株式会社U-MX 様 – 顧客事例 –

※本事例での情報セキュリティ俱楽部プランは旧プランでのご提供となっており、現在のプラン内容とは一部異なる場合がございます。現在のプラン内容については、料金・プランページをご確認ください。

— U-MX様に取材させていただくのは今回が2回目です。前回の取材は2017年で、内容はプライバシーマーク（以下、Pマーク）の新規取得コンサルティング事例でした。あれから事業内容などに変化はございましたか。

大きく変わったところはありません。社内の変化というとコールセンター事業で官公庁の案件を受けるようになり、会社全体の規模も1.5倍ぐらいに拡大したこと、それに伴い2019年にISMS認証を新規取得したぐらいです。

— この間もLRMのサポートは受けてこられたのですか。

はい。2017年1月にPマークを取得した後も継続的にサポートをしていただいています。これまでのサポート内容は以下の通りです。

期間	支援内容
2017年1月～2020年11月	Pマークの運用・改善サポート 『情報セキュリティ倶楽部』
2019年11月～2020年1月	ISMS/ISO27001認証新規取得ならびに Pマークとの文書統合コンサルティング
2020年12月中旬～（現在も進行中）	Uグループの規約類と ISMS&Pマークとの文書統合
2020年12月～	ISMS・Pマーク事務局代行(BPOプラン)

ISMS認証は、コールセンター事業で官公庁にアプローチするために必須項目であったため、継続してサポートしていただいていたLRM社にサポートを依頼して取得しました。
その際に、LRM社の幸松社長からPマークとISMSの文書統合のご提案をいただいたため、同時に統合も進めました。2021年2月に受けたPマークの更新審査も統合した文書で受審しました。

— Uグループ様の規約類は以前からあったものですか。

以前からありました。正式にホールディングスとして、活動した1年後に、社内ルールを統合する動きが本格化してきました。弊社は設立当初からUグループの1社ではありましたが、これまでは比較的独立性を持たせて自由にやらせてもらっていました。ただ、設立10年目を節目に連携を深めていこうということになり、ホールディングスの内部監査も受け入れるようになりました。同時にホールディングスが持っている全ての規定類のU-MXバージョンが用意されることになりました。

規定は全部で20種類ぐらいあります。ものすごいボリュームになりますが、全部松岡さんに読んでいただいて、ISMSやPマークの文書類に入れるべき項目を入れて、統合版が完成しました。

— 『情報セキュリティ倶楽部』はどのようなサポート内容でしたか。

弊社が契約していたのは、年1回の訪問サポートがついたプランです。訪問サポートでは主に内部監査をサポートしていただいていました。その他、運用上困ったことが発生した際に電話ないしメールで相談していました。

— Pマーク取得以降の4年間で、個人情報の取り扱いや情報セキュリティに対する意識など、社内の状況に変化はございましたか。

Pマークを取る前と比べれば、大分変化は見られます。まず、メモの放置やごみ箱に直接廃棄するといった行動はなくなりました。営業の稼働が終わって不用になったメモは、その日のうちにシュレッダーをかける行為は徹底出来るようになっています。ただ、先日、LRM社が社内アンケートを実施した際の集計結果を見せていただいたのですが、思ったよりも結果は良くありませんでしたので、また見直していかなければいけないと考えています。

— 過去、4年間、LRM以外のコンサルティング会社に乗り換えようと思ったことは一度もありませんか。

ありません。正直、コンサルティング会社からの営業はよく来ています。弊社がPマークやISMS認証を取得したことは隠していませんし、認証機関のWebサイトでも公式に公開されています。それを見れば次の更新時期がわかりますので、審査準備が始まるタイミングに合わせてよく電話がかかって来ます。
ただ、我々としましては、LRM社からの変更は全く考えていませんので、詳しく話を聞く前に丁重にお断りしています。

— 御社内のISMS・Pマーク事務局は牛之濱さんと髙橋さんの他にもいらっしゃるのですか。

社内の事務局メンバーは牛之濱と髙橋の2名です。他に委員会なども設けていません。牛之濱が規定類や全体の管理を担当し、髙橋がシステムやネットワークを担当しています。2020年12月からは、そこにLRM社の松岡さんたちに参画していただいて、役割分担をしながら運用をしている状況です。
LRM社は松岡さんを主担当として4名のチームで担当して下さっています。我々としては外部のブレーンというより、U-MXの一員、情報セキュリティに特化した部隊として認識しています。

