。

例えば新規取得活動においては、事務局の仕事として最も大変だったのが審査段階でした。
特に、現地審査の準備段階では漏れがあってはいけないというプレッシャーを抱えていました。
しかし、前日、幸松さんが確認作業を一緒に行ってくれたおかげで安心して審査を迎えることが出来ました。
審査前日のコンサルティングは、予定になかったことです。
審査対応では、幸松さんが審査会社と交渉していただいたり、迅速かつ的確なアドバイスをいただいたり、我々の負担を軽減する様々な働きかけをしてくれました。

さらに、情報セキュリティとは関係のない相談にも気軽に乗っていただいています。
お客様からの問い合わせへの対応などで困った際も、相談すると人脈を活かして調べてくれて、即日回答していただけます。非常にレスポンスが良いためつい頼ってしまうのですが、嫌な顔をせずに快く対応していただいており、助かっています。

取材後、社内コミュニケーションツールについて、幸松(右)をまじえて話し合う様子

取材後、社内コミュニケーションツールについて、
幸松(右)をまじえて話し合う様子

ISMS認証取得と運用におけるコンサルタント活用のコツ

— 最後に、ISMS認証の新規取得や運用においてコンサルタントを上手に活用するためのコツを教えていただけますか。

我々は、次のように感じています。

ISMSは認証取得が出来れば目的が達せられるものではありません。
継続して運用するためには企業ごとに最適化されたマネジメントシステムを構築し、認証取得後も常に見直していかなければいけません。そのためには信頼できるコンサルタントのサポートが必要です。
ISMSの構築や運用では面倒に感じることもありますが、愚痴に近いような相談も受け入れてもらえるようなコンサルタントと出会えれば心強いです。
そして迷いや疑問が発生したら、どんなに小さなことでも放っておかずに、コンサルタントに相談することが大事だと考えています。

弊社のケースでは、LRMと一緒にマネジメントシステムを構築しました。
今後もこれまで同様の関係を保ち、より良いマネジメントシステムへと発展させていきたいと考えています。

株式会社クオリティアの皆様、お忙しい中、有り難うございました。

株式会社クオリティア様の皆様、お忙しい中、有り難うございました。
※左端は弊社幸松

株式会社クオリティア様のWebサイト
※ 取材日時 2013年1月

  • クラウドサービス(SaaS)開発・提供
  • サービス開発・提供
  • 認証知識を基礎から学ぶ
  • 50~199名
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら