MI-6株式会社は、ISMS認証を運用されており、今回LRMに審査対応支援を依頼されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、岩本様、磯崎様のおふたりにお話をお伺いしました。

お客様が抱える課題とISMS構築アプローチ

• ドキュメントや運用フローが複雑化している
• ISMSを別業務と並行して運用する必要がある

• 適切な権限の見直しにより運用をよりスムーズに
• 記録類をスプレッドシートでの管理から「セキュリオ」に変更
• LRM にハンドリングしてもらうことで、別業務と並行しながら ISMS 運用を実現

LRMコンサルティングサービスへの感想

• ドキュメント作成まで踏み込んで支援してくれる
• セキュリオにより、運用の効率化、実効性向上が図れる
• ISMSだけではなく、クラウドセキュリティなど幅広い知見がある

（MI-6株式会社について）

MI-6株式会社は、「MI」によって材料開発の革新を支援する企業。MI（マテリアルズ・インフォマティクス）とは、機械学習などの情報処理技術を用いて、材料開発を効率化する取り組みを指す。
経験豊富なMIデータサイエンティストが、MIを活用した材料開発を直接支援するコンサルティングサービス「Hands-on MI」や、数多くの顧客支援で培ったノウハウから生まれた材料開発におけるMIによる実験条件の最適化をおこなえるSaaS「miHub」、そしてMIと自動化技術を組み合わせた自動自律型の実験ソリューションを提供するRaaS「MI Robotics」を提供している。日本にMIの概念が導入されて間もない2017年より事業を開始しており、国内の素材メーカーを中心に100社を超える支援実績を有し、電子材料、電池、ガラスなどさまざまな領域において活用されている。「材料開発とデータサイエンスのHubとなり研究者のポテンシャルを解き放つ」をミッションに掲げ、日本における材料開発の最適化を目指す。
設立：2017年11月。本社：東京都中央区。従業員数：45名。（2023年12月時点）。

— LRMへのご依頼内容をお話しください。

MI-6株式会社は、2023年3月にISMS/ISO27001（以下、ISMS）認証の審査対応支援コンサルティングを依頼しました。
担当コンサルタントは、増元さんです。2023年9月に維持審査を終え、無事にISMS認証を継続できました。

— まずは御社の事業についてお聞かせください。

当社は、マテリアルズ・インフォマティクスを活用し材料開発を支援する企業です。

具体的には、MIによって素材の研究開発の最適化を支援しています。素材と聞くと馴染みは薄いかもしれませんが、素材はイノベーションの源泉であると捉えています。普段利用するスマートフォンも新しい素材を組み合わせて作られたものであり、素材によるイノベーションの結晶です。日本は、世界トップシェアの素材を非常にたくさん持っている競争力のある国です。
また、日本国内において最も大きい市場規模がある製造業のうち、最大の市場規模を持つのが素材産業であり、素材は日本の産業を支えているといえます。
しかし、これまでの素材の研究開発は成果が出るまで平均約20年かかるといわれており、非常に時間と労力がかかるものでした。そこで私たちは、テクノロジーを使って最適化することでより早く研究開発がおこなえるように支援し、素材産業、日本の製造業のプレゼンス向上に寄与したいと考えています。

私たちのミッションは、「材料開発とデータサイエンスのHubとなり研究者のポテンシャルを解き放つ」です。
より多くの研究者の方がMIに触れて、適切に活用できる状況を生むことで、彼らが仕事としてフォーカスすべきところにフォーカスできるようにしていきたいと考えています。

— 御社がISMS認証を取得された経緯をお話しください。

SaaSである「miHub」を提供開始してから特に、上場されている大手企業様とのお取り引きが増えてきていました。
製造業界においてはセキュリティが厳しく求められる点に加えて、研究成果など貴重なデータを扱うため、お客様に我々がセキュリティを担保していることを説明する必要がありました。そこで、個人情報やクレデンシャルな情報を規格に則って適切に扱っていることを証明できるように、ISMS認証を取得しました。

— ISMSの運用体制についてお話しください。

主に次の3名で運用をおこなっています。

• 岩本様： システムの安定的な運用を目指すSRE（Site Reliability Engineering）を担当。また、社内の情シス業務も担当。前職でも一部ISMS認証取得に携わった経験がある。
• 磯崎様： 人事を担当。また、さまざまなコーポレート業務も担当しており、情シス業務も担当。
• 「miHub」プロダクト担当者

— LRMにサポートをご依頼いただく前に抱えていたセキュリティ課題はありましたか。

岩本や磯崎が入社した際には、当社はすでにISMS認証を取得しており、認証取得の際からLRMさんとは別のコンサル会社にご支援いただいていました。前任のISMS運用担当者から、岩本や磯崎が運用を引き継ぎましたが、それぞれ他の業務も担っているなかで運用していく必要がありました。そうした状況で運用していくには、当時のドキュメントや運用フローは負荷が大きく複雑になってしまっている部分もありました。ISMSは、ベンチャー企業と大手企業では適した運用体制やルールも異なってくると思います。もともとご支援いただいていたコンサル会社が良い悪いではなく、当社には合っていなかったんです。

運用を自社により最適化したいと考え、今回私たちに適したコンサル会社さんを探すことにしました。
運用を最適化してシンプルにすることで、実態に即してきちんと運用できるようになり、結果としてセキュリティの実効性向上にもつながると考えました。

— コンサル会社はどのようにお探しになったのでしょうか。

ベンチャー企業の支援実績が多いコンサル会社を数社ピックアップして、お話をお伺いしました。

LRMさんに決めた理由としては、ドキュメント作成まで踏み込んでご対応いただける点が決め手でした。
岩本の前職での経験も踏まえて、私たちだけでドキュメントをゼロから作成したり、修正していくのは大変であろうと感じていました。定例のコンサルティングの中で、一緒に修正していき、会話をするだけで必要な書類や体制が整っていく期待感を持てたのが大きかったです。

— お取り組みを振り返ってみていかがでしたか。

LRMさんと取り組み方針を検討しまして、まずは2023年9月の維持審査について現在のドキュメントをもとに審査を受けて、その後2024年9月の再認証審査に向けてドキュメントを刷新してさらなる最適化を図ることにしました。

ただ、2023年9月の維持審査までにも定例ミーティングにて、ドキュメントをアップデートしましたので、完全ではないもののかなりシェイプできて運用が楽になりました。また、Todoの明確化などハンドリングもしていただけたので、他業務をおこないながらでもきちんとISMSを運用することができて大変助かりました。
さらに、LRMさんが提供するセキュリティ教育クラウド「セキュリオ」も導入し、スプレッドシートでの管理がいくつか減ったのも良い効果を生んでいます。

現在は2024年9月の再認証審査に向けて、LRMさんとさらにドキュメントの最適化に取り組んでいます。
2023年9月のISMS認証審査対応支援については、ドキュメント最適化の前段階の位置づけではありましたが、その段階のサポートについても非常に満足しています。

— お取り組みは具体的にどのように進んでいったのでしょうか。

当社はフルリモートの会社ですので、ほとんど自宅からオンラインで打ち合わせに参加していました。
打ち合わせは1～2時間程度を隔週で実施しました。具体的には、当社のISMS文書の読み合わせをおこないながらLRMさんに改善点を挙げていただいたり、前年度の改善の機会への取り組み方針など審査に向けた対応のアドバイスをしていただきました。
LRM増元さんに取り組みをリードしていただけたことで、必要最小限のメンバーでスムーズな対応ができました。

— 2023年9月の維持審査に向けた取り組みとしては、約半年でしたがスケジュールに無理などはありませんでしたか。

ISMS認証の更新準備期間としては妥当だったと思います。ただ、岩本も磯崎も入社して1年ほどのタイミングで、前任者からISMS運用を引き継いだばかりであった点や、他業務もあったことを考えると、若干スケジュールがタイトになっていたところもあります。
それでも残業を重ねる必要があった訳ではなかったですが、同じような状況のご担当者様はもう少し時間に余裕を持たせてもよいかもしれません。

— 今回は御社にすでにISMS文書があって、それをもとにご支援する形式でしたがLRMコンサルタントの御社文書や体制への理解はいかがでしたでしょうか。

非常に良かったと思います。ISMSにおける難解な部分を解説いただいたり、私たちの文書と規格との紐づきについてもご説明いただきました。

また、磯崎はプロジェクトの途中から参加しており、具体的な対応策を検討する段階からの参加でした。
そのため、個々の対応策については理解ができるものの、その対応が全体のなかでどういった位置づけなのかを理解しにくいところがありました。そういった箇所についても、LRM増元さんに都度質問し丁寧にご説明していただけたので、しっかりと準備をおこなったうえで審査に臨めました。

— 文書のシェイプができたとお伺いしましたが、具体的にどのような対応をされたのでしょうか。

例えば、社長承認であったところを情報セキュリティ委員会承認に変更するなど、適切な権限の見直しをおこなうことで、よりスムーズに対応できるようにしました。また、教育計画書は年間計画に含めるようにするなど、個票を作成するのではなく記録類はまとめて作成するようにもしました。
その一方で、年間計画に実績の項目を追加し、計画策定だけではなくて実施有無も確認できるようにするなど、セキュリティの実効性向上も図りました。

— 今回のお取り組みで新しく対応された点やルールはございますか。

新しくセキュリティ教育クラウド「セキュリオ」を導入しました。
セキュリオでは大きく3つを管理していて、社内教育、供給者管理、法令管理をおこなっています。

社内教育については、セキュリオのeラーニング機能を利用して、半年に1回実施するようにしました。
これまでは、教育におけるテスト回答はスプレッドシート上で丸をつけてもらっていましたが、セキュリオ上でシステマチックに管理できるようになりました。教材の配信から受講記録、テストの回答記録まですべてセキュリオ上で管理しています。
当社では、テストの合格点数を定めて何点以上獲得していれば理解しているという運用にしているので、未受講者や合格者が一覧で可視化できる点がありがたいです。また、Slack連携も可能なので、Slack上で受講を促せるところも使いやすいです。

供給者管理についてもセキュリオ上でおこなっています。これまではスプレッドシートで管理していましたが、セキュリオに移管しました。
当社は社員と同数程度の業務委託の方と契約をしています。業務委託の方にもレイヤーがあり、社員同等のアクセス権限を持つ方もいらっしゃいます。セキュリオのアンケート機能で回答状況のモニタリングを行い、場合によってはセキュリティ向上のためにご依頼をすることもあります。

法令管理もセキュリオならオートマチックに法令内容が更新されていくので、自社に必要な法令の最新動向が把握しやすくなりました。

— 内部監査は今回LRMコンサルタントが実施したかと思いますが、受けてみていかがでしたか。

磯崎はISMSの運用に携わるのは初めてです。今思い返すと笑い話ですが、ISMS認証審査に対して「自分の言動ひとつでISMS認証を継続できないのではないか」という緊張感を持っていました。
審査に向けて、LRM増元さんに内部監査をしていただきましたが、普段ミーティングでお話ししている感じとは違うんですよね。やはり監査員として、一緒に取り組んできたからご存知であろう部分も第三者としてどう運用しているかを確認してくださったので、外部審査のイメージも付きましたし、審査までにクリアすべき論点も洗い出すことができました。

— 実際に外部審査を受けてみていかがでしたか。

審査員の方は非常に優しい方でした。質問に対して、わからないことがあった場合には、理解できるまで説明をして頂けました。また、コーポレートにおける書類管理など、増元さんと事前に確認していたところまで深くは聞かれなかった箇所もありました。審査までにしっかり準備ができていた証拠かなと思います。

— LRMのサポートはいかがでしたか。

大変満足しております。当社はお客様が大手企業様であることも多く、皆様セキュリティには非常に高い関心をお持ちです。
そのため、時にはExcel2枚分のチェックシートが送られてくることもあります。そういった際にISMS認証を取得していることで、回答にかかる工数を削減することができるので、ビジネスを推進していくうえで利点を感じています。

その一方で、ISMS認証を維持していくために「どこまでコストをかけるべきか」は、考えていく必要があると思っています。
今回、LRM増元さんに対応していただいた部分を社内だけでやると考えたときに、対応工数や専門性などを考慮すると非常に難しかったと思います。出来る限り省力化を図り、必要最小限で運用を続けていくために、LRMさんは当社にとってすごく良いパートナーであると感じています。

すでに、2024年度の更新審査対応支援も依頼しておりますし、ISMSクラウドセキュリティ/ISO27017（以下、ISMSクラウドセキュリティ）認証取得のご相談もしております。やはり、私たちだけでは新しい情報のキャッチアップがしづらかったり、他社ではどういう対応をしているかが把握できなかったりします。
どういった形でご支援いただくかは都度ご相談しながら、今後も継続的にサポートいただければと考えています。

— 今後の展望や課題についてお話しください。

当社の事業は、もちろんコンサルティングサービスの「Hands-on MI」やRaaSの「MI Robotics」もありますが、主軸としては「miHub」というプロダクトです。当社のプロダクトをお客様が安全に、安心してご利用いただくことが目標です。
その一環として、今後はISMS認証の運用に加えて、ISMSクラウドセキュリティ認証の取得を考えています。ISMSクラウドセキュリティ認証に適合することで、セキュリティを担保した上でプロダクトの方向性を定めていけると思います。

ISMS認証の運用については、今後も従業員が増加していくことが想定されますが、増加しても現在のセキュリティ水準は保っていきたいです。ただし、そこに必要以上にコストをかけるべきではないと考えています。
マンパワーだけで運用するのではなく、セキュリオやEDRなどのツールを導入することで、運用を省力化しながら安全性も高めていきたいと思います。

MI-6株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ MI-6株式会社様のWEBサイト
※ 取材日時 2023年12月

LRMコンサルティングサービスへの感想

• 新規格対応は1か月ほどで実施できた
• 動画は要求事項ごとに概要、ルールに落とし込む際のアイデアや具体例の説明があり理解しやすい
• 新旧マッピング表や適用宣言書など、必要事項が網羅されたひな形で工数削減

（パスロジ株式会社について）

パスロジ株式会社は、IT社会を守る重要なセキュリティ要素のひとつである「本人認証」システムの開発・提供を行う企業。 パスワードに代わる知識認証の特許技術である「パスロジック方式」を利用したワンタイムパスワード認証システム「PassLogic」を開発・提供しており、ライセンス発行数は、累計111万件を超える。また、暗号化時にパスワード設定が不要なファイル暗号化サービス「クリプタン」のほか、WEBサービスがより簡単・安全に利用可能になる認証サービスのスマートフォンアプリ「4Login」も提供している。 認証セキュリティは安全性を追求すると使いやすさやコストが犠牲になってしまう側面があるが、完全自社開発で「100%に近い本人認証率」「快適なログイン作業」「導入・運用管理コスト」のバランスが取れたシステムの開発を目指している。
設立：2000年2月 本社：東京都千代田区 従業員数：38名（2023年8月現在）

— 鈴木様のお立場を教えてください

市場戦略部ディレクターとしてマーケティング業務に携わりながら、ISMS/ISO27001（以下、ISMS）認証運用の事務局として実務部分も担当しています。

当社がISMS認証を取得した際は、事務局の担当者も1名でしたが、企業規模拡大に伴い、実務担当者を増員することになり、私が事務局に加わりました。現在では情報セキュリティ委員会のメンバーも5名に増えており、ISMSの定着が進んでおります。

— 2025年10月末の対応期日まではまだ時間があると思いますが、なぜ2023年5月末での移行対応開始を検討されましたか。

当社は、パスワードレス多要素認証のプラットフォームである「PassLogic」を始めとした情報セキュリティに関するソフトウェアを開発・提供しています。お客様に、より安心してご利用いただくために情報セキュリティには最優先に取り組む必要があると考えたため、早期に動き出しました。

また、対応を後回しにすると、準備が遅れて期日に間に合わない可能性もありますし、期日が近づくにつれ駆け込みで対応される企業が増えることで、審査機関が混雑し想定時期に審査が受けられないことも考えられます。そうしたリスクを回避するためにも、早めに取り組むことが重要だと感じました。さらに、ちょうど三年に一度の更新審査の時期でもあり、対応負荷軽減のために更新審査とあわせて移行審査を受けようと決めました。

— 新規格対応について自社のみでの対応は検討されましたか。

自社のみで対応するのは、リスクがあると思います。

規格を都合よく解釈してしまう可能性もあるので、やはり専門家の知見を取り入れることは重要です。当社は、情報セキュリティ運用支援サービス「情報セキュリティ俱楽部」を契約しています。ISMS運用をただ回していくだけであれば必要ないかもしれませんが、ISMS運用を継続的に改善していくために、少なくとも年1回はLRMさんと面談をしてノウハウや他社事例を共有していただき、知識をアップデートしています。そうした背景から、新規格対応についてもまずはLRMさんに相談しました。

— 本講座を受講した経緯を教えてください。

最初は、LRMさんに通常コンサルティングを依頼しようと思っていたのですが、想定よりも価格が高いことがわかりました。今までISMS認証を運用してきた中で得た知見もあるので、手厚いコンサルティングは不要なのではと考えました。しかし、専門家の知見を全く取り入れないのはリスクがあります。そのような状況で、LRMさんから紹介していただいたのが、「ISMS新規格対応講座」です。

価格も通常コンサルティングと比べて非常にリーズナブルでしたし、自社の更新審査が迫っている中ですぐに新規格対応が自社で進められる点が決め手となり、受講を申し込みました。

— 実際に受講されてみたご感想はいかがでしたか。

私は、最初にすべての動画を見て、FAQや配布資料にも目を通した上で、全体の対応量を見積もってから各管理策の検討などを始めました。

動画はすごく分かりやすいです。

要求事項ごとに概要、ルールに落とし込む際のアイデアや具体例の説明があり、一定のフォーマットに則って進むので理解しやすかったです。

また、FAQや配布資料も有用でした。適用宣言書のひな形も便利でしたし、今回の新規格対応ではISMS規格の新旧マッピングが重要でしたが、マッピング表も用意されていました。マッピング表には、既存の要求事項についても確認すべき点が記載されており、そこも参考になりました。

こうした資料は、本来であれば自社で作成すべきものです。もちろん対応しようと思えば可能ですが、やはり工数がかかってしまいます。必要事項が網羅的されたひな形が用意されているので助かりました。

— 新規格対応は、どれくらいで対応されましたか。

1か月ほどで対応しました。

当社は、やはり情報セキュリティのソフトウェアを開発・提供する会社なので、そもそも2022年度版の基準を満たせていた箇所も多くありました。これもLRMさんの普段の支援のおかげだと感謝しております。残りの部分については、ルールの文言調整が必要になるような軽微な対応事項と、具体的な対策が必要になる対応事項が、半分ずつありました。後者については、社内の開発部門に対応を依頼する必要があったりもしましたが、それらも含めて1か月ほどで対応できました。

当社は、LRMさんが提唱する「Security Diet_Ⓡ」の考え方に基づいて対応しているので、審査のためだけの仕事は増やさず必要最小限で対応するようにしています。対応範囲さえ決まれば、後の対応はそれほど難しくはありませんでした。ただ、2013年度版を運用されている企業であっても、まったく2022年版の基準を満たせていない場合はもう少し時間がかかるかと思います。

— 受講を進める中で課題となったところはありましたか。

対応すべき項目の範囲について悩むことはありました。例えば、監視において、どの範囲まで監視すべきかなど、不安な部分はLRMさんに質問させていただくこともありました。ただ、作成したドキュメントを精査してもらうことはしていません。最終的には自社で判断すべきことだと思いますし、LRMさんにはあくまで指針をお伺いしました。こうした指針は、今後FAQにも反映されていくと思うので、質問せずともFAQで分かるようになっていくことと期待しています。

— これから新規格対応をされる方へアドバイスをお願いします。

情報資産管理台帳がより重要になってきます。例えば、監視活動や情報の削除において、情報資産管理台帳を見て、監視する情報や削除する情報を決めていくことになると思うので、網羅されているか、適切に管理されているかがより重要になってきます。

また、対応範囲と量を早めに決めるのが良いと思います。2024年に審査を受けるのであれば、2024年になってから対応するのではなく、2023年の内に対応を完了させてから審査を迎えることをおすすめします。

パスロジ株式会社の鈴木様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ パスロジ株式会社様のWEBサイト
※ 取材日時 2023年8月

弥生株式会社は、LRMのサポートを受け、2023年1月にISMS/ISO27001認証を取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、甲賀様と石井様のおふたりにお話をお伺いしました。

お客様が抱える課題とISMS構築

• プライバシーマークに加えて情報資産全般を対象とするセキュリティ対策がしたい
• スモールビジネスを行うお客様や金融機関に対して安心安全をお届けしたい
• すでにあるルールや仕組みをISMSに適合させる必要がある

• ISMSの要求事項を満たせているルールはそのまま利用
• 残すべき記録を残すようにするなど、必要な箇所については既存の仕組みや業務の流れを変更
• 情報資産管理台帳の作成の際は効率性を考慮し、記載対象についてグループ化を行った上である程度まとめた項目を記載

LRMコンサルティングサービスへの感想

• 最後まで伴走してくれる期待を持つことが出来て、費用感も納得できた
• 審査員でもあるコンサルタントから有用な話を聞くことができた
• チーム全体でバックアップしてもらえた

（弥生株式会社について）

弥生株式会社は、スモールビジネスの事業の立ち上げから発展の過程に直面するさまざまな課題の解決を支援する企業。会計や給与計算、販売管理といったバックオフィス業務を支えるソフトウェア「弥生シリーズ」や、起業や事業承継などを支援する「事業支援サービス」を提供している。代表的な「弥生シリーズ」は、クラウドアプリとデスクトップアプリの両方を提供しており、クラウド会計ソフトとして8年連続利用シェアNo.1、デスクトップアプリとしては23年連続売上実績No.1を誇り、現在登録ユーザーは280万を超える。
スモールビジネスの業務効率化を徹底追及するとともに、事業者の起業から事業の発展の過程で生まれるあらゆるニーズに寄り添い、事業を支える「事業コンシェルジュ」を目指す。
創業：1978年。本社：東京都千代田区。従業員数：850名（2022年9月現在）。

— LRMへのご依頼内容をお話しください。

弥生株式会社は、2022年3月にISMS/ISO27001（以下、ISMS）の新規取得コンサルティングを依頼しました。
担当コンサルタントは、三崎さんです。2022年12月に第二段階審査を終え、2023年1月に認証を取得しました。

— まずはISMS取得のお取り組みを主導されたおふたりのお立場や業務についてお聞かせください。

私たちの普段の業務は以下の通りです。

• 甲賀様：管理本部 人事総務部
  シニアマネジャーとして、契約書の確認や株主総会の運営、情報セキュリティ運用などリーガル部分を担当。
• 石井様：開発本部 情報システム部
  エンジニアであり、情報セキュリティチームにも所属。
  ISMSに限らず情報セキュリティ全般の社内制度や仕組みづくり、脆弱性への対応、ウイルス発生時の駆除対応、社内におけるシステムや情報取り扱いに関する質問対応などを担当。

今回のISMS取得の取り組みは、管理本部が中心となりつつも、開発本部・マーケティング本部・顧客サービス本部それぞれから担当者を選出して、内部監査室にも協力してもらいながら進めました。石井にはISMS更新対応の経験が少しありましたが、社内にISMS取得の経験がある者はいなかったので、LRMさんのお力を借りながら全社で力を合わせて取得に向けて動いていきました。

— お取り組みに関わる人数が増えることで共通認識を持って進めることが難しくなる側面もあるかと思いますが、いかがでしたか。

取り組みにくさはあまり感じませんでした。
みんな前向きに取り組んでくれましたし、石井をはじめとした各本部から選出した担当者が、それぞれの部署内における調整をしっかり行ってくれていたので、大きな摩擦はありませんでした。

— 御社での働き方はリモートワークも多いのでしょうか。

出社したい人は出社できますし、リモートワークが良い人はリモートワークを選択できます。働き方については、業務にもよりますが、基本的には本人次第になっています。

ISMS取得の取り組みに参加したメンバーには、本社以外の拠点に在籍するメンバーも含まれていたので、リモート会議で検討を進めていきました。

— ISMSを取得した経緯についてお聞かせください。

当社は、情報セキュリティの第三者認証のひとつであるプライバシーマーク（以下、Pマーク）はすでに取得していましたが、こちらは個人情報のみが対象になっています。当社の提供する製品は会計情報や従業員情報などの機密情報も扱うため、より安心してご利用いただけるように、情報資産全般を対象とするISMSを取得することにしました。

ISMS取得については、一部の部署のみでの取得という選択肢もありましたが、全社・全業務・全社員での取得を選びました。そうすることで、すべての拠点でお客様に自信を持って情報セキュリティに取り組んでいると言える証になると考えました。

また、金融機関ともお取引があるため、金融機関に対しても安全性を示したいという社内的ニーズもありました。
実際に、ISMS取得を発表した際に、金融機関からポジティブな問い合わせが増えました。

— コンサルティング会社選定の経緯についてお聞かせください。

ISMS取得の経験者がいなかったので、最初からどこかに何らかの支援をお願いする想定で動いていました。4～5社ほど見積もりを取り、比較検討しました。

コンサルティング会社を比較する際に確認していたことは、ISMS関連ドキュメントに関する支援の手厚さです。
例えば多くのひな形を提供してもらえる、あるいは既存の社内文書に対してISMSに適合させるための修正に協力していただけるといった点です。ISMSの関連文書は複数あるので、「作っておいてください」というだけでは上手くいかないだろうと予想していました。こういう文書があれば認証を取得できるというフォーマットをきちんと提示してくださった上で、それを社内で運用できる形に調整してもらえるかどうかを確認していました。

— LRMをお選びいただけた決め手は何でしょうか。

サービス内容と費用のバランスの良さです。

コンサルティング会社の中には、何でもやってくれるけれど費用が高い会社や、費用が抑えられるけれど質問に答えるのみなど限定的なサービスとなっている会社など、さまざまありました。はじめてISMS取得に取り組むという大きな不安がある中で、LRMさんは、最後まで伴走してくださる期待を持つことが出来て、費用感も納得できたので選びました。

— 御社の情報資産は例えばどのようなものがありますか。

まず自社製品を販売しているので、顧客リストがあります。また、当社製品はデスクトップ型とクラウド型の両方がありますが、デスクトップ型もデータをお預かりするサービスがありますので、結果的に大量のお客様の会計情報や従業員情報をお預かりする事になります。さらに、自社でコールセンターを有しているため、その通話ログなども含まれます。マーケティングや営業活動に関する情報など、一般的なクラウドサービス企業が持っている情報は基本的にすべて当てはまると思います。

— 御社がお持ちの情報資産の量は非常に多いと思いますが、台帳への記載もやはり大変でしたか。

なるべく工数がかからないようにある程度まとめた形式で記載するように工夫しました。数十年分のデータを保持しているので、ひとつひとつ記載するとキリがありません。ある程度、情報資産をグループ化して記載しましたが、まとめすぎると更新の時に漏れが出る可能性もあります。LRM三崎さんのアドバイスを頂きながら、バランスを取りつつ記載していきました。

— 御社はすでにセキュリティ規程があったかと思いますが、既存のルールをISMSでも利用されたところはございましたか。

もともと運用していたルールを基に、ISMSの要求事項に対して足りないところを検討してルールを作成したので、今まであったルールをわざわざ消す必要はありませんでした。

ただ、既存のルールとISMSの要求事項を照らし合わせてルールを検討するのは大変でした。例えば、データセンターなどのシステムの置き場所をどう選定するかについて、自社で厳しくルールを設けていたのですが、ISMSの要求事項としてはそこまで求められていなかったので、そういった場合は既存ルールをそのまま利用しました。
一方で、例えば残すべき記録をきちんと残すなどISMSの要求事項としてさらに求められる部分については、新たにルールを設けました。

— 新たに作成されたドキュメントはどのようなものがございますか。

ISMSに関連する文書は一通り作成しました。例えば、マネジメントレビューの記録や内部監査の記録、是正処置管理表などを新規で作成しました。また、従業員向けのセキュリティルールが記載されているハンドブックについても、LRMさんのフォーマットを基に自社の業務実態に合うようにカスタマイズして作成しました。

— ISMSを導入することで新しく決めたルールもあったかと思いますが、そういったルールの周知においてご苦労はございましたか。

あまり苦労はなかったです。ルールについては社内通達という形で周知していましたが、当社の社員は通達されたことに対して、きちんと読んできちんと遵守する人が多く、特段大きな苦労はありませんでした。

また、ISMS取得に向けた動きは、経営会議の場で定期的に適切な情報共有を行い、各本部のISMS担当者が窓口となって社員の意見を聞きました。運用が難しいという意見があれば、担当者が話を聞きに行って、都度調整をしていたので、納得感を持った上でルールを守ってくれていたと思います。

— 従業員教育はどのように実施されましたか。

Pマーク運用における従業員教育にも利用していたeラーニングで実施しました。在宅勤務が浸透していますので、今後もeラーニングを利用したいと考えています。

左は石井様、中央は甲賀様（右は弊社・三崎）

— 内部監査はどのように実施されましたか。

オンライン上で、LRM三崎さんと村田さんに実施していただきました。ISMSの規格を読んでいるだけでは理解が難しいような、ISMSにおける基準をどう読み解くべきかについても教えていただきました。

また、実際に外部審査を受けて、情報セキュリティにおける視点がLRMさんと審査員で同じだと感じました。LRMさんに内部監査を実施していただいたことで、外部審査の予行練習にもなりましたし、審査対応におけるアドバイスも頂けたので良かったと思います。

— 外部審査を受けるにあたり、どのような準備をされましたか。

審査に必要なものは何か、どこまで整っている必要があるかなどを確認して用意をしていきました。

また、外部審査は、現地とオンラインのハイブリッドで実施したため、Zoomの調整や会議室の調整など、ISMSとは直接関係ない部分の調整も大変でした。笑
当社は全国に拠点があり、横断的にチームが組まれています。チームメンバーは東京にいるけれども、チームリーダーは大阪にいるという状況も珍しくありません。今回の外部審査においても、東京・大阪・札幌・名古屋での調整が必要でしたので大変でした。

— 実際に審査を受けられてみていかがでしたか。

Pマークの審査に同席したメンバーもいましたので、情報セキュリティに関する審査がどういうものかについてはある程度イメージ出来ていました。審査員の方は、紳士的でありながらも指摘するところはしっかり指摘いただけるメリハリのある方で、Pマークとはまた違った視点から審査いただいた印象です。

審査では大きな指摘はありませんでしたが、頂いた指摘については、不適合ではないがこうした方が望ましいという「改善の機会」も含めて一つ一つ対応していきたいですし、こうした一つ一つの積み重ねがお客様からの信頼に応えるということであると考えています。

— お取り組み全体を振り返ってみたご感想をお話しください。

無事に認証取得ができましたし、やるべきことはやれたと思っています。

また、社員の情報セキュリティ意識も高まっていると感じています。
社員から「ISMSの観点からこれはどうですか？」といった質問や相談を受ける機会が増えました。名刺にISMSを取得した旨を記載したこともありますし、常日頃から情報セキュリティを意識してくれているのかなと感じています。

— LRMのサポートはいかがでしたか。

メンバー全員がISMS取得の経験がなく、どういったことに対応すればいいのか分からないという状況の中で、指針を示していただきました。LRMさんが実際に手を動かしていただきながら、一緒に体制を創り上げて、認証取得まで至れて良かったと感じています。

— 無事にISMS認証取得に至った一方で、担当コンサルタントの対応が滞りご迷惑をおかけしたこともあると聞き及んでおります。

途中取り組みが上手く進まなかった場面はありました。その際は、LRM三崎さんに加えて、LRM村田さんのご協力を得て、取り組みを進めることが出来ました。LRM村田さんは、ISMSの審査員も務めておられる方なので、非常に有用なお話をお伺い出来ました。担当コンサルのリソースが足りなくなった時でも、チーム全体でバックアップしていただけたことはありがたかったです。

— 情報セキュリティにおける今後の展望をお話しください。

デスクトップからクラウドサービスに市場全体が移行して、当社としてもより一層クラウドサービス事業に力を入れています。クラウドサービス事業者として、変化の速い情報セキュリティリスクへ対応し続けていく必要があると感じています。

今回、ISMSを取得したことで新しく見えてきたことがたくさんあります。
取得して終わりではなくて、維持し続けていきたいと思っていますし、より良いセキュリティ体制を構築していきたいと思っています。ISMSを運用していく中で生まれた課題や気づきに対して一歩一歩対応していく、あるいはISMSクラウドセキュリティ/ISO27017認証など、ISMSに関連する新しい認証取得や規格適合をしていくなど、日々小さな課題を見つけながら、「今日より明日、明日より明後日」とより良くしていくことが、情報セキュリティ活動の最も大切なところであると考えています。

ISMS認証を単に維持していくことを目的とするのではなく、お客様や関係者の方の信頼を得続けるために、情報セキュリティを全社で取り組んでいきたいと思います。

弥生株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 弥生株式会社様のWEBサイト
※ 取材日時 2023年5月

株式会社キネカは、LRMのサポートを受け、2023年3月にISMS/ISO27001を取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、榊原様・下田様のおふたりにお話をお伺いしました。

お客様が抱える課題とISMS構築アプローチ

• 社内にISMSに詳しい人材が不足している
• 事業拡大も見据えて社内体制を整備したい
• 自社に合った無駄のないルールを作りたい

• 実績が豊富でいつでも相談できる安心感のあるコンサル会社を選択
• 様々な働き方に合うよう柔軟に体制を構築
• セキュリティ意識を浸透させるために粘り強く周知活動を行う

LRMコンサルティングサービスへの感想

• 最後まで伴走してくれる安心感があった
• どんな質問にも真摯に答えてくれた
• 自社のやり方に合わせて柔軟に対応してくれた

（株式会社キネカについて）

株式会社キネカは、「新しいエンタメで世界の喜びを最大化させる」をミッションに掲げ、エンタメにテクノロジーを活用することによって、場所や時間にとらわれないエンターテイナーの新しい働き方を支援する事業を展開している。エンタメ特化型のマッチングプラットフォーム「pato」は、2017年にサービスがローンチされてから、現在は総会員数が20万人を超える国内最大級のエンタメマッチングサービスである。最短30分で登録キャスト1万人の中から好みのキャストをその場に呼ぶことができ、これまで35万回以上のマッチングが生まれている。24時間365日、誕生日会などのプライベートや接待などのビジネスシーン等、幅広いシーンで利用することができる。今までスキルを活かす場所が少なく活躍の場が限られていたエンターテイナーが様々な場所で活躍できるように、新しい働き方を提案しながらエンタメの新しい当たり前を作るとともに、ヒトのライフスタイルをより豊かにすることを目指す。
設立：2017年6月。本社：東京都港区。従業員数：40名。（2023年6月時点）

— LRMへのご依頼内容をお話しください。

株式会社キネカは、2022年7月にISMS/ISO27001（以下、ISMS）認証の新規取得コンサルティングを依頼しました。LRM高柳さんがサポートを担当してくださり、2023年3月に認証を取得しました。

— 認証の背景についてお聞かせください。

エンタメ特化型マッチングプラットフォームである「pato」のユーザー数や社員数が増えて事業規模が拡大していく中で、守らなければならない情報をきちんと管理できる体制を作っていきたいと思ったのがISMS取得を検討したきっかけのひとつです。

また、「pato」が成長していくにつれ、キャストの所属事務所や美容クリニックなど、様々な会社から業務提携のお話をいただくことが増えてきており、その際にISMSなどのセキュリティ認証を持っているか確認される機会が度々ありました。認証を取得していないから契約ができない、という事態には至っていませんでしたが、今後認証を取得していないことが契約のボトルネックになる可能性があると考え、認証取得に向けて動き出しました。

— 情報セキュリティ認証はISMS以外にもあると思いますが、今回ISMSを取得された理由はございますか。

ISMSを選んだ大きな理由は、ISMSであれば取り組みを通じて組織全体を統括して見ることができると思ったからです。情報セキュリティの第三者認証としては、例えばプライバシーマーク（以下、Pマーク）などもあります。
しかし、組織全体のセキュリティ体制を見直しておくことで、今後違う事業を展開する際にも応用できることを考えると、PマークよりISMSの方が弊社には合っていると考えました。

Pマークは、個人情報にフォーカスしており、運用方法や規格が割とかっちり決まっていて、そこに合わせていく必要があると思います。一方、ISMSは個人情報だけでなく組織全体の体制を見直していく必要があり、弊社の少し特殊な働き方に合わせながら柔軟にセキュリティ体制を構築していけると考え、ISMSに決めました。

— 働き方が特殊とのことですが、どのような点が特殊なのでしょうか。

最も特徴的な点として、出勤時間が一般的な企業とは少し異なっています。通常の勤務時間のメンバーに加えて、カスタマーサポートなどシフトを組んでほぼ24時間体制で勤務するメンバーもいて、常に人が稼働している状況で、それに合わせて仕組みやルールを作っていきたいと考えていました。その点ではISMSの方が柔軟に対応でき、弊社にはISMSが合っていると思ったのもISMSを選んだ理由の一つです。

— コンサル会社選定の経緯についてお聞かせください。

弊社にはISMS取得に関するノウハウが何もなく、コンサルの方についてもらって色々と相談できる環境が必要であると思い、コンサルタント会社を探していました。そんな中LRMさんを知人に紹介してもらい、サポートを依頼しました。

コンサルタント会社だけでなく、認証取得をサポートしてくれるツールも検討はしたのですが、疑問点をすぐに聞きにくい点があることと、長期的なランニングコストを考えていくと、コンサルタント会社にサポートを依頼する方が費用面においてもメリットがあると感じました。

— LRMをお選びいただけた決め手は何だったのでしょうか。

LRMさんは実績が豊富で、いつでも相談でき、大きな安心感がありました。初めてのISMS取得で経験も全くなく、いつでも相談できる環境があるのは大事だと思っていました。LRMさんとお話をさせていただき、LRMさんになら安心してお任せできると感じ、サポートを依頼することに決めました。
実際に取り組みを進めていく際に、様々な質問をたくさんさせていただいたのですが、その度に親身に対応してくださってありがたかったです。

— 認証取得前の従業員のセキュリティ意識はどうでしたか。

正直なところ、従業員のセキュリティ意識が低いと思う瞬間はたくさんありました。私は前職はエンジニアでPCに触れる機会も多く、セキュリティ意識はある程度高い方だったと思います。しかし、当社には様々な経歴の方がいて、セキュリティを熟知している方もいれば、今までPCを業務で触ったことがない方もいたので、かなり意識のレベルがバラバラだった印象です。

例えば、ユーザー情報やファイルの共有方法について、明確なルールが整備されておらず、人によって対応にバラつきがありました。チャットツールに直接ファイルを貼ってしまっていたことで、ファイルがたくさん複製されてしまい、どのファイルが不要か分からなくなったり、共有場所によっては本来見る必要がない方も閲覧できてしまう状態だったりして、少しヒヤッとする場面もありました。しかし、ファイルを全部ダイレクトメッセージで送るのも非効率ですので、どのように対応するべきか悩んでいました。

— ISMS取得をきっかけにセキュリティルールを改めて整備されたということでしょうか。

事業の急成長に伴い従業員数が一気に増えたため、なかなか立ち止まってセキュリティのルールを整備するタイミングが取れませんでした。全く整備していなかったわけではないのですが、決まった対応フローがあるというよりは、気付いた人がカバーするような状況が続いていたと思います。

今回の認証取得の取り組みを始める前までは、本当に最低限ここだけは守らないといけないという意識は全員ありつつも、なかなかルールがきちんと統一しきれていないという課題がありました。

— 今回のお取り組みの体制についてお聞かせください。

主に下記のメンバーで取り組みました。

榊原様：取締役 兼 CTO。お取り組み全体の責任者。
下田様：開発ユニットでコーポレートITを担当。ISMS事務局の窓口として各ユニットとの連携など、横断的に実務を担う。

今回の取り組みでは、下田が取り組み全体の橋渡し役として各ユニットのマネージャーに協力を仰ぎながら、実務全般を担当していました。
もともとはセキュリティ担当者がいませんでしたが、下田はコーポレートIT担当者としてアカウント管理や業務で使用するツールの選定などをしていたため、その延長線上でセキュリティ全体の管理をしてもらうのがスムーズだと思い、事務局の実務担当者として選定しました。最終的には榊原が取り組み全体の責任者として統括しつつ、実務はほぼ下田が一人で担っていました。

— ほぼ一人で実務を担当するのは大変ではありませんでしたか。

正直、全体的にすごく大変でした。一番大変だと感じたのは一人で全国を回らないといけなかったことです。
全国で事業を展開している都合上、支社を含めて各所を回るとなると北は北海道、南は沖縄まで回る必要があったのですが、最終的に動いていたのがほぼ自分一人のような状態だったので、それらを全て一人で回らないといけませんでした。認証取得以外の業務を兼務していたのもあり、全て一人で回るのは少し無理があったかなと感じています。

また、認証取得の経験も全くなかったので、ISMSについて理解を深めるところから始める必要がありました。エンジニアの経験はあったのですが、コーポレートITは未経験だったのでISMSが何なのかも知らない状態でした。
そのような状況で、ISMSの取得が決まり、さらに取り組みの実務全般をほぼ一人で担当することになったため、最初は不安でした。一気に一人で進めていくのは厳しいと思ったので、まずは少しずつスモールスタートで進めていきました。

— ISMSの知識が全くなかったとのことですが、ISMSの理解はどう深めていかれましたか？

最初は本当に何も分かっていなかったので、コンサルタントの高柳さんとのミーティングや実際の取り組みを通して大事なポイントを掴んでいきました。文書の修正や従業員への周知、内部監査などで監査を受ける中で、「何が大事なのか」「審査でどこが見られるのか」などが徐々に分かるようになってきました。ドキュメントベースで体系的に勉強していくというよりは、実践という戦いの中で成長している感じでした。
そうして理解を深めていく中で、あくまで取り組むことを目指すからこそ、ルールを決めただけで運用できなければ意味がないし、無理なくルールを守っていけるような体制の構築が重要であると強く意識するようになっていきました。

— お取り組み全体を通して大切にしていたことはありますか。

まず、ルールを作成するにあたって、効率が悪く業務を阻害するようなルールは作らないようにすることは大切にしていました。もちろん審査などで対外的な見え方を意識するような側面もあるとは思うのですが、対外的な面ばかりを意識して結局よくわからないルールが増えていくのは避けたいという気持ちがすごくありました。規格に則りつつも業務をできるだけ阻害しない無駄のないルールを作るようにしていました。

あとは、ルールを構築した後に、それをいかに浸透させるかはすごく意識していました。様々なバックボーンの方がいて、当たり前の基準がバラバラな中で、ルールを押し付けるのではなく、本当に大事なものだと理解してもらえるように周知していくことは、一番大事にしていましたし、苦労もしましたね。
この作業やルールがなぜ必要なのかを全員がきちんと理解したうえで、自分たちで主体的に取り組んでいくという状態が一番理想的だと思っていたので、その方向に持っていけるように取り組みを進めていました。パソコンの使い方一つとってもそうですし、セキュリティに関しても、全員が理解したうえで私の助けがなくても自分たちだけで対応できるような状態にするのが一番大事だと考えています。

— 主体的に取り組んでもらうために意識されていたことなどはありますか。

なるべく押し付けのように聞こえる言い方はしないように意識していました。「普通はこうだからとりあえずこうして！」というような押し付けがましい伝え方をされるとやっぱり抵抗を感じる方もいると思います。なので、「普通は」「一般的には」「みんなこうやってる」などの言い方はしないように意識していました。
本質的になぜそれが必要なのかを説明しつつ具体的な例を示しながら、このルールがないとこういうことが起こるのでこうする必要があるとひたすら伝えていました。

また、セキュリティを強固にしようとするとその分縛りも強くなり、業務のスピード感も少し落ちてくると思います。なので、周知する時はこのルールがあるとスピードは少し下がるかもしれないけど、その分守れるものがあるということも併せて伝えるように意識していました。

— ルールの周知はどのようにしたのですか。

周知はSlackでもやりましたし、週に1回開催している各ユニットやチームごとの事業報告会でも話しました。
一度話しただけだとみんな本質的には理解してくれないので、何度も何度も話していました。取り組みの中盤以降は、かなり頻度高く、もう半分念仏のように周知をしていました(笑)。必要性をひたすら何度も話すという感じですね。
また、セキュリティは正直堅苦しい面もあると思うので、もはやエンタメのように少し面白がりつつ理解してもらう方が堅苦しさを感じずに周知ができるのではないかと考えていました。もちろんセキュリティそのものは堅苦しくあるべきかもしれませんが、堅苦しいものだと思い込む必要はないと思うので、堅苦しさを感じないように周知や教育をするようにしていました。

周知や教育を行っていく中で、だんだん従業員の意識にセキュリティが自然に浸透してきているような実感がありました。具体的な話だと、情報の区分けについて周知し始めてから、あらゆる場面で何度も情報の区分について話していると、従業員の方から「この情報はどの区分にあたるのか」を聞いてくれることがありました。冗談交じりでも、情報の区分についての話が日常的に飛び交うようになってきているので、従業員の意識にセキュリティが自然に溶け込んできているなと感じました。

— 従業員への教育はどのように行いましたか。

セキュリティインシデントの被害について具体的なイメージを持ってもらえるよう、定期的にセキュリティに関するニュースをSlack上で投稿していました。決まった時間に教育をするというより、業務中に質問をされたついでにISMSについてもお話ししていました。相手の用件を聞き終わった後に、ISMSの取り組みで協力してほしいことや、なぜこのルールが必要なのかなどを話すことで理解を深めてもらいました。様々なバックボーンの人がいるため、相手の理解度に応じて、話す内容を変えていました。ほぼマンツーマンでの教育を各所で行うようなイメージです。
こういった個別の理解度に応じた教育以外に、一律でセキュリティについて知ってほしいことを教育する際には情報セキュリティ教育クラウド「セキュリオ」を利用しています。簡単に操作ができるので、ITツールに慣れていないような従業員でもすぐに使えるというのは、担当者としてありがたいですね。

中央は榊原様、右上は下田様（左上は弊社・高柳）

— 内部監査はLRMが行いましたがいかがでしたか。

社外の人からヒアリングを受ける機会が今まで少なかったので、各位のセキュリティ意識が高まりましたし、今では当たり前のようにやっていた内容も改めて言語化されたので、内部監査を受けて良かったと思っています。
また、本番の審査の時に備えて予行演習のような感じでワンクッション挟めたので、審査の時にあまり緊張せずに済んだように感じています。

内部監査を受ける前はとても緊張していたので、内部監査が終わったときはかなりホッとしました。何も知らない状態で監査と聞くと、すごくシビアなものを想像すると思うのですが、思ったよりはシビアではなく少し心配しすぎていたような面があったかなというのが正直な感想です。内部監査を受けるまでは、指摘されそうなポイントや注意しなければいけない範囲が途方もなく広く感じていたので、全部やりきれてないように感じていました。しかしいざ終わってみると、ある程度抑えるべきところは抑えられていたので、そんなに構えすぎなくてもよかったのかなと思いました。

— 審査前の準備で困ったことはありましたか。

最終確認で詰めなければいけない部分が、審査が近づくにつれてどんどん出てきてしまいました。LRM高柳さんには分からない点を本当に細かく質問させてもらったので、とても助かりました。表記方法についてなど、かなり細かいところから本質的なところまで、色々と聞いていました。この書き方で実際にやっている内容として差し支えないか、この部分はきちんとできていない気がするが大丈夫か、これは本質的な取り組みではないような気もするがどうすればいいのかなど、審査前に無限に出てくる細かい疑問について一つ一つ真摯に対応してくださいました。
きちんと弊社にあっている体制を構築していくのはすごく大事だと思っていたので、最後までその辺りはすごく細かく質問させていただきました。

— 審査はいかがでしたか。

どれほど審査前にきちんと準備していても、どこを聞いてくるかは当日になってみないと分からないですし、やっぱり緊張しました。情報システム部分の審査ですごく細かいところまで聞かれたり、予想外の箇所を指摘されたこともありました。少しびっくりしたところもありましたが、基本的には納得できるような質問が多かったので正直にお答えしました。その上で、逆にこちらから審査員の方にたくさん質問もさせていただいたので、今後の改善につながる点が色々と見えてきて、審査を受ける前よりも視野がかなり広がりました。

— ISMSの取り組みを通じて目標は達成できましたか。

全体的なセキュリティ意識をある程度のラインには持っていけたかなと思っています。最初は従業員全体のセキュリティ意識が高いとは言えない状況だったのですが、今は当たり前の基準を全員がクリアできている状態になったと思うので、とりあえずスタートラインには立てたのではないでしょうか。審査を受ける前は過度に不安に思っていた部分もあるのですが、審査を終えた現在は今後の改善に向けてやるべきことをやっていくだけだなと考えることができており、不安は解消されました。

— 取り組み前後で何か変化はありましたか。

社内ではさっきお話したような情報の区分や、これはセキュリティ的によくないよねという声かけが私以外からも出るようになってきているのが一番大きな変化ですね。従業員が自然とセキュリティについて意識してくれるようになったというのは目に見えて感じますし、そういうのを見るとISMSを取得して良かったなと思います。

また、弊社は珍しい事業をしているので少し特殊な企業のように見られることもあったのですが、セキュリティ対策をきちんとしている企業であると対外的にアピールできるようになった点も大きな変化だと感じています。

— LRMのサポートはいかがでしたか。

ISMSについて本当に何も知らなかったので、ゼロから色々とサポートしていただけてありがたかったです。
最初は初歩的な知識もなく質問の嵐だったのですが、その質問にも一つ一つ丁寧に回答していただきましたし、かなり長いやり取りになっても懇切丁寧にお答えいただいたので、本当に助かりました。直接会ったことのある人が常にサポートしてくれるのは、質問もしやすかったですし、とても信頼感があって心強かったです。ISMSについてはもちろん、セキュリティの知識や体制構築に関するアドバイスなども含めて、自分もかなりリテラシーが身に付きました。

また、弊社のスタイルに合わせて、かなり柔軟に対応してくださった点にもすごく感謝しています。それこそファイルのやり取りに使うツールの変更や、連絡手段をメールからSlackへ変更するなど、様々な面で柔軟に対応いただきました。そのおかげでかなり進めやすく、セキュリティに対する敷居を下げつつ取り組みを始めることができたと思うのですごくありがたかったです。

— 今後の展望をお聞かせください。

今はまだスタートラインに立っただけなので、ここからさらにセキュリティを強固にしていくためにも、啓発や教育、そして環境の変化に応じたルールの整備は今後も続けていこうと思っています。現状で定めているルールも、事業の内容や組織の状態などが変わっていくにつれて、ルールも更新していく必要があると思うので、これからも状況に応じて整備を続けていきたいです。
また、システム的にもさらにガードを強固にできる部分はまだまだたくさんあると感じているので、そのあたりをどう整備していくかも課題の一つです。今後システムが変わったり、利用ツールが増えたりすると思うのですが、たとえ担当者が変わったとしても、問題なく運用し続けられるような体制を作っていきたいと思っています。

今回のISMS認証取得の取り組みを通じて大体の枠組みができたので、まず今年1年間はPDCAをひたすら回していくつもりです。その上でまだ行き届いてない範囲のオペレーションなど、詰めきれていないところはあると思うので、オペレーションとリスクのバランスを考えながら手を加えていきたいです。
今後も事業が成長して行く見込みですので、大きなセキュリティリスクに足元をすくわれないようにしていきたいです。全員がきちんとセキュリティを意識して守りを固めながら、事業をどんどん伸ばしていけたらいいと思っています。

株式会社キネカ様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社キネカ様のWEBサイト
※ 取材日時 2023年5月

社会全体でキャッシュレス化が進行する中、ワンマンバスの運賃収受システムを開発する株式会社 小田原機器でも、情報の取り扱いが課題となっていました。そういった背景のもと、グループ全体の業務を認証範囲とするISMS/ISO27001認証を取得しました。先行して取得したEMS（環境マネジメントシステム）やQMS（品質管理システム）との統合を見据えたという今回の取り組みについて、ISO事務局に携わる早瀬様と、久保寺様にお話を伺いました。

お客様が抱える課題とISMS構築

• キャッシュレス決済の普及などに伴い取り扱うデータが増加している
• Pマークは取得しているものの、個人情報以外の情報管理もしたい
• EMSやQMSとの統合も見据えて、ISMSを構築したい

• 気軽に質問が可能で的確に回答してもらえるコンサル会社を選択
• 従来の社内ルールを土台に、不足部分を補強してISMSを構築
• EMSとQMSを統合したマニュアルをベースにしつつISMSのマニュアルを作成

LRMコンサルティングサービスへの感想

• 最も負荷が大きいと覚悟していたマニュアル作成をリードしてくれたため、プロジェクトがスムーズに進行した
• 要求事項が何を意図しているかなどの質問に対して的確に回答してくれた
• 情報セキュリティ教育クラウド「セキュリオ」はISMSとPマークの従業員教育に便利

— LRMへのご依頼内容をお話しください。

株式会社 小田原機器は、2022年2月、LRM株式会社に、グループ全体の事業を登録範囲とするISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。
2月にキックオフして、11月にISMS認証を取得しました。担当者は松原さんです。

— ISMS認証取得の社内体制をお話しください。

ISMS認証取得は、以前から社内に組織しているISO事務局が中心となって取り組みました。弊社は、2001年にEMS/ISO14000（以下、EMS）認証を、2002年にQMS/ISO9001（以下、QMS）認証をそれぞれ取得しました。
両認証の管理を担当しているのは、品質保証部のメンバーで構成するISO事務局です。メンバーは品質保証部 部長と、製品品質グループの2名をあわせて、合計3名です。将来的には統合を視野に入れているため、ISMSも一括して担当しています。

— QMS、EMS、ISMS、それぞれ管理する対象が異なりますが、統合するというのはどういうことですか。

各認証同士の差分を見ると、大きく異なるのは実際の運用面です。具体的な運用に入るまでの計画作成や、チェック、改善の手順に関してはほとんど同じなので、一本化した方が、維持審査や更新審査に向けた準備の負担は軽減されます。

— 今回は統合しておられないのですか。

今回は新規取得ですので、まずはISMS独自のルールとマニュアルを作成しました。ただ、将来的な統合を見据えた進め方はしています。手順としては、EMSとQMSを統合したMSマニュアルをベースに、ISMSの要素を足していきました。従って、現状では、部分的に内容を共有する2つのマニュアルが存在している状況です。

— 最初から統合を目指すのはかえって運用しづらくなるというご判断をされたのでしょうか。

従業員にとっても新しい取り組みですので、まずはISMSで独立させたマニュアルから入った方が、整理して捉えやすいだろうと考えました。まずは独立したルールでISMSの取り組みを浸透させた上で、将来的に統合しようと話し合っています。

— Pマークとの統合も考えておられるのですか。

Pマークの運用は、ISMS認証取得後からISO事務局が担当するようになりましたが、それまでは事務局が別にありました。取り組み自体は認識していたため統合も意識はしていましたが、理解できていないところもありましたので、今回は別々に取得しました。

— ISMSのルールを構築することによる業務への影響はご心配されませんでしたか。

ISMSに基づいたルールを作成することで、業務上の負担が増える心配はありました。しかし、結果的には、思った以上に社内のルールがすでにしっかり出来ていましたので、大きな影響はありませんでした。

— ISMSの規格に沿った対策が取れていたということですか。

はい。以前から弊社には、社内規程として文書化されたルールが存在していまして、ISMSの管理策と照らし合わせた結果、情報セキュリティを意識したような作りになっていました。そのため、業務フローに影響を与えるようなインパクトのあるルールを、改めて取り入れる必要はありませんでした。

— 社内規程の情報セキュリティに関連する箇所が過不足なく、そのまま流用できたのですか。

従来のルールを土台として、物足りない部分を補強した箇所がいくつかありました。例えばホワイトボードに書いたメモの消去です。会議体でメモを取った後のルールが、これまでは明確に定まっていませんでしたが、クリアデスク・クリアスクリーンの一貫として、会議終了後はメモを消すというルールを定めました。

また、データの消去に関するルールも明確にしました。これまで紙の書類はかさばるため、年限を決めて廃棄していました。ただ、データはサーバーに蓄積している限り邪魔にはなりません。これまで年限を決めて廃棄するという概念はありませんでしたが、ISMS認証取得を機に明確化しました。データ削除に関しては、ISO27001の規格にもこれまでは明示されていませんでしたが、2022年版では明確に定められています。

— 既存のMSマニュアルとの将来的な統合を見据えたISMSのマニュアル作りは計画通りに行きましたか。

はい。既存のMSマニュアルと矛盾しないISMSのマニュアルは作れました。むしろ既存文書とISMSの要求事項や管理策を照らし合わせる作業を通して、MSマニュアルの方を修正した箇所もありました。既存のMSマニュアルよりも、ISMSで作成した文書の方が、具体的かつわかりやすい表現になっていると思います。マニュアルを見ながら仕事をする人はいないと思いますが、わかりやすい表現になっていれば、何か伝達し合わなければならない時に誤解を防げます。

— 従業員のみなさんのご意見を吸い上げたり、取りまとめたりする際のご苦労はございませんでしたか。

Pマークを取った直後でしたので、比較的スムーズにいきました。各部署に担当者を任命したのですが、ISMSもPマークも管理の対象となる情報を洗い出してリスクアセスメントを行う点は一緒だと伺っていましたので、基本的にPマークの取得や運用に関わっている人を選出してもらいました。

ただ、ISMSは対象となる情報が個人情報だけではありませんので、どこまで情報資産に含めるのか、実際に作業を進める上での考え方の周知は工夫しました。具体的には、ISO事務局のメンバーが所属する品質保証部が、先行して情報資産台帳を作成し、リスクの洗い出しを行い、それを見本にしながら各部門で作業を行ってもらいました。

— LRMとの打ち合わせは、どのようなペースで実施されたのですか。

LRM松原さんに、年内取得を目指したスケジュールを立てていただき、マイルストーンを設定して、作業の進捗状況に合わせて月1、2回のペースで実施しました。打ち合わせ1回の時間は2時間ぐらいです。限られた時間を有効に使えるよう、打ち合わせの中では大きな粒度の話をして、細かい部分はメールで問い合わせしながら作業を進めました。

— ISMS認証取得のプロジェクトはスケジュール通りに進みましたか。

予定が大きくずれるようなことはありませんでした。社内の作業進捗が多少遅れることはありましたが、全体のスケジュールに影響を与えるような遅延はありませんでした。

— ISMS認証取得までのお取り組みでご苦労された点をお話しください。

特に苦労したことはありませんでした。ISO事務局が担う作業で、最も負荷が大きいであろうと覚悟していたのはマニュアルの作成です。しかし、今回、その作業はLRMの松原さんが中心となり進めてくださいました。我々は、松原さんが作成したマニュアルに微修正をかけたぐらいです。そのサポートがあったことで、プロジェクト全体がスムーズに進行しました。それが今回、LRMのサポートで最も助かったポイントです。

— 実際に、LRMへお問い合わせをされることは多かったですか。

社内で作業を進める上で、細かい疑問点や確認事項が出てきた時は、その都度問い合わせました。

— 問い合わせの内容で多かったのはどのようなことですか。

要求事項の解釈に関する質問です。ISMSの要求事項は、様々な解釈ができるように書かれています。捉え違えると見当違いなものになってしまいますので、「その要求事項が何を意図しているか」を確認することが多かったです。

— お問い合わせに対するLRMの対応はいかがでしたか。

的確にきちんとご対応いただけましたので、ストレスを抱えることなく作業を進められました。

松原さんのおかげで、QMSやEMSなどと比較しても、非常にスムーズに進行出来ました
（上左；早瀬様、上右；久保寺様　※下は弊社・松原）

— 『セキュリオ』の活用方法をお話しください。

新規認証取得の段階ではeラーニング機能と法令管理機能を使いました。認証取得後は、サプライチェーンセキュリティ機能を利用して、協力会社を対象としたアンケートを実施する際の項目出しに利用しています。今後は、社内アンケートも活用する予定です。

— eラーニング機能を活用されたご感想をお話しください。

eラーニングに関しては、オリジナルの教材を作成出来るほか、あらかじめ教材が用意されているところが便利だと思いました。今回はISMSの教材を使いましたが、Pマークの教材も用意されています。従業員全員の実施状況や理解度を把握できますので、今後も、ISMS、Pマークの従業員教育に活用していきたいと考えています。

— 協力会社向けアンケートの項目出しとおっしゃいました。アンケートそのものはどのような方法で実施されているのですか。

現在はExcelでアンケート票を作成し、メールに添付して送付しています。『セキュリオ』を、そのまま利用しない理由は、アンケートの実施方法を統一するためです。例えば大手企業の場合、Webに自由にアクセスできないケースもあります。今後もしばらくは、このような方法でアンケートを実施する想定です。

— 社内アンケートはどのような使い方をされるご予定ですか。

ヒヤリハットの情報収集に活用していく予定です。社内でインシデントとまではいかない小さな問題が生じた際に、都度、報告を上げてもらうのが理想ではありますが、全て吸い上げることは難しいと思っています。
逆に、こちらから聞きに行けば、現場で発生している細かい問題を収集できるのではないかと思いますので、定期的に社内アンケートを実施したいと考えています。

— 今回の内部監査はLRMが行いましたが、これまで外部に内部監査員代行をご依頼されたことはございますか。

なかったと記憶しています。Pマークを取得した際も、内部監査は社内の人間が実施していました。

— はじめて外部による内部監査を実施してみていかがでしたか。

LRM松原さんにご訪問いただいて、グループ全体の内部監査を実施しました。ISMSに関しては初年度でしたので、要求事項を完全に把握できていませんでしたし、社内の人間には見えないところがあると思いますので、外部の方に代行していただいて良かったと思っています。松原さんに内部監査員を代行していただいたことで、見るべきポイントは把握出来ました。2年目以降はEMSやQMSと同様に、社内に内部監査員を立てて実施していきます。

— 審査準備のサポートはございましたか。

はい。内部監査の後、審査でどのようなことが聞かれるか、どのように対応すれば良いかなど、傾向と対策をご教示いただきました。また、作成したドキュメント類も不備がないかチェックしていただき、万全な状態で審査を迎えられました。

— 審査はいかがでしたか。

審査日がQMS、EMSと重なったため、対応に追われましたが、内容的には大きな問題もなく、スムーズに終えられました。指摘事項も致命的なものはありませんでした。

— ISMS認証取得に取り組んだご感想をお話しください。

LRMのサポートを受けたことでスムーズにISMS認証が取得できましたし、安心して事業に取り組める環境が整備されました。今後の課題は、従業員のISMSに対する理解度や意識レベルを揃えることです。
今回の取り組みでは、各部門で選出した担当者の中にも、ISOには関わった経験がない者がいて、意識や理解度には個人差があることが明らかになりました。今後、運用を重ねながら経験値を上げていくことで解決される問題ですが、人事異動による担当者の入れ替えに備えるためにも、全体的な底上げを図っていきたいと考えています。

— 具体的な取り組みとして考えておられることはございますか。

現在、弊社は4つの認証規格に基づいたマネジメントシステムを運用しています。ISO事務局としては、出来るだけ社員に負担がかからないようにすることを主眼に置いたルール作りをしていきたいと考えています。その上で、事務局が主体となりつつ、各部署では「製品の品質に直接関わるQMSとEMS」、「情報セキュリティに関わるISMSとPマーク」、2つに分けて担当者を決め、それぞれ責任を感じて取り組んでもらうことで、取り組みを前進させていきたいと考えています。

— LRMのコンサルティングを受けたご感想をお話しください。

松原さんのサポートもあり、スムーズにプロジェクトを推進できました。過去のQMSやEMSなどと比較しても、ISMS認証取得は非常にスムーズに進行出来ました。質問に対しても的確に対応していただけましたので、期待通りです。

株式会社 小田原機器様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社 小田原機器様のWEBサイト
※ 取材日時 2023年2月

経営管理ソフトウェア『Sactona』を軸にコンサルティングサービスを展開するアウトルックコンサルティング株式会社は、LRMのサポートを受け、2022年11月、ISMS/ISO27001とISO27017/ISMSクラウドセキュリティの認証を取得しました。「コンサルティング会社選定の最後の決め手は、何をすべきかが明確だったこと」。そう語るのはR&D本部 製品サポートチーム マネージャー・武田様です。約1年間に及ぶ取り組みの経緯と、LRMのサポート内容について詳しく語っていただきました。

お客様が抱える課題とISMS構築

• ISMS未取得のために、導入見送りなどが発生してしまっている
• 従業員が50名を超え、マネジメントシステムの必要性を感じた
• ルール策定により、業務上の面倒な手順が増えるといった反発がないか心配

• サポート費用と取得に向けて何をすべきかを明確に示してくれるコンサル会社を選定
• 社長からトップダウン形式に情報セキュリティの重要性を発信
• 現行体制に則った的確なルール作成によりスムーズに周知

LRMコンサルティングサービスへの感想

• シンプルで明快な料金体系だった
• ノウハウが凝縮されたテンプレートをもとに迷わず作業を進めていけるイメージが持てた
• セキュリオで情報セキュリティ教育を実施し、審査機関にもセキュリオの受講結果で従業員の理解度を客観的に示せた

（アウトルックコンサルティング株式会社について）

企業の管理会計・経営管理分野に専門特化したコンサルティングサービス会社。経営管理分野を専門とし、マネジメントからシステムに至る広い範囲に通じる。管理会計とは、予算管理や原価管理など、自社の経営に活用するため、社内向けにまとめる会計を指し、経営管理の判断材料になる。同社が提供するのは、こういったクライアント企業の管理会計・経営管理を高度化・効率化するために、企業の“見通しや展望（＝Outlook）”をよりクリアにするためのサービスである。そのサービス基盤となるのが、自社開発による経営管理ソフトウェア『Sactona』だ。『Sactona』は、管理会計・経営管理を高度化・効率化するためのシステムであり、クラウド、オンプレミスの両方に対応している。国内では経営管理ソフトの先駆け的な存在。導入先には、国内を代表する大手企業が並ぶ。その提供を通じて蓄積したノウハウを活用し、業界ごとに最適なサービスが提供できることが同社の最大の強みで、年々着実な成長を遂げている。
設立：2006年4月。本社：東京都港区。従業員数：約70名。

— LRMへのご依頼内容をお話しください。

アウトルックコンサルティング株式会社は、LRM株式会社にISMS/ISO27001(以下、ISMS）とISO27017/ISMSクラウドセキュリティ（以下、ISMSクラウドセキュリティ）の認証取得コンサルティングを依頼しました。2022年1月にキックオフして、同年11月に両認証を取得しました。LRMの担当者は松原さんです。認証取得後は、ISMSの運用改善サポート『情報セキュリティ倶楽部』と情報セキュリティ教育クラウド『セキュリオ』を契約しました。

— ISMSならびにISMSクラウドセキュリティ認証取得に向けた社内体制をお話しください。

両認証を取得するにあたり、ISMS事務局を立ち上げるとともに、各部門でセキュリティ担当者を選出しました。
ISMS事務局は、事務局長の私と実務担当者の2名体制です。

LRMとの打ち合わせやマニュアル類の作成、審査対応などは、ISMS事務局が担当し、各部門における情報資産とリスクの洗い出し、ルールの周知・浸透は、各部門で選出したセキュリティ担当者が担いました。

— ISMSおよびISMSクラウドセキュリティ認証を取得した理由をお話しください。

主に2点ございます。

（1）外部に示す客観的な安心材料の確保
『Sactona』を活用したコンサルティング事業が拡大するにつれ、営業活動の中で、弊社内のセキュリティ体制が問われる機会が増えて参りました。ISMS認証を取得していないことで、追加のヒアリングを受けたり、導入を見送られたりすることも出てきておりましたので、ISMS認証取得が必要であると判断しました。

また、金融機関やファンドに対しても、社内の情報セキュリティ体制が整備されていることを客観的に示す必要がありました。

（2）情報セキュリティルールの確立
弊社はこれまで各社員の裁量に任せたマネジメントを行ってきましたが、設立から15年が経ち、お客様の数が増え、従業員数も50名を超えてきたことから、情報セキュリティマネジメントシステムを構築する必要があると判断し、ISMSを導入することを決めました。

— ISMSクラウドセキュリティ認証は、CSP（クラウドサービス事業者）、CSC（クラウドサービス利用者)、それぞれの立場で取得されたのですか。

いいえ。ISMSクラウドセキュリティは、『Sactona』のCSPとして認証を取得しております。『Sactona』はオンプレミス型、クラウド型の両方で提供しているソフトウェアです。クラウド型は、弊社が保有するデータセンターにサービス基盤を構築して運用しているため、CSPのみで認証を取得しました。

— ISMSおよびISMSクラウドセキュリティ認証取得にあたり、ご心配はございましたか。

管理者としては、改めてルールを確立することで、業務上、面倒な手順が増えるという声が出てくることは心配していました。

そもそも、私個人としては、コンサルタントが提示したルールを導入して問題が出るとすれば、業務の方がおかしいと考えていましたので、現場から抵抗があった場合、そのルールがなぜ存在するのか、理由をきちんと説明して現場を説得していく必要性を感じていました。しかし、実際現場に周知して浸透させる役割を負うのは、各部門のセキュリティ担当者です。彼らが部門のメンバーや上長に説明しても、なかなか理解していただけない可能性もあります。
そこで社長から、情報セキュリティの重要性を発信していただきながら進めていきました。

– 武田様は、過去にISMSの認証取得や運用に関わられたご経験はおありですか。

私自身はありませんでしたが、もう1人のメンバーが、前職で少し関わった経験があり、トップダウンで取り組む必要性を聞いて参考にしました。ただ、その担当者も認証取得までの全貌は把握していませんでしたし、他の社員にも詳しい人材はいませんでしたので、サポートしていただける専門家を探し、LRMに依頼しました。
結果的に、LRMにマニュアル作りとルール作りのお手伝いをしていただいて、弊社の現行体制に則った的確なルール作成ができたこともあり、危惧していたような抵抗はありませんでした。

— コンサルティング会社の選定経緯をお話しください。

インターネット検索で5社ほどピックアップし、各社にコンタクトを取りましてヒアリングした上でLRMに依頼しました。ヒアリングの際に意識したことは、サポート費用と取得に向けて我々自身が何をすべきかが明確にわかるということです。

— LRMをピックアップした理由をお話しください。

インターネット検索で最上位に表示されたからです。上から順番に5社ピックアップしました。LRMのWebサイトは、検索結果で最上位に表示されただけではなく、内容が最も明快でわかりやすかったです。特に料金体系は、シンプルで明快な価格表示がされていました。他社のWebサイトは、曖昧な表記ばかりでしたので、安心感がありました。

— 最終的に依頼した決め手をお話しください。

まず料金面で、他社に比べて圧倒的なアドバンテージがありました。その上で、営業担当者と面会した際のご説明で、何をすべきかが明確にイメージできたことが決め手でした。他社は、「取得する企業によってやることもケースバイケース」といったニュアンスの説明ばかりで、結局、何をするのかはイメージできませんでした。

— 実際にやってみなければわからない、ということですか。

はい。LRMと面会するまで4社と話をしましたが、いずれからもそのような説明を受けました。「そういうものなのかな」と思い始めたところ、最後にLRMの説明を受けて、迷わず依頼しました。

— 具体的にはどのようなことをするというご理解をされましたか。

まずは社内の情報セキュリティルールを作ること、次に、そのルールがPDCAを回しながらきちんと守られていることを客観的に評価できる仕組みをつくること、大まかには、この２点に集約されるという理解をしました。

LRMは、これまでの実績に基づいたノウハウが凝縮されたテンプレートを準備されています。それをベースに、弊社の事業や業務など、社内の諸状況に合わせてカスタマイズしていくという手順をご説明いただき、工数もさほどかけず、迷わず作業を進めていけるイメージが持てました。

— LRMとの打ち合わせに参加されたのはISMS事務局の方だけですか。

各部門のセキュリティ担当者にも適宜参加してもらって、洗い出したリスクに対して、正しく評価できているかどうかを一緒にチェックするなどの作業を行いました。

— ルール作りでご苦労されたことはありませんでしたか。

例えばハード面の管理などで、以前から対策の必要は感じていたけれども、実際にやろうと思うと、どのやり方がベストなのかわからないということはいくつかありました。社内で議論しても結論が出ない場合は、LRM松原さんに相談して、いくつか事例を出していただいた中から、自社に合う方法を選びました。

— 構築したルールに対する抵抗はなかったということですので、周知・浸透でご苦労されたこともなかったということですね。

基本的なことはほとんどできていましたし、各部門の日常業務に大きく影響を与えるような新しいルールというものはありませんでしたので、苦労はありませんでした。各部門のセキュリティ担当者も、一定の意識を持っているメンバーでしたので、細かい部分の調整もスムーズに行きました。ただ、ISMS事務局としては、スムーズに行きすぎたことが逆に心配です。気を抜かずにチェックしていきたいと考えています。

— それでは、取り組み自体は最後までスムーズに進まれたということですね。

はい。ただ、ISMS事務局としてミスしたなと思ったところは1点だけありました。心構えとして「全てLRMにお願いすれば良い」と考えていたところがありました。お願いすること自体は間違いではありませんが、弊社自身のことですので、弊社側もきちんと理解して取り組む必要があります。第1段階審査の前に、内部監査を実施した際に、その観点が抜けたまま過ごしてしまったことに気がつきました。LRM松原さんからご指摘いただいた時に、答えられないことが多かったので、我々自身がしっかりと理解しながら進めることの重大さに気付いて、気持ちを入れ替えました。それ以降はしっかりと理解するよう努めたこともあり、第2段階審査を迎える頃には、全体像が把握できました。

— 認証取得の期限は決めておられたのですか。

会社の計画上、2022年中の取得を目指していました。LRM松原さんのサポートもあり、10月初旬の第2段階審査まで、危なげなく進行し、予定よりも少し早く取得できました。

— LRMとの打ち合わせは、審査を迎えるまで、毎週実施されたのですか。

打ち合わせはおおよそ隔週のペースで実施しました。マニュアルのひな形を読み合わせしながら、7月までにルール作りと、マニュアルや情報資産台帳などの文書作成を終えて、第1段階審査前の内部監査も実施しました。

–従業員教育は『セキュリオ』を使われたのですね。

はい。リモートワークを実施中でしたので、eラーニングが便利でした。

— 使われた機能はeラーニングだけですか。

主にeラーニングと法令管理を利用しました。

— ご利用になったご感想をお話しください。

ISMS認証を取得するために、従業員に対して情報セキュリティ教育を実施する必要があるのですが、どのように実施すれば良いか、見当が付きませんでしたので、非常に助かりました。特に管理者として、テストの結果を一覧で確認できるところが便利でした。審査機関に対しては、その結果をもって、全員がしっかり理解したということを客観的に示せます。

法令管理も同様です。法令担当者としても、関連法令の更新をウォッチすることは簡単ではないようでして、管理画面上で関連法令の詳細や改訂内容、履歴を確認できる『セキュリオ』は便利だと言っていました。

— 今後はどのような活用をされるご予定ですか。

まだ具体的には検討していませんが、eラーニングと法令管理以外では、社内アンケートと委託先管理（サプライチェーンセキュリティ）が気になっています。社内向けにアンケート調査を実施する機会もありますし、外部パートナーもおりますので、活用できるのではないかと考えています。

— 審査を迎えるためのサポートはおありでしたか。

内部監査自体、外部審査の予行演習のようなところがありますが、それとは別の機会を設けていただいて、実際の審査ではどのようなことが聞かれるのか、どのように対処すれば良いか、アドバイスしていただきました。おかげで安心して当日を迎えられました。

松原さんにお任せしてばかりでしたが、的確にサポートしていただいて助かりました
（左：武田様、右は弊社・松原）

— 取り組みを終えた際のご感想をお話しください。

まず、取り組み前は、情報セキュリティマネジメントシステムというものの実態が見えませんでしたが、一通り取り組んでみて理解できました。書店に行けば何冊も解説本はありますが、それを読んでもよくわからないと思っていたものが、明確に具体的なものとして把握できました。

これまでは何となく情報セキュリティに向き合ってきましたが、漠然とした不安を抱きながらも、どう対処して良いかわからないことがありました。それは結果的にストレスにもなっていました。それがクリアになったことで、業務的にも良い影響が生まれているのではないかと感じています。

— 情報セキュリティに関連する取り組みについて、今後の展望をお話しください。

今回の取り組みで情報セキュリティマネジメントシステムは確立しましたが、確立したものを適切に運用できるかどうかは、今後の取り組み次第です。まずは、1年間を通してしっかり運用する必要があります。また、PDCAを回す過程で様々な課題が出てくると思いますので、適宜、改善して向上させていきたいと考えています。

— LRMのサポートはいかがでしたか。

期待以上でした。「テンプレートを使ってやっていけば認証取得ができる」と明確にイメージができたとは言いましたが、そうは言いながらも、「蓋を開けてみたら実は……」ということが起こることは懸念していました。
しかし、結果的にはそういうこともなく、イメージ通りに進めていただきました。「説明に嘘偽りはなく、期待通りのサービスだった」ということが、期待以上でした。

— 松原さんは話しやすかったですか。

話しやすかったです。前半は何となく、任せておけば大丈夫だと思って、お任せしてしまいましたが、その中でも的確にサポートしていただいて、非常に助かりました。

— 『情報セキュリティ倶楽部』をご契約されているとのことですが、認証取得後もサポート契約を継続された理由をお話しください。

弊社内にはISMSのノウハウが全くありません。今回構築したルールを運用し続けることはできると思いますが、事業や組織が拡大する中で想定外のことが起きる可能性がありますので、その時に相談できる相手がいないと困ることも多いと思いました。ISMSやISMSクラウドセキュリティの規格に合った対応ができているかどうかの判断は素人には難しく、専門家に依頼できれば安心です。

私にとってISMSは、理解しづらく非常に手間がかかるものという印象がありました。出回っている情報はわかりにくいものばかりです。今回の取り組みを通して、LRMには、ISMSのハードルを下げるノウハウが蓄積されているような印象を持ちました。これからも、そのノウハウに基づいたアドバイスを期待しています。

アウトルックコンサルティング株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ アウトルックコンサルティング株式会社様のWEBサイト
※ 取材日時 2023年2月

株式会社TIME MACHINEは、LRMのサポートを受け、グループ会社である電源カフェ株式会社とともに2022年1月にISMSを取得し、2022年6月にプライバシーマークを取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、林大勇氏・林裕希氏にお話をお伺いしました。

お客様が抱える課題とISMS構築

• 事業におけるデータ利活用をセキュアに推進したい
• どの解像度まで対応すべきかなどゼロから教えてほしい
• グループ会社も含めて、ISMSとPマークどちらも取得したい

• ISMSとPマークで重複する箇所はまとめて対応
• 従業員が少ないため、策定したルールは都度話すことで浸透
• 従業員教育と委託先管理はセキュリオで効率化

LRMコンサルティングサービスへの感想

• 最初から最後まで密着して丁寧にサポートしてもらえた
• 一緒に手を動かして伴走してくれた
• ルールの策定における考え方や運用における要点をゼロから教えてくれた

（株式会社TIME MACHINEについて）

株式会社TIME MACHINEは、新しい時間で新しい価値をうみだすをビジョンに掲げ、ビジネスにおいて時間を作り出すテクノロジーを提供している。AIスケジュール日程調整サービス「スケコン」は、面倒な予定・日程調整が誰でも簡単に行える。複数人における日程調整でも、AIが自動で空き時間の割り出しや予定調整を行ってくれるサービスで、約5万ユーザが利用している。
お金と仕事について発信するWEBメディア「おかねチップス」では、フリーランスや副業で働く方々に向けて、お金や仕事、働き方に関する情報が楽しく学べるように設計されており、月間ページビューは25万回を記録。また、「サクサク仕事探し」という求人メディアも展開しており、クリエイティブやITスタートアップなどの求人情報が豊富に掲載されている。その他、名刺交換した相手に見積書や請求書を送付できる名刺＆請求アプリ「名刺DE請求」の開発・運営も行っている。ビジネスシーンにおける煩わしい業務を、AIやデジタル技術といったテクノロジーによって無駄を減らすことで時間を増やし、その時間によって企業がさらなる価値を創出することを支える。
設立：2019年11月。本社：東京都渋谷区。従業員数：20名。（2023年1月時点）。

---

（電源カフェ株式会社について）

電源カフェ株式会社は、充電ができる世界中のカフェやレストランを紹介する「電源カフェ」をメインに事業を展開している。働き方が多様化していく中で、自宅や会社以外のサードプレイスを探し求めるカフェワーカーが増加している。電源カフェは、リモートワークができるカフェやコワーキングスペースなどのお店を探せるオウンドメディア・ツール。日本だけではなく海外も含めて、9,500か所の充電できるまたはWi-Fiが使えるカフェやスペースを掲載しており、年間約200万ユーザが利用している。集合知とテクノロジーでノンストレス社会を実現することを目指す。
設立：2018年12月。本社：東京都渋谷区。従業員数：20名。（2023年1月時点）。

— LRMへのご依頼内容をお話しください。

株式会社TIME MACHINEは、電源カフェ株式会社とともに、2021年8月にISMS/ISO27001（以下、ISMS）の新規取得およびプライバシーマーク（以下、Pマーク）新規取得コンサルティングを依頼しました。担当コンサルタントは、三崎さんです。
2022年1月にISMSの第二段階審査を終え、その後2022年6月にPマークの現地審査を終え、無事に両認証を取得しました。

— まずは御社の事業についてお聞かせください。

株式会社TIME MACHINEは、ビジネスにおいて時間を作り出すことを目的に事業を行っています。
事業を進めていく中で、色んな業務や動作が必要になります。例えば、日程調整においても、候補日を送付したり、Web会議URLはどちらが発行するのか確認したりと様々なアクションが必要です。そういった部分を「スケコン」に任せていただくことで時間を作り出すことができます。
また、「おかねチップス」や「サクサク仕事探し」においては、採用やPRなどのページ作成は、取材から記事執筆まで弊社ですべて対応しています。使い方を覚えたり、記事を作成したりといったお客様の動作をできるだけ簡略化することで、商談やカスタマーサクセス対応などに取り組む時間を作っていただくことができます。
AIやソリューションによって、お客様の時間を作るというのが各事業のコンセプトです。

— 御社のツールや御社が業務を代行してくれることで企業は他の業務に時間があてられるようになるということでしょうか。

ITによって時間をショートカットして業務を効率化するソリューションの提供は行っていきたいと思っています。
一方で、ツールやメディアを横断して、ビジネスパーソンの方々の職歴や実績が連携されるような世界観を目指しています。
ビジネスマッチングにおいては、自身の職歴や実績について自己申告のケースが少なくありません。ただ、自己申告では、本当の実績が見えない側面もあります。そういった暗黙知を可視化していきたいと考えています。
サービスに蓄積されたデータをつなぎ合わせて、その人の輪郭を明らかにしていくことで、暗黙知であったところが共有化されていき、精度の高いPRや採用に繋がっていくと考えています。

— 電源カフェ様の事業内容についてもお聞かせください。

電源カフェにおいても時間を作るという大きなコンセプトは同じです。
電源カフェは、充電ができるまたはWi-Fiが使えるカフェやコワーキングスペース、レストランなどの場所をナビゲーションするアプリおよびWebサイトです。
ノマドワーキングやコワーキングという概念が2010年くらいから浸透しはじめ、自宅やオフィス以外で仕事をするケースが増えてきました。また、現在フリーランスの方も増加しており、2021年の段階で1,500万人ほどといわれ、4人に1人がフリーランスとして働いています。フリーランスの方はカフェなど、外で働くことも少なくありません。
そういった方に電源カフェを使ってもらうことで、ワークスペースとして利用できる場所が瞬時に分かり、探すための移動時間などを短縮していただくことが出来ます。
また、旅行の際には調べものをしたり写真を撮ったりすることで充電が必要になることが多いです。そのため、観光協会と連携を取りつつ、観光地周辺の充電できる飲食店の紹介なども行っています。
さらに、海外にいる日本人に向けて、香港やマレーシア、フィリピンなどの充電が可能なカフェも掲載しています。

— 今回の認証取得の背景についてお聞かせください。

動機としては2つあります。

（1）取引の際のセキュリティチェックを効率化したい
スケコンの商談を進めていく過程で、ある大企業様から導入に際して情報セキュリティに関するチェックが入りました。そのチェックシートはExcelで入力する形式だったのですが、ISMSやPマークを取得していますかという質問から始まり、その時点ではもちろん取得していなかったので「いいえ」を選択すると、その先の設問がかなり長くありました。例えば、どういうサーバの管理をしているのか、個人情報にアクセスできるのは誰かなどが含まれており、未経験のことだったので設問の長さに非常に驚きました。ISMSやPマークを取得していますかという質問に対して「はい」を選択できていれば、それだけでOKだったのに対して、対応にかなり時間がかかってしまいました。
調べていく中で、大企業と取引する際にはこのようなセキュリティチェックは基本中の基本ということが分かりました。そのため、セキュリティに対してしっかり取り組んでいる企業であると端的に証明する必要性を感じました。

（2）今後の事業ロードマップを考慮した際に、個人情報の管理が必要不可欠だった
前職でPマーク運用に少し関わっていた経験から、個人情報保護の取り組みはいずれやらなければならないと感じていました。また、現在提供しているサービスで個人情報を取り扱っているから対応の必要があるのはもちろんですし、今後の事業ロードマップにおいて、テクノロジーによってビジネスパーソンの実像をあらわにするサービスも思い描いています。生年月日や職歴、能力、誰とどんな話をしたのかなどセンシティブな情報をさらに保有していくことになると思うので、個人情報の取り扱いについてガードをしないという選択肢はありませんでした。

— ISMSとPマークを同時に取得された理由はございますか。

先述した通り、個人情報の保護については、やがてやらなければならないと考えていました。今回は、まさにそのタイミングが来たと感じました。また、TIME MACHINEを母体として上場を見据えているので、さらに社会的責任が求められていくと思います。そういった責任をしっかり果たしていく上での証明が必要でした。そのため、今回ISMSとPマークを取得するに至りました。LRMさんでISMSとPマークを同時に取得すると少しお得にしていただけたので、そこも結果的には良かったかなと思います。

— TIME MACHINE様と電源カフェ様2社での取得は最初から決められていましたか。

2社でオフィスも同じですし、人材も行き来しているので、自然と同時に取ろうという流れがありました。
電源カフェで会員登録制を導入することになり、これから個人情報を取り扱っていく機会が増えると思います。
そういった変化も、2社での取得に繋がっています。TIME MACHINEとして受けた情報セキュリティチェックが、ISMSやPマークを取得していなかったことで対応に2～3週間かかってしまい本当に大変でした。今後事業を拡大していく上で同じようなケースもあると思い、電源カフェもあわせて取得することを決めました。