— ISMS・Pマーク事務局代行(BPOプラン。以下、事務局代行)とはどのようなサービスですか。

事務局代行は、文字通り、私達事務局の業務を、情報セキュリティのプロであるLRM社のコンサルタントに代行していただくサービスです。

— 事務局業務を全てお任せするということですか。

いいえ。クリアデスクの細かいチェックなど、社内に常駐していなければ対応出来ないことはあります。また、実際に審査を受けるのはあくまで私達自身ですので、我々も完全に事務局から離れるわけにはいきません。
やはり、実態はきちんと把握しつつ取り組んでいく必要はあります。
クリアデスクを実施した結果だけもらっても、実感として身に付きません。従って全てを丸投げするのではなく、うまく役割分担をしつつ連絡を取り合って対応していけるように、LRM社とは話し合っています。

— LRM側が担う業務はどのようなことですか。

まず従来通り、ISMS、Pマーク、それぞれの審査に向けた内部監査を実施していただきます。
また、新規事業の立ち上げなど社内の状況が変わった際には、必要に応じて情報資産台帳やリスク管理台帳、マニュアルなどの改訂が必要となります。『情報セキュリティ倶楽部』の中では相談に乗って頂くところまででしたが、今後は定例会議で共有して、LRM社側で改訂していただきたいと考えています。

さらに新たなサポート領域として、各部署の業務ヒアリングやeラーニング、社内アンケート、標的型攻撃メール訓練などの実施、委託先管理なども加わりました。情報セキュリティ教育クラウド『セキュリオ』を活用し、定期的に配信していただいて、結果を分析しレポーティングしていただきます。委託先管理では、委託先管理台帳への反映や、外注先へのアンケート配信なども行っていただくことになっています。

— 逆に、社内のお二人にしか出来ないことにはどのようなことがありますか。

ルールを遵守出来ていない人がいれば、徹底するように普段から働きかけなければいけませんし、PCの挙動がおかしい、メールを誤送信してしまった、ウィルスメールにひっかかったなど、インシデントの発生時には、緊急対応をする必要もあります。また、人員の異動が発生する場合は、端末にデータを残さないようにする必要がありますので、アナウンスしたり確認したりする作業が発生します。こういったことは社内の人間でなければ対応が出来ません。

— そういった役割分担を明確にされた上でスタートされているのですか。

スタート時点では明確に線引きしていたわけではありません。ある程度大項目はありつつ、臨機応変にフットワークも軽く対応いただく体制をとっています。逆に、明確に線引きをしてしまうと、柔軟な対応が難しくなります。LRM社とは長いお付き合いをさせていただいているので、あうんの呼吸でうまくやれているのが、有り難いなと思っています。

— 事務局代行をご依頼された理由をお話しください。

弊社がLRM社に事務局代行の相談をさせていただいたのは、私達二人に、ISMSやPマークの運用に割く時間がなくなっていたことがきっかけでした。牛之濱はどちらかというと会計まわりがメイン業務です。髙橋はネットワークやシステムを担当していますが、通常のシステムメンテナンスに加えて、ホールディングスから依頼を受けているパソコンのキッティングなどの作業負荷がかかっていました。そのような状態でISMSやPマークをきちんと運用していくには荷が重い状況でした。

一方、会社も情報セキュリティの取り組みは重視していて、きちんと運用していきたい、より良くしていきたいという思惑がありました。そのためには単に審査を通すだけのドキュメントを作って管理するだけでは非常に勿体ないという想いがありました。

ただ、非生産部門である管理部門にあまりコストをかけたくないという意向があるため、部内で人数を増やすのではなく、外部にアウトソーシングする形で解決を図りました。ISMSとPマークを維持していくために正社員2名の手が取られるよりも、その分のコストで外部に依頼をして完璧を目指した方が時間的にもコスト的にもメリットがあるという認識で依頼しました。結果としてプロフェッショナルのLRM社に4人のチームでどっぷり入り込んでいただいても、専任者を1人雇うよりも安い金額で済んでいます。

— ISMSやPマークの運用はそれほど手間暇がかかるものですか。

社内への浸透も含めてきちんと運用していこうとすればかかります。管理本部としての本来の業務も含めてある程度のクオリティを保とうとすれば、それなりの人数が必要になってきます。

これまではおそらく、我々がやりたいことの3割ぐらいしか出来ていなかったと思います。“働き方改革”が進んで時間外労働も出来なくなってきましたし、コロナ禍以降テレワークが増え、事務局のメンバーが現場を見る機会も減っています。冒頭でも触れた通り、事務局代行を契約した後に実施した社内アンケートの集計結果は予想外でした。我々自身、運用をしながら周知しきれていない感覚は持っていましたが、社内の情報セキュリティに対するリテラシーは、まだまだ向上させる余地があると痛感しました。

