トップ > コンサル導入事例 > 株式会社ヤマップ様

株式会社ヤマップ様 – ISMS/ISO27001認証・取得コンサルティング 事例

情報セキュリティ対策は“個人の意識に任せています”では説明ができません。社会的信用を得るためにもISMS認証を取得しました

国内最大級のGPS登山地図アプリ『YAMAP』を中心に事業を拡大中のITベンチャー・株式会社ヤマップ。数年ほど前からLRMが提供するセキュリティ教育クラウド『セキュリオ』を活用し、社内の意識向上に取り組んでいた同社が、2022年2月、ISMS/ISO27001認証を取得しました。認証取得に取り組み始めた動機や取り組みの経緯、さらに今後の課題などを、取締役CTO・樋口浩平氏、コーポレートエンジニア・竹林久美氏のお二人にお話しいただきました。

記事index

  1. LRMへのご依頼内容:ISMS/ISO27001認証新規取得コンサルティング
  2. 数年前からセキュリティ教育クラウド『セキュリオ』を契約
  3. 事業拡大に伴う体制整備の一環としてISMS/ISO27001認証を取得
  4. LRMに依頼した決め手は“いつも利用しているツールをそのまま使えること”
  5. 現場の負担が少ない情報セキュリティ体制を構築
  6. 用意されたひな形をベースに無理なく運用できるマネジメントシステムを構築
  7. コンサルタントの柔軟・迅速な対応でスムーズに進行
  8. リモートワークの継続的な仕組み構築が課題

(株式会社ヤマップについて)

“人と山をつなぐ、山の遊びを未来につなぐ”という企業理念を掲げ複合的な事業を展開するITベンチャー。主要サービスはスマートフォンアプリ『YAMAP』。
携帯電波に依存せず現在地を確認できるGPS登山地図アプリで、登山、アウトドアユーザーが集う、コミュニティプラットフォームを備えているのが特徴。2013年4月のリリース依頼、幅広い年齢層にユーザーが広がり、アプリのダウンロード数は300万を突破(2022年3月現在)。GPS登山地図アプリとしても、コミュニティプラットフォームとしても国内最大級のサービスに成長している。この他、スマホで簡単に申し込みが完了し、レスキュー費用や登山中および日常生活におけるケガまで保証する登山保険『YAMAP登山保険』や、登山・アウトドア用品のセレクトオンラインストア『YAMAP STORE』などを展開。さらに自治体や鉄道会社とのタイアップによるイベント開催、長野県警や群馬県警との連携による電子登山届、ビール醸造所との協業によるオリジナルクラフトビール開発など、活動の幅を広げている。登山をはじめとする様々なアウトドア活動や、山と共に生きる暮らしのすべてを遊びと捉え、「山を楽しむ文化」を過去から現在、現在から未来へとつなぐ。
本社;福岡市。設立;2013年7月。従業員数;約80名(2022年3月現在)。

LRMへのご依頼内容:ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話しください。

株式会社ヤマップは、2021年9月、LRM株式会社にISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。担当者・松岡さんのサポートを受けて、ルール構築や文書作成など準備を進め、2022年2月、第2段階審査を受けました。現在(2022年3月初旬)は、そこでいただいた指摘事項への対応を終え、認証書が届くのを待っているところです。

数年前からセキュリティ教育クラウド『セキュリオ』を契約

「日本語が出来ない社員のために英語のテキストを用意してもらうなど、細々とした相談にも迅速に対応していただきました」(コーポレートエンジニア・竹林久美氏)

「日本語が出来ない社員のために英語のテキストを用意してもらうなど、細々とした相談にも迅速に対応していただきました」
(コーポレートエンジニア・
竹林久美氏)

— LRMとのお取り引きは今回が初めてですか。

数年前からLRMが開発・提供するセキュリティ教育クラウド『セキュリオ』を契約し、
利用していました。

— 『セキュリオ』はどのような目的でご契約されたのですか。

弊社が『セキュリオ』を契約した目的は、社員の情報セキュリティ意識を高めることでした。

弊社は創業以来、コミュニティプラットフォーム事業を展開してきました。その中で、
大量の個人情報を保持しているため、情報セキュリティには常に気をつけていました。
いずれプライバシーマーク(以下、Pマーク)やISMSの取得も考えていましたが、当時は敷居の高さを感じていたため、できるところからスモールスタートしようということで取り組みました。

— 『セキュリオ』のご契約にあたっては、他サービスとの比較もされたのですか。

情報セキュリティに関するeラーニングサービスを探して、いくつかピックアップして比較した結果、『セキュリオ』が最も良さそうだったので契約しました。

— どのようなところが採用の決め手となりましたか。

簡単に使えるところです。eラーニングの教材コンテンツが予め用意されていますし、オリジナルコンテンツをアップロードして配信することも可能です。また、ウェブ画面で簡単な操作をするだけで、全社員に教材コンテンツを一斉配信し、テストの集計までできます。とても使いやすいツールだと思いました。

— 『セキュリオ』はどのような使い方をされていたのですか。

情報セキュリティの基礎研修を、年に1回配信していました。また東京にもオフィスを開設して、社員数が急激に増えていた時期でしたので、新しく入ってきた社員には入社時に必ずeラーニングを実施していました。

事業拡大に伴う体制整備の一環としてISMS/ISO27001認証を取得

— このタイミングでISMS認証取得に取り組まれたきっかけをお話しください。

事業拡大です。『YAMAP』のユーザー数が増加したことに加えて、社外との連携も活発になってきたことから、そろそろ何かしらの外部認証を取得して体制を整える必要があると考え、ISMS認証を取得しました。

— やはり、個人の情報セキュリティ意識だけでは不十分でしょうか。

対外的な信用という意味では、会社としての取り組みが問われます。「個人のセキュリティ意識に任せています」と言うだけでは説明がつきません。第三者機関が定める規格に沿って、体系化されたマネジメントシステムを構築し、運用し続けることが重要であると考えています。

— Pマークは検討されませんでしたか。

Pマークも検討していましたが、PマークはISMSよりルールが厳密に決められていて、取得が大変だろうという印象を持っていました。まずはISMS、その次にPマークという順番で取り組もうと考えました。ただ、今回の取り組みで、
現状でできる限りのルールは整備しましたので、今のところPマーク取得の必要性は感じていません。

— ISMS認証を取得するにあたって、ご心配はございませんでしたか。

これまで社内で情報セキュリティに関するルール化に着手していなかったため、Pマークほどではなくても、現場の業務に影響が出るようなルールを、色々と決めなければいけないだろうなとは思っていました。

いつも利用しているツールをそのまま使えることがLRMに依頼した決め手

「『Slack』『Backlog』『Googleドライブ』など、我々の業務環境に合わせていただけたこともLRMに依頼した理由の1つです」(取締役CTO・樋口浩平氏)

「『Slack』『Backlog』『Googleドライブ』など、
我々の業務環境に合わせていただけたこともLRMに依頼した理由の1つです」
(取締役CTO・樋口浩平氏)

— ISMS認証取得に向けて、コンサルティング会社は何社か比較されたのですか。

はい。ISMS認証取得の意思決定をして、最初に着手したのがコンサルティング会社の選定です。LRMを第1候補に挙げつつ、2社ほどピックアップして検討しました。ただ実際にあって話をしたのはLRMの他に1社だけです。

— 最終的にLRMに依頼された決め手をお話しください。

LRMに依頼した決め手は2点ありました。

(1)クラウド環境で業務を行っている企業へのサポート実績
弊社は業務の中でクラウドツールを多用しています。LRMは、そのような環境で業務を行っている企業に対するサポート事例を豊富に持っていました。LRMの導入事例には、弊社が業務の中で使っているツールの開発元も掲載されています。そういった実績から、安心してお任せできると思いました。

(2)作業環境を合わせてくれる柔軟性
ISMS認証取得に向け、一緒に作業をする上で、弊社の環境に合わせていただけるということも良かったです。
弊社は普段、業務の中で『Slack』や『Backlog』、『Googleドライブ』などのクラウドツールを多用しています。
コンサルタントとの連絡やファイル共有、タスク管理などを、我々が普段使っている環境上でできるということも、LRMに依頼した重要な決め手となりました。

— 今回の取り組みでは『Backlog』『Slack』『Googleドライブ』はどのような使い方をされたのですか。

『Backlog』はタスク管理に使いました。『Slack』はチャットです。『Googleドライブ』はドキュメント管理で利用しました。マニュアルや台帳などのドキュメント類も『Googleスプレッドシート』で作成しました。

現場の負担が少ない情報セキュリティ体制を構築

— ISMSを構築する中で決めたルールの中に、現場の業務に影響するようなものはございましたか。

マニュアルに記載したもので、これまでやっていなかったことといえば、委託先管理ぐらいです。業務委託をしている企業や個人に対して、セキュリティ体制を確認するということは、従来やっていませんでした。現在は、各担当者が委託先に対し、定期的にアンケートを送付して回収することになっています。

他には、PCのスクリーンセーバーを設定している人としていない人がいましたので、全員に徹底するよう周知しました。セキュリティソフトや、パスワードポリシー、入退室管理など、基本的なことは、従来やっていることを、マニュアルにそのまま記載しました。

思っていたより現場に負担がかかるようなルールはありませんでした。

— ハード面でお金をかけて整備したようなことはございませんでしたか。

オフィスのパソコンにワイヤーをつけたぐらいです。オフィスの環境整備という点では、不要になったPCや書類を廃棄して、社内を整理しました。

— 今おっしゃったようなルール構築や環境整備を進めていく中で、ご苦労はございましたか。

ルール構築や環境整備を進めること自体、負担になったことはございません。決まったルールの周知や浸透は少し苦労しましたが、時間をかけて説明し、少しずつ理解していただきました。

— 取り組みの成果をお話しください。

今回の取り組みは、第三者機関による認証取得と、それに伴うルール構築を行うことで、対外的に説明ができる体制づくりをするということが目的でした。その目的が達成できたことが最大の成果です。情報セキュリティに関しては、
やるべきことが明確になりましたので、これからは形骸化しないよう粛々と取り組んでいきたいと思っています。

