株式会社ウェルクス様 – 顧客事例 –

— LRMへのご依頼内容をお話し下さい。

株式会社ウェルクスは2018年8月、LRMにISMS/ISO27001（以下、ISMS）認証の新規取得コンサルティングを依頼しました。

担当者・大谷さんのサポートのもと、9月中旬から準備を始め、2019年3月中旬の第2段階審査を経て、4月中旬、ISMS認証を取得しました。会社全体の体制整備を進める時期と重なっていたこともあり、非常に慌ただしい中でのプロジェクトでしたが、狙い通りの成果を得ることが出来て満足しています。

— ISMS認証を取得した理由をお話し下さい。

弊社は社内の体制整備の一環で、ISMS認証を取得しました。体制整備の過程で情報管理が重要課題として浮上し、第三者機関の認証を取得すべきではないかという話になりました。

もともと、弊社が従事する人材サービスは、国への届け出が必要な許認可事業であり、個人情報を含め、厳しい情報管理が求められています。同時にそれは、お客様にとってもサービスを選ぶ際の重要な基準になっています。
弊社としても第三者機関による認証を取得することは、お客様に安心感を与える材料になりますし、認証規格の要求を満たした体制を作ることでサービスの品質を高めることが出来ると考え、ISMS認証を取得することになりました。

— 情報セキュリティに関して、予め定められたルールは存在していたのですか。

先ほど申し上げました通り、弊社の事業は国の許認可に基づいていまして、ルール作りは必須です。情報管理のフレームワークも文書化され、存在していました。

ただ、体制整備を進める中で、改めてチェックしてみると曖昧な部分がありましたので、2018年夏頃に、より具体的なルールに整備し直したところでした。それが一段落したところでISMS認証を取得することが決まりましたので、ちょうど良いタイミングでした。

— プライバシーマークの取得はご検討されなかったのですか。

当初はプライバシーマーク（以下、Pマーク）も検討しました。しかしコンサルティング会社選定の過程で各社から話を聞いた結果、ISMS認証の方が弊社の目的に適っていると考えました。

特にLRMの営業担当・藤居さんからは、Pマークは定型化されたルール作りがメインとなり、一方、ISMSは企業の実情に合わせたルール作りが出来ると伺いました。定型化されたルールを適用すれば、社内の工数が増えることは明らかです。弊社としては、社内ですでに用いられているフレームワークを活かしてセキュリティを高めたいと考えていましたので、ISMS認証を選びました。

— 同業他社でISMS認証を取得している企業はございますか。

人材業界は、Pマークを取得している企業が圧倒的多数です。WebサイトにISMSの認証マークを掲載している競合他社は少ないのではないでしょうか。

多くの人材会社がPマークを取得する理由は、扱う情報が主として個人情報だからです。しかし、Pマークは日本独自の制度です。それに対してISMSは世界標準ですのでより信頼性は高まります。ISMS認証を取得している同業他社が少ないなら、アピールポイントにもなると考えました。

— ISMS認証取得に向けた社内体制をお話し下さい。

我々が所属するコーポレート本部から、本部長と我々2名の合計3名でISMS事務局を組織して取り組みました。
本部長が情報セキュリティ管理者、山田が主担当、坂井が実務担当という役割で臨みました。

山田、坂井の両名は、2018年の春頃、社内体制を整備する中で管理部門の強化が必要となった際に入社したメンバーです。山田は入社後、総務部長(当時)として、従来から存在していた情報管理フレームワークの見直しを行いました。
坂井は総務部(当時)に所属し情報システムを担当しています。前職時代、厳格な情報管理が求められる警備会社で情報システムの管理・運用に携わった経験を持っています。情報管理においてはシステムの管理が重要となりますので、これまでに培った専門的な知見をISMSの構築・運用に活かすべくISMS事務局にアサインされました。

— 今回、ISMS認証取得に取り組む上で、ご懸念されたことはございましたか。

ISMS事務局のメンバーが心配していたことは、ISMS運用に対する社内の理解を得ることです。ISMSのような社内体制の整備を進めようとすると、大抵の場合、最初にクリアしなければいけないのが社内の理解を得ることです。ただ実際に始まってみると、ほとんど反発はありませんでした。全社的に理解して取り組んでもらえたため、プロジェクトをスムーズに進めることが出来ました。

— ルールを作る作業よりも、社内の理解を得ることの方が大変ですか。

作業自体はやるべきことをやるだけなのでそんなに大変ではありません。各部署と折衝したり、キーパーソンに根回ししたりすることが非常に大変です。事務局メンバーの2人は前職時代、似たような社風の会社で管理系の部署に所属し、苦労した経験を持っていたため、まずはそこがハードルになるだろうと話し合っていました。

— 反発される理由は何ですか。

社内体制の整備、管理部門の強化というと、どうしても管理が厳しくなると考えられがちです。実情に合わないルールが強制され、業務の負荷が大きくなるというイメージを持たれます。特に攻める立場の営業部門から「邪魔しないでくれ」と言われるケースが多いです。そのため我々管理部門が、各部署の管理職を1人ずつ訪ねて説明をするのですが、現場にはなかなか伝わりません。管理職の立場からも、行動を縛るようなルールは受け入れがたいですし、現場から反発されることが目に見えているので、消極的にならざるを得ません。そうなると我々が改めて現場に説明して回るしかありません。

以上のような事情で、前職時代は、周知させるだけで非常に苦労していましたが、今回はそのような苦労はありませんでした。

— ISMSの場合、現場の負担というとどういったことが考えられましたか。

ルールの運用全般です。私たちISMS事務局はルールを作るだけで、実際の運用では各部署の方々に手を動かしていただかないと進まないと思っていました。それは私たちがやるわけにはいかないし、やっていただかないとルールを作っても意味がありません。通常業務に加えて負荷がかかることは避けられませんので、不満は出るだろうと考えていました。

— 今回、反発がなかったということは、その負荷がかからなかったということなのですか。

いいえ、情報資産管理台帳やリスク管理台帳の作成などは部署ごとに取り組んでもらう必要がありました。またシステム上の整備もしました。例えばパソコンにウイルス対策ソフトを入れて更新を怠らないといったことも、各自で取り組んでもらったり、上長にチェックしてもらったりする必要があります。そういった必ずやるべきことがあるので、従来と比較すれば負荷はかかっています。

— 情報資産管理台帳の作成やリスクアセスメントは、全員で実施するのですか。

全員ではありません。主に各部署の責任者クラスの方が担います。予め事務局側からレクチャーはしましたが、現場の一人一人がやっていることを集約していかなければいけませんので、このポジションの社員が最も大変です。
ただ、完成形を目指そうとすると続かないので、現状わかっている分だけを洗い出して、見直し続けるという方針を採りました。何かを作ろうとすると完成形で出さなければいけないと思われがちで、それが負担に感じられる要因でもありますので、まずは出してもらうというところから始めました。我々は、ISMSは現状に即したルールを作り、変化に応じて改善していくという考え方だと理解しています。そこがISMSにして良かった点です。

— しかし、お2人ともご入社されたばかりのタイミングですし、社内の理解を得ることはご苦労されたのではないですか。

それに関する問題はありませんでした。弊社は創業7期目の会社です。また、約95％の社員が中途社員で、在籍年数1～2年の社員が多い状況でした。マネジメント層も我々と同時期に大量に採用されており、まさにここから基盤整備が始まるというタイミングでした。ISMS導入について理解してもらえたのは、そのような背景があったからだと考えています。

— 取り組みの結果について伺います。まずISMS認証を取得したのは2019年4月とおっしゃいましたが、当初3月末までの取得を目標とされていました。それは予定通りにはいかなかったということですか。

いいえ、第2段階審査は3月中旬に終わっていました。そこから先のスケジュールは審査機関の都合による部分があります。弊社側がやるべきことは予定通りに終えました。

— 実情に合わせたルール作りに関してはいかがでしたか。

基盤は出来たと考えています。LRMと打ち合わせをする中で、実情では無理だと思うものはそぎ落としましたし、絶対にやらなければいけないとアドバイスしていただいたことは残しましたので、目指した通りになりました。

— 「絶対にやらなければいけないこと」「やっておいた方が良いこと」「やらなくても良いこと」というのは、どのように決めて行ったのですか。

基本的には、パブリックカンパニーとしてあるべき姿を想定し、最低限やるべきことは絶対にやるという考えです。
一方で、事務局メンバーも入社から数ヶ月が経って社内の実情がわかって来たタイミングでしたので、出来ることと出来ないことの判断をしながら決めて行きました。ただ、ISMS認証を取得するにはISMSの規格を満たす必要がありますので、そのためにどうすれば良いかは、大谷さんにアドバイスしていただいて決めました。

— 現状では出来ないと判断されたものにはどのようなことがありましたか。

例えば次の2つがありました。

（1）ログ管理
パソコンの操作ログや社内ネットワークへのアクセスログといったログの管理です。どのパソコンからどのWebサイトに何時何分にアクセスしたか、何時何分に社内のネットワークに対して攻撃があったといったログを解析する仕組みを導入できればベストですが、組織の配置、人の配置にまで関係してくることですので今すぐは難しいと判断し見送りました。

（2）ソフトウェアの管理
使って良いソフトウェアと使ってはいけないソフトウェアを明確にして管理出来ることは理想ですが、審査までに急いで対応すると無理が出るので、今回は対応しないことにしました。

— それらを“やらない”と決めた代わりの対策はあるのですか。

それぞれ次のような対策を取っています。

（1）ログ管理
私物のパソコンや携帯電話は業務に使用しない。勤務時間外は会社のシステムにアクセスしない。プライベートで利用しているGoogleアカウントを仕事で利用しない。といった基本の基を定着させることから始めています。

（2）ソフトウェアの管理
これまで各部署ごとに非常に多くのソフトウェアを使ってきた経緯がありまして、どの部署の誰が何を使っているのか、それぞれ有償ソフトなのかフリーソフトなのかといったことが、非常に混沌としている状況でした。そこで、業務で利用して良いソフトウェアなのかどうかを判断する基準をマニュアルに明記しました。その上で各部署が業務で使用しているソフトウェアを台帳にまとめて、部署ごとに管理する体制を作りました。

— プライベートのGoogleアカウントについてお話がありましたが、チャットツールの使用状況や規制などに関してご検討されたことはありましたか。

LINEの利用について検討しました。弊社ではキャリアコーディネーターや派遣コーディネーターが求職者と直接連絡を取り合いますが、連絡手段としてよく使っているのがLINEです。ただ個人が所有する携帯電話では本人しか利用した履歴が把握出来ません。何かトラブルがあった時も、個人のアカウントにアクセスしなければわかりません。しかし、使用禁止にすることは現実的ではありません。

そこで、業務で利用するLINEアカウントは、会社が支給するスマートフォンからしか利用できないというルールを定めました。端末は個人の業務が変わったり退職したりする際には必ず返却してもらいます。そうしてそのアカウントが使えなくなることで、セキュリティが担保されるものと位置づけました。

— LRMのサポートについて伺います。まず現場の方々が担われた情報資産管理台帳の作成やリスクアセスメントにおいて、LRMはどのような関わり方をしましたか。

大谷さんには、まず初回の打ち合わせで、各部の部長に台帳の作成などに関するご説明をいただいた上で、現場の担当者にヒアリングする形でリスクアセスメントを実施してもらいました。業務内容、取り扱う情報の種類、それに伴うリスクなどを丁寧にヒアリングしてくださって、情報資産やリスクをどのように洗い出せば良いかをレクチャーしていただきました。その上で打ち合わせをするたびに、弊社から進捗状況を報告し、中身の精査やアドバイスをしていただきました。

— ルールの策定、ISMSマニュアルなどの作成にはどのように関与しましたか。

今回はLRMが作成したひな形をベースに、リスクアセスメントの結果を反映させるという形でマニュアル作成を進めました。その過程で「必ずやるべきこと」「やった方が良いこと」「やらなくて良いこと」といった線引きをする際、多くのアドバイスをいただきました。実情に合わせたルール作りが出来たと申しましたが、管理の実態としては200名規模の従業員がいれば、意図的か偶発的かは別として、インシデントが発生するリスクはなくなりません。そのリスクを現時点ではどのように見るべきかということを、非常にわかりやすく説明していただきました。

— 従業員教育はどうされましたか。

LRMの情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を利用し、12月頭に各部の部長に対して管理者向けの研修を実施しました。その上で12月中旬、やはり『セキュリオ』を活用し、全社員に対して情報セキュリティ基本研修を実施しました。

そして2月末、今回構築したルールの周知を全社員向けに行いました。ルールの構築段階では、各部署の責任者や実務担当者に対し、決まったルールを都度報告してフィードバックをもらうといったことはしていましたが、全社的な落とし込みは、2月末に初めて実施しました。

— 『セキュリオ』を利用されたご感想をお話し下さい。

『セキュリオ』は受講状況を一覧できるため、非常に管理がしやすかったです。また、そのまま教育記録簿としても使えるため、現地審査で従業員教育に関する質問をされた時に説明がしやすかったです。

— 2月末の全社員に対する周知はどうされたのですか。

ハンドブックを作成して実施しました。ハンドブックはLRMに用意していただいた叩き台をもとに作成しました。

— LRMのサポートには内部監査員代行もありますね。

内部監査は、事務局向けと現場向けの2回実施しました。現場向けの内部監査は各拠点で実施しました。いずれもLRMに内部監査員を代行していただきました。

— 内部監査員代行のサポートはなぜ利用されたのですか。

弊社には、ISMSの審査をクリアするためにどういう視点でセルフチェックすれば良いかというノウハウが、全くありませんでした。また社内の人間だと見えない部分もあります。より適正な監査をするためには代行していただいた方が良いと考えました。

— 内部監査で指摘を受け、改善したことはありましたか。

ほとんどありませんでした。地方の事業所はISMS事務局の目が届かないため、責任者クラスにハンドブックやマニュアルを読み込んで、現場への周知を徹底するように伝えていましたが、しっかり対応してくれていました。大谷さんからも突っ込みどころがないという評価をいただきました。

— LRMのISMS認証新規取得コンサルティングを受けたご感想をお話し下さい。

今回、担当者の大谷さんには、スタートアップや老舗企業など、様々な会社をサポートしてきた経験をもとに、弊社の事情を汲んだサポートをしていただけたと考えています。

特に「何を最優先にすべきか」、現在の弊社の状況で「対応出来るのか出来ないのか」、といったことを非常にわかりやすくご説明いただきました。上から目線で「これをやらないとISMS取得が出来ない」といったような押しつけをおこなってくることは全くなく、弊社の出来ない状況をご理解いただいた上で、こうした方が良いのではないかというアドバイスを沢山いただきました。また、私たちがここまでやらなければいけないだろうと思っていたことを、そこまでやる必要はないのでは？とご意見をいただくこともありました。

現時点で規格にがっちりはまっていなくても、「PDCAサイクルを継続的に回して改善し続ける」という考え方を軸にルール作りをリードしていただけたことは弊社にとって大変良かったです。

— 今後の課題がございましたらお話し下さい。

今期の目標として掲げていることは、ISMS認証を取得する過程で整備したマニュアルを社内に定着させることです。
今回、情報資産管理台帳やリスク管理台帳を作り、それをきちんと管理しましょうという細々とした決まりを作りましたが、社員一人一人がそれらを管理することが当たり前だと思える、そういう意識を定着させることが大切だと考えています。そのためにも我々ISMS事務局がすべきことは、皆が忘れないよう言い続けることです。次の維持審査も、取得審査の時と同様に初心で臨みたいと考えています。

— LRMへのご期待があればお話し下さい。

LRMには、次の維持審査に向け、引き続きご協力いただく予定です。弊社の実態をご理解いただいていますし、大谷さんの人柄も信頼しています。属人的になってしまうといけないと思う一方で、ある程度属人的な部分は残しておいた方がプラスになることが多いと考えています。契約する前に藤居さんがおっしゃったように、合うか合わないかは非常に重要です。ISMS事務局メンバーとしては、ぜひ引き続き大谷さんにご担当していただきたいと考えています。
具体的なサポート内容については、営業の藤居さんからご提案いただいていることがございますので、現在検討中です。今後ともよろしくお願いいたします。

株式会社ウェルクス様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社ウェルクス様のWEBサイト
※ 取材日時 2019年7月