— 御社側からご相談された時、すでにこの事務局代行というサポートメニューは存在していたのですか。

弊社側から相談したタイミングでは、ちょうどLRM側もそういったプランを作っている最中でした。「今、こういう状況ですので、細かい足回りのところまで代行していただけませんか」と相談したところ、「そういうプランを作っているところですので、形が出来たらご提案いたします」という回答をいただきました。それが2020年の10月頃です。その後、ほどなくして見積をいただき、社内の稟議を通して正式に依頼しました。

— すでに事務局代行サービスを提供されているコンサルティング会社もあるようですが、事務局代行サービスについても他コンサルティング会社の検討はされませんでしたか。

先ほどもお話ししました通り、他のコンサル会社から営業の電話がかかってくることも多々ありますし、そのコンサル会社が事務局代行サービスをしていることもあるかと思います。ただ、弊社としましては、一切比較はしていません。社内の状況を共有し直すことになれば、セキュリティリスクにもなりますし、そもそもその手間暇が勿体ないです。見積額が良心的でしたし、これまで一緒に取り組んで来た蓄積がありますので、他社を調べるまでもなくLRM社に相談して依頼しました。

— 事務局代行の契約をされて5ヶ月が経ちました。この間、LRM側で行った作業にはどのようなものがありますか。

情報セキュリティ教育クラウド『セキュリオ』を活用して、eラーニングの教材コンテンツと社内アンケート、標的型攻撃メール訓練を配信してもらいました。これらは、基本的に毎月実施しています。
また、各部署からのヒアリングや内部監査も行っていただきました。

— eラーニングと社内アンケートは配信頻度を決めているのですか。

配信頻度に関してはホールディングスで実施されるeラーニングとの調整が必要でした。現在、ホールディングスの情シスにあたる部署がグループ全体の従業員に向けて、eラーニングの教材や訓練メールを配信し始めています。特にeラーニングは、真面目に取り組むと1時間ぐらいかかる内容になっています。それに加えて事務局からのeラーニングやアンケートが頻繁に配信されるとなりますと、現場に大きな負担がかかります。ちょうど繁忙期ということもあり、抵抗も生まれやすい時期ですので配信頻度には注意が必要でした。しかし、LRM社さんが柔軟に対応してくださり、ホールディングスからのeラーニング配信と配信時期をずらすなど調整していただいたおかげで、従業者に負担の少ないeラーニング実施が出来たと感じています。

— Uグループ様としてのeラーニングや訓練メールは以前から実施されていたのですか。

この3月に初めて配信されました。以前から要望は下りてきていましたが、これまでは弊社のアカウント情報がホールディングスと連動していませんでした。段階的に統合を進めて来て、今、ようやく紐付いてきたところです。ホールディングスのeラーニングは3ヶ月に1回の頻度で配信される予定です。

— 各部署ヒアリングでLRMが実施したことはどのようなことですか。

LRM社作成のフォーマットをもとに1時間ずつ各部署の業務内容についてヒアリングしていただき、情報資産の洗い出しやリスクの特定、委託先の特定などをしていただきました。客観的な目線からヒアリングしていただいたので、洗い出した情報資産から普段自分たちでは気づけないリスクの特定までしていただけたと思っています。また、ヒアリングした結果に伴い台帳類の作成も共同で行ったため、効率的に文書作業を進めることができました。

— 打ち合わせはどのぐらいの頻度でされているのですか。

打ち合わせの頻度は決めていませんが、都度何かあれば、コミュニケーションツールの『Slack』を活用して行っています。LRM社のチームと、弊社側の事務局、および主要メンバーが参加するチャンネル内で連絡を取り合っています。

一方で、四半期に一度は定例報告会を開催しております。先日実施した定例報告会では、eラーニングや社内アンケートの結果を資料にまとめて報告していただきました。従業員の意識レベルが可視化された資料になっていましたので、今後の施策に活かしていきたいと考えています。従来の我々だけの体制では、こういった具体的な施策に繋がるようなデータを取ることは困難でした。

— 事務局代行の契約をスタートさせて、振り返ってみていかがでしょうか。

現状でも我々は十分に満足はしています。これからも状況に応じて柔軟に対応していただきたいと思っています。

— 満足しているということは、事務局のお二人は、会社から求められている業務に集中できる状態にはなられたということでしょうか。

以前より、負担が軽くなったことは事実です。少なくとも2割以上は削減出来たように感じています。もちろんゼロにはできませんが、業務の負担が軽くなって、これまで専念したくても出来なかった浸透の取り組みが出来るようになっただけでも良かったと思います。しかも、今後は審査に向けて文書類をチェックする工程が発生します。事務局としては最も負担が重いタスクです。そこにかかりっきりになって他の業務が出来なくなるということはなくなるはずです。