また、副次的な成果としては、累積していた不要なものを廃棄してオフィス内を整理できたこと、全社的にセキュリティ意識が揃ったことなどがありました。

— 従業員の方の意識の変化を感じることはございますか。

情報セキュリティに対する質問が増えました。例えば、社内文書を社外の人と共有する必要があったときに、そういった場合のルールはどこかにあるかといった質問をいただきます。情報の取り扱いは何らかの社内ルールがあるはず、
という認識を持ち、何かするときは必ず立ち止まって確認する行動が定着しました。

用意されたひな形をベースに無理なく運用できるマネジメントシステムを構築

— ISMSを構築していく上で、LRMはどのようなサポートをしてくれましたか。

ISMS認証を取得するまでの作業に関して、我々が不安に感じていたのは、ドキュメント作成です。大量のドキュメントを作る必要があるだろうと思っていましたが、自分たちでイチから作るのは難しいと思っていました。

しかし、今回はLRMが各種ドキュメントのベースとなるひな形を作ってくださいましたので、心配していたほど大変ではありませんでした。具体的には、打ち合わせの中で、ひな形の項目を1つずつディスカッションしながら、自社にとって無理なく運用できるよう、調整していくという作業を行いました。

— 作業自体は打ち合わせの中だけで完結したのですか。

いいえ。宿題のような形で持ち帰って作業した部分もございます。打ち合わせの中で決められることは決めて、現場の声を聞かなければいけないところは持ち帰って議論しながら決めました。

— ドキュメント類の作成だけで、どれぐらいの期間がかかりましたか。

トータルで2ヶ月ぐらいです。一通り読み合わせが終わった後は、『Slack』や『Backlog』を使って、LRMに相談したり、チェックしてもらったりして、細部を決めていきました。

— 『セキュリオ』の使い方で変わったところはございましたか。

eラーニングと法令管理機能以外に、社内アンケートの機能を使いはじめました。LRMの松岡さんに、構築したセキュリティルールの理解度を図る方法を相談したところ、『セキュリオ』のアンケート機能をご案内いただきました。

— 内部監査のサポートはございましたか。

内部監査員代行をお願いしました。我々も初めての体験で、そもそも何をすれば良いのかわかりませんでした。依頼して良かったと思っています。

— 次からは自社内でやっていけそうですか。

おそらく同じようにはできないと思います。どんなことを聞かれるのか、同席して観察していましたが、難しいです。専門家に代行してもらうことで、的確にチェックができるというメリットはあると思います。

— 審査結果はいかがでしたでしょうかね。

手に負えないような指摘事項はございませんでした。いただいた指摘事項は、次年度に残さず、全て改善し終わっています。

— 審査を受けるにあたってのサポートは何かございましたか。

想定問題集をいただきました。ISMSの審査について、審査員の方が来られてどのようなことが行われるのか、全く把握できていませんでしたので、最初は非常に不安でした。LRMから、想定問題集をいただいて、それに則ったアドバイスもいただきましたので、当日はしっかり受け答えができました。

「リモートワークの継続的な仕組みを構築することが今後の課題です」(右から、樋口氏、竹林氏)※下段は弊社・松岡

「リモートワークの継続的な仕組みを構築することが今後の課題です」
(右から、樋口氏、竹林氏)※下段は弊社・松岡

コンサルタントの柔軟・迅速な対応でスムーズに進行

— LRMのコンサルティングは期待通りでしたか。

はい。他社との比較はできませんが、相対的にスムーズに進められたと感じています。

— 担当者の松岡さんはいかがでしたか。

非常に柔軟に対応していただきました。『Slack』でも気軽に質問や相談をさせていただけましたので助かりました。

例えば『セキュリオ』のeラーニングを実施する際、日本語を読めない社員のために、英語のテキストを準備していただきました。そういった相談に対して、細やかに、迅速にご対応いただけて、非常に助かりました。

リモートワークの継続的な仕組み構築が課題

— 情報セキュリティの取り組みについて、今後の展望や課題感などはございますか。

最も不安に感じているのが、最近増えているサイバー攻撃です。脆弱性診断を受けるなどの対策を講じたいと考えています。

また、LRMに相談したいと考えていたことは、リモートワークの継続的な仕組みをいかに構築するかという問題です。コロナ禍に入ってリモートワークが定着したこともあり、弊社は現在、居住地フリー制度の導入を検討しております。ただ、実際に導入するとなれば、情報セキュリティ上、どのような対策を講じるべきかという問題が出てきます。
以前からリモートワークのガイドラインは設けていましたが、それをさらにブラッシュアップする必要があります。
現在、LRMからISMSを運用改善サポートのご提案をいただいていますので、どのような形でサポートしていただくか社内で検討しています。

株式会社ヤマップ様、お忙しい中ありがとうございました。

株式会社ヤマップ様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社ヤマップ様のWEBサイト
※ 取材日時 2022年3月

  • 50~199名
  • 福岡

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

LRM株式会社は年間500件以上のISMSの認証/取得コンサルをしています。
ISMSの認証 ・取得でお悩みならまずはご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら