株式会社トリックスター様 & 株式会社ヒューマンリンク様 – 顧客事例 –

現場主体で情報セキュリティに取り組める体制作りが課題です
（株式会社ヒューマンリンク・
内田香奈氏）

— コンサルティング会社は何社か比較した上で選定されたのですか。

LRM以外にも2社ほど検討しました。LRMに関しては、社長の幸松さんと何度か会って話をしたことがあり、以前から存在は存じ上げていました。その上で、比較対象となるコンサルティング会社も探してみましたが、結果的にLRMに依頼しました。

— LRMにご依頼された決め手をお話しください。

決め手は実績の豊富さです。これまでサポートしてきた件数が多い分、認証取得までの工程が仕組み化されており、ひな形も複数のパターンが用意されていて、状況に合わせた提案やアドバイスをいただける印象がありました。営業の方の話からもお任せして大丈夫そうだという安心感がありました。最終的にLRMに絞って相談し、取り組み内容を「2社のISMSのグループ合同認証＋トリックスター社のPマーク取得および文書統合」と決めた上で、コンサルティングを正式に依頼しました。

内部監査や審査を通して意識化することができ、良い経験になりました
（株式会社トリックスター WEBディレクター・岩本相秀氏）

— ISMSもしくはPマークの取得を検討しはじめたのはいつ頃ですか。

約5年前から検討はしていましたが、具体的に動き始めたのはLRMに依頼した約2年前からです。

もともと自社取得を模索していましたので、関連書籍を読んで、出版社のサイトからひな形をダウンロードして参照するなど精査してみましたが、ISMSにしてもPマークにしてもドキュメントが膨大な量になりますので、手探りでやっていったら何年かかるかわからないと思い、コンサルティング会社のサポートを受けて取得することにしました。

— ISMSならびにPマークを取得した理由をお話しください。

各社、取得理由は、以下の通りです。

（1）トリックスター
クライアントの多くが官公庁や中堅規模以上の民間企業です。いずれもセキュリティ意識は高く、取引先にも高いセキュリティレベルが要求されます。特に、官公庁の場合、ISMSかPマーク、あるいは両方の取得が入札条件に上がることがあるため、ISMSとPマークの両方を取得することにしました。

（2）ヒューマンリンク
クライアントは、治験の企画会社や医療関係の会社です。そういった取引先と、個人情報の中でも特に機密性が高い健康情報を共有する関係上、弊社のセキュリティ体制を示す必要がありました。
また、2019年12月に『V-NET』のシステム基盤を会員情報含めてクラウドに移設したことで、セキュリティリスクが上がっていました。会員数は年々増えて、現在18万人に達しています。そういった観点から、情報セキュリティの体制づくりをするためにISMS認証を取得しました。

— ヒューマンリンク社がPマークを取得しなかった理由をお話しください。

実は当初は、ヒューマンリンク、トリックスターともに、ISMSではなく、Pマークの取得を検討していました。
しかしLRMに相談した際、Pマークは、医療分野に限り審査の仕組みが特殊で、取得のハードルが非常に高くなるという説明を受けました。
同時に、ISMSのグループ合同認証オプションをご案内いただいたため、労力や費用に対する成果を総合的に判断し、ヒューマンリンクにおけるPマーク取得はやめました。

ヒューマンリンクとトリックスターは、グループ会社ではありませんが、経営者が同一で、事務所を一部共有し、業務オペレーションや管理体制にも共通した要素が多いなど、一つの会社のような体制で事業を行っています。
ヒューマンリンク社が提供するサービスのWEBシステムの開発・運用もトリックスターが担っています。
そのためマネジメントシステムを統一した方が、運用上の負担は軽くなります。

以上のような事情から、2社でISMSのグループ合同認証を取得し、自治体との取引があるトリックスターのみPマークを取得しました。

— トリックスター社はISMSとPマークの文書統合もご依頼されていますね。

はい。こちらもLRMからご提案いただきました。ルールや文書の体系を一本化することでマネジメントシステム構築の工数を削減できますし、運用もシンプルになるためご提案内容に沿って依頼しました。

— トリックスター社とヒューマンリンク社でISMSの共通ルールを構築する一方、トリックスター社はISMSとPマークの文書統合を行っているわけですね。この場合、ヒューマンリンク社の方もPマークの規格に準じたルールが存在するということですか。

その通りです。Pマークの認証は取得しませんでしたが、ヒューマンリンク社にも個人情報保護のルールは必要です。
やはりLRMからご提案いただき、Pマークの申請手続きに必要な文書以外は、トリックスター社と共通で作成しました。

従来の枠組みを生かして管理体制を整備できて良かったです
（株式会社トリックスターおよび株式会社ヒューマンリンク
代表取締役・赤西芳樹氏）

— 御社内の取り組み体制をお話しください。

主担当はヒューマンリンクの内田が担当しました。内田はヒューマンリンクの事業全体を統括し、トリックスターの経理業務なども兼務しています。LRMとの打ち合わせは、代表の赤西と内田の2人が出席し、社内で行うべき作業は内田がリードして関係各所と連携しながら取り組みました。また、トリックスターでWEBディレクターを務めている岩本が内部監査責任者を務めました。

— 取り組みの期限は設定されていましたか。

自治体の次年度に向けた入札が1月から始まりますので、できるだけ早い時期での取得を目指しました。Pマークは申請までに6ヶ月間の運用期間を設ける必要がありますので無理でしたが、最低限ISMSの審査は年内に終わらせられるようなスケジュールを組んでいただいて取り組みをスタートしました。

— ISMSの2社合同取得、トリックスター社のPマーク取得および文書統合は、どのような手順で進みましたか。

まず5月から8月にかけてLRMが用意したマニュアルの雛形を読み合わせしながら、ISMSとPマークを統合する形でルールを構築しました。

その後、実際の運用を通して細部を調整し、情報資産管理台帳、個人情報管理台帳、リスク管理台帳などを作成し、
従業員教育、内部監査などを経てISMSの審査を受けました。

さらに、LRMと一緒にPマークの申請書を読み合わせしながら作成し、年内には申請を済ませ、翌年3月にPマークの審査を受けました。

— 取り組み全体を通して、ご苦労はありませんでしたか。

社内リソースの関係上、社内の作業の進捗が捗らないことはありました。もともと主担当者はトリックスター社の実務面に携わっていなかったため、社長の赤西や現場スタッフに確認しながら文書をまとめていく必要がありました。
また、業務が忙しく、連携がうまく取れないこともありました。

— ルールを決める上で難しかったことはありませんでしたか。

LRMのサポートを受けながら進めましたので、ほとんどありません。マニュアルのひな形を読み合わせしながら、記載された通りのやり方を弊社の現場に落とし込むと業務が煩雑になりそうな場合は、LRMに相談して我々の業務に合ったルールに変えました。

— 2社は異なる事業を行っており、複数の拠点で仕事をされていますね。統一したルールを作る上でご苦労されたことはございませんか。

特にはなかったです。両社ともファイルサーバーは『Dropbox』を使っていますし、業務手順や管理体制は基本的に一緒です。

— ISMSやPマークを取得するため、新たに設けたルールはございますか。

入退室管理やリモートワークにおけるパソコンの管理ルールを決めたぐらいです。他にもこまごまとしたルールは決めましたが、業務に影響を与えるようなことはありませんでした。もともとファイルサーバーの権限管理はしていましたし、パスワードポリシーも規定していました。退社時は机の上には何もない状態で帰るように心がけてもいました。

もともとトリックスターもヒューマンリンク社もIT領域で業務を行っている会社です。使っているツールは全てクラウドサービスですし、情報自体は全てクラウド上にあります。紙の文書類はほとんど扱っていません。もちろん物理的に保管しなければいけないものはありますが、各拠点とも以前から鍵付きのロッカーは設置していました。根本的に変えなければいけないことはほとんどありませんでした。従来の枠組みを生かして管理体制を整備することができて良かったと考えています。