また、専門家の視点が入ったことで、我々だけでやっていた時には気がつかなかった不備までメンテナンスが出来るようになりましたし、知識が不足することで発生していた手戻りもなくなり効率化が進みました。

（1）ドキュメントの整備

不足しているドキュメントがあれば、先回りして指摘していただけます。例えば、弊社は社内システムを外注していますので、ネットワーク図も委託先が作成しています。移転などで更新されたら取り寄せて保管しなければいけませんが、そこまで気が回らないこともあります。そういった細かいところにも気付いてご指摘いただけます。

（2）最新情報に基づいた啓蒙

啓蒙に関しても、専門家ではない我々が知っている範囲だけでは、スピードの速い現代社会では追いついて行けません。情報セキュリティの専門家が事務局の中にいることで、我々が知らない最新情報を提供していただけます。それによって最新動向を把握することが出来ますし、新しい学習機会も得られます。

（3）専門用語がわからないことによる手戻りの防止

事務局代行を契約する前は、専門用語がわからないことで何度もやり直さなければいけない事案が頻発していました。例えば審査準備を進める中である資料を用意しなければならない時に、要求されているものが何を指し示しているのかが理解出来ないことがあります。自分なりに調べて用意はしてみても、実は違うものだった、あるいは情報が不足していたということがよく起きていました。LRM社のコンサルタントの指示を起点に動けるようになったことで、そういった手戻りは一切なくなりました。

このように道筋を示していただくことで理解が深まりますし、理解が深まれば社内への啓蒙もしやすくなるという良いサイクルが生まれています。

— 先ほど、社内アンケートの話がありましたが、同時に、eラーニングや標的型攻撃メール訓練も実施されています。そういった施策による変化はありませんか。

怪しいメールにはひっかからなくなりました。先日、ホールディングスからも同じような訓練メールが送られてきたのですが、誰も引っかからなかったため、事務局側から予め社内にリークしていたのではないかと、疑われたほどです。そういう意味では、啓蒙が進んできて、正しい運用に近づいている側面もあります。

実は標的型攻撃メールに関しては、『Slack』の中にU-MXの社員全員が登録しているチャンネルがありまして、おかしなメールに気付いた人が即刻書き込んで注意を喚起し、それがどんどん広がって行くという現象が起きています。そういう行動が定着してくるとなかなか引っかからなくなってきます。

また、万が一、引っかかったとしても、その後の対処も早いです。実際、直近のホールディングスからの訓練メールでは、ある部署の新入社員がクリックしたことが、その社員の上長から報告がありました。
しかもLANを抜いた状態で報告に来ていますので、インシデント後の対応としては満点です。

— 今後の課題をお話しください。

PマークにしてもISMSにしても認証を持っているだけでは意味がありません。その認証を取る前提に構築したルールがありますので、そのルールを従業員全員が守れている環境作りが必要です。
特に、弊社は人数が増えているところですので、在籍期間が長いメンバーにとっては当たり前になっていることも、最近入ったばかりの新入社員に浸透させるには、定期的な啓蒙活動や教育が必要になります。これは一過性のものではなく、継続して取り組むべき課題です。このような課題に対する取り組みを一緒に推進していただける点が有り難いです。

— 事務局代行の契約は、ある程度パーマネントなお付き合いとして考えておられるのですか。それともある一定のゴールが達成出来るまでのご契約と考えておられるのですか。

前者です。弊社が事業を継続する限り、ISMSやPマークの認証が不要になることはまずないと考えています。また、松岡さんが、定年や異動などで弊社の担当から外れるというお話しがない限り、もしくは事務局を務める2人がいる間は、一生お付き合いはあると思います。(笑)

— LRMのサポート品質に関してはどのようにご評価されていますか。

かゆいところに手が届くサポートは、Pマークを新規取得した当時から変わっていません。例えば新しい事業を始めれば、それに伴って新しいリスクも発生します。すると情報資産台帳や個人情報管理台帳、リスク管理台帳、マニュアルなど関連するあらゆる文書に反映させなければいけません。そこで相談した時に、こうしてくださいとアドバイスだけされても、どうして良いかわからないことや、漏れてしまうケースも少なくありません。しかし定例会議などでLRM社に共有すれば、たちどころに全文書に漏れなく反映してくださいます。私達はそれを確認するだけで済むので有り難いです。

松岡さんだけではなく、チーム内の連携もうまく取れていらっしゃって、困ったことやわからないことがあった時に『Slack』や電話で問い合わせれば、気付いた方が即座に適宜Zoomも活用しながら、対応してくださいます。そういった対応が一体感を持った取り組みに繋がっているのだと感じます。

株式会社U-MXの皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

株式会社U-MXのWebサイト
※取材日時 2021年4月