— 認証取得以前の従業員の方のセキュリティ意識はいかがでしたか。

率直にいうと、最低限しかなかったと思います。
前職でコーポレートに所属していた際に、セキュリティ部分も担当していたため、セキュリティへの意識は多少ありました。ただ、認証取得前の弊社においては、みんなの手を止めてまで、セキュリティ対策をやっていこうと呼びかけるフェーズにはなっていなかったです。
ルールとしても、利用規約やプライバシーポリシーという最低限のものはありました。しかし、それらがあることに意味があるだろうという認識でした。本来であれば、パソコンやデータの扱い方など細かいルールまで制度化されていることによって、トラブルが起きたときに問題解決の時間を短縮できたり、責任所在がどこか分かったり、どこに対して改善をしていけばいいのかが分かります。ただ、そういったメカニズムまでは整備ができていませんでした。

— 今回のお取り組みメンバーについてお聞かせください。

TIME MACHINE代表取締役社長である石澤と、電源カフェ代表取締役の林(大勇)と、バックオフィス全般を担当する林(裕希)の3名で主に取り組みました。

林(大勇)は前職で人材派遣会社の人事を担当していました。また、内部統制なども担当しており、契約書や社内ワークフローの確認、Pマーク運用の補助などを行っていました。Pマークについては、運用担当者は別にいて、その担当者がきちんと対応しているかをチェックするような役割でした。実作業を担当するというよりは、何かお手伝いできることはありますかとお声がけをして、作業の一部を補助するイメージです。

また、林(裕希)は情報セキュリティに関する認証取得の経験はありませんでした。LRMにサポートをしてもらえるとはいえ、1回目で審査にきちんと通ることができるのかは不安でした。ただ、最初のLRMさんとの打合せで小さい不安や気になるところを確認させていただいて、認証は何度か改善の指摘をもらいながらやりとりをしていく中で取っていけるものだと分かりました。LRM三崎さんに大丈夫と言っていただけたことで緊張感がやわらぎました。

— 認証取得前にご不安に感じられていたことはございますか。

指摘がすごく出てしまうのではないかなと不安でした。
データをどこにおくか、権限をどうするかなどは何となくでしか意識ができていなかったので、認証に必要なレベルに本当に到達できるのか漠然とした不安がありました。

— コンサル会社に支援を依頼するにあたって求めていた事項はございますか。

どれだけ頼らせてもらえるかを重要視していました。
ISMSとPマークについて、概要は知っていましたし、ルールを策定したり台帳を作成するという大まかな流れは分かっていました。ただ、実際に対応していく上で、参考になるものはあるのか、どの解像度まで突き詰めていくべきなのかはミステリーでした。そのため、ゼロからご指導いただけるかどうかを大切にしていました。
また、プロダクトをエンタープライズに導入いただきたかったので、大企業様とこれから商談を行っていく上で同じ轍は二度と踏まないように、できるだけ早く取得したいと思っていました。

— コンサル会社はいくつか比較されましたか。

LRMさんともう1社お話を伺いました。弊社・石澤と、LRMさんのCEO幸松さんが知り合いだったこともあり、初めからある程度LRMさんかなという意識はありました。ただ、他の会社さんのお話もお伺いしたいと思い、各社のお話をお伺いして、評判を知人に聞いたりした上でLRMさんを選びました。結果として、LRM三崎さんが最初から最後まで密着して丁寧にサポートしてくださったので非常に良かったです。フォーマットを渡して後は知りませんというスタンスではなく、一緒に手を動かして伴走いただけました。認証取得前に不安に感じていたところをしっかりカバーしていただけたと思います。

— お取り組み全体を振り返ってみていかがでしょうか。

課題に感じていた他社からの情報セキュリティチェックへの対応と個人情報保護体制の構築についてはある程度達成できたと思います。
営業上の影響としては、ISMSやPマークを取得したことで商談の時点でセキュリティをアピ―ルできるようになりました。現時点では、セキュリティチェックシートへ回答するような案件はまだ発生していないのですが、初めに認証取得をお伝えしていることでお客様の安心感に繋がっていると思います。
社内の管理体制としては、上場という目標がある上で、お客様の情報をきちんとお預かりしていますと客観的に証明できるようになったことは成果のひとつです。若い会社だからこそ、認証によって対外的にセキュリティ基準を示すことで、お客様からの信頼獲得に繋がると思います。
また、こういった社内整備は、組織が膨張した後にやると統制が取れないと思います。一部のメンバーだけが理解をしていて、他のメンバーは「Ｐマークって何ですか？」となってしまうこともあると思います。メンバーが少ない段階からISMSやPマークを導入し、コアメンバーが徹底して意識をもって行動することで、のちの新入社員がセキュリティルールを文化として受け取り、教育をそれほどしなくても自然とルールが浸透していくようになると思います。今回はその土台作りができました。

— 認証取得によって従業員の方の意識の変化はございますか。

開発業務において、セキュリティについての議論が行われることが習慣化してきました。開発業務における議論はエンジニアだけではなく、非エンジニアも参加します。専門的知識の有無に関わらずセキュリティという観点がトピックにでるようになり、それらを考慮した実装が行われるようになったのは良い変化だと思っています。
また、業務委託の方に対しても、セキュリティアンケートを実施した上で業務に取り組んでいただくようになりました。業務委託の方の中にはフリーランスとして働いている方もいらっしゃり、セキュリティへの意識は人によってまちまちです。一緒に仕事をしていただけるとなった際に、弊社のセキュリティ基準について理解してもらうことが、セキュリティ意識向上のきっかけになればいいなと思います。また、それが波及して社会全体に広がっていくひとつのポイントになりたいと考えています。

— グループ2社でのお取り組みでしたが、お打合せはどのように進められましたか。

お打合せはすべてWeb会議で進めました。弊社ではもともとリモートワークも導入しているので、特段ストレスもなくスムーズに進められたと思います。

— ISMSとPマークを同時に取得されていますが、どのようにルールを構築されたのですか。

ISMSの審査日程の方が先だったので、まずはISMS認証に準拠した体制構築から進めました。ISMSと比べると、Pマークは個人情報の保護に特化しているので、ISMSよりも掘り下げた状況確認が必要な部分もあります。ただ、情報セキュリティの大きな枠組みとしては被っているところもあるので、完全に分離して検討や準備をしていたわけではありません。実際にISMSの審査の後、すぐにPマークの申請手続きを行うことができました。

— ISMSとPマークで違いを感じられた点はございましたか。

Pマークは、個人情報の保護にフォーカスされている印象があります。一方で、ISMSは扱うデータ全般が対象です。
社内の従業員のデータだけではなくて、プロダクトのログや開発業務におけるデータについてもどこで管理されているかを問われます。似ているようで、カバーしている範囲が違うと感じました。

あとは、ISMSの審査では、自分たちの決めたルールに則って運用がされているかを確認されます。こうしていたら正解というよりも、こういう手順でやるとルール上決まっているけれど本当にその通り運用されているか、を細かく見られます。
開発業務においても、自社だけではなく委託先における管理方法も把握しているかなど、広い範囲で確認されました。

— ルール構築の際に苦労されたところはございますか。

従業員もまだまだ少なかったですし、もともとルールがしっかり決まっていたわけではなかったので、既存のものとハレーションが起きることはなかったです。ファイルの置き所をきっちり決めよう、試験を突破しようなど、新しく決めて対応していくことばかりだったので、ひとつひとつ取り組んでいきました。

— お取り組み全体を通じて、最も大変だったところはございますか。

大変なことはあったような気はするのですが、数か月で集中して一気に認証取得まで取り組んだので、ちょっと忘れているところはあるかもしれないです。笑
あえて挙げるとしたら、管理すべき情報の洗い出しをして、何に分類されるかというリストアップをするところは時間がかかったかなと思います。リストは、ISMSとPマークで分けずに同じシートで作成しました。基本的には重複する内容が多いのですが、Pマークの方で一部項目を細かく記載する必要があったので、そこは時間をかけて取り組みました。
文書については、LRMさんからひな形をいただいて、それをもとにLRM三崎さんとカスタマイズをしていけばいいだけでした。ただ、情報のリストアップは社内の情報をまとめるので、自社で対応する部分が大きかったです。

— 業務に負荷がかかるようなルールはございますか。

ISMSは情報を管理していく上で、開発業務など社内全体の業務において理解しなければなりません。そのため、ルールというより管理の面で今後大変になってくるのではないかと感じています。先日2回目のISMSの維持審査を受けましたが、初回審査よりも細かいところまで確認された印象があります。開発する際の検証環境と本番環境の管理の仕組みなど、バックオフィスでは把握しきれないような部分についても審査で聞かれるようになったので、開発業務を行っている方にも管理をサポートしてもらう必要があると思っています。

— ルールを周知していく際に社内で反発などはございましたか。

いまは特にないです。これから人数が増えていくことで、周知を強化していく必要はあるかなと思っています。
ただ、現状は人数も少ないので、ルールを作成した際も都度話すことで浸透させていきました。

— 従業員教育はどのように実施されましたか。

情報セキュリティ教育クラウド「セキュリオ」のeラーニング機能を使わせていただきました。従業員にもスムーズに受講してもらえましたし、教材を配信する際も操作が分かりやすく、使いやすかったです。

また、委託先へセキュリティ状況をお伺いするアンケート送付などを含めた委託先管理もセキュリオで行っています。委託先についてきちんと取りまとめるのは今回の認証取得がきっかけになりました。セキュリオで委託先へアンケートをお送りした際も、委託先から質問が来るということもなく、スムーズに対応していただけました。

— 内部監査はLRMが代行しましたがいかがでしたか。

丁寧に細かく教えてくださったので助かりました。また、今後は自分たちで内部監査を実施していこうと考えていたので、どのように監査をしているかをLRM三崎さんから学ばせていただきました。実際に、ISMSの2回目の審査に向けた内部監査は自社で対応しました。

— 審査を受けてみたご感想をお話しください。

ISMSの審査機関は、LRMさんから二つ候補をいただきました。費用面やどれくらいで審査していただけるかなどを検討して、BSIさんを選びました。BSIさんに審査スケジュールの調整にご尽力いただけたおかげで、想定よりも早く審査を受けることができました。

初回のISMS審査を受けた感想としては、意外とスムーズに取れたと感じています。LRMさんにこうすれば大丈夫という点を教えていただいた上で、資料も抜け漏れが無いよう全部チェックしていただいてから審査を受けられたのが良かったと思います。また、審査員の方にも優しく、フラットに対応していただけました。審査という響きだけ聞くと、減点制であり非常に厳しいというイメージがありました。もちろん、確認すべき点はしっかり確認していただきましたが、「こうやった方がいいかもしれない」「こういう考え方だといいかもしれない」などアドバイスを頂けたのが非常にありがたかったです。指摘事項としても大きなものはありませんでした。

— ISMSとPマークの審査で違いはございましたか。

ISMSに比べてPマークの方が、さらに詳細なところまで確認がおよび、緊張感があった印象です。ただ、答えられない質問があったわけではないですし、審査員の方にも理路整然とご説明いただいたので納得できない指摘などはありませんでした。

— LRMのサポートについていかがでしたか。

2年間ほどサポートしていただき、感謝しかありません。フォーマットをご提供いただけたことはもちろん、ルールの策定における考え方や運用における要点をゼロから教えていただきました。また、ここはこういった指摘がされる可能性があるので、こういう対応をしましょうというような攻略法も手取り足取り教えていただきました。一度では理解が難しい箇所も何度も教えていただき、手厚く支援してくださったのが心強かったです。

企業規模の変化や事業の展開を迎えるにあたり、情報のボリュームが増えるだけではなく、また違った観点のイシューが出てくると思います。フェーズごとにプロの方にご相談できればと思いますし、相談するならLRMさんだと感じています。

— 今後もLRMさんとのお付き合いは検討されていますか。

運用支援サービス「情報セキュリティ倶楽部」と、情報セキュリティ教育クラウド「セキュリオ」を利用させていただきたいと思っています。
情報セキュリティ倶楽部については、審査対応に関してLRMさんにご相談させていただきたいです。また、情報セキュリティの管理は、今セキュリオで管理しているものを自分たちのシートですべて管理するのは難しい側面もあるので、引き続きセキュリオでやりたいと思っています。

— 今後の展望や課題についてお話しください。

今後、事業の推進と比例して、取り扱うデータの量と重要度が上がっていきます。そういった変化を迎えた時に、今回策定したルールが形骸化されて、ただ存在しているだけになってしまうのではなく、しっかりと実行されるために、運用改善や教育をしていく必要があります。内部の人間だけではなく、外部の協力者についても、情報セキュリティの観点を織り交ぜた上での業務の執行を習慣化させていくのが次の課題だと思います。

また、認証取得の際は、LRMさんのお力を借りつつ、事務局から対応方針を現場に示して対応してもらっていました。仮に我々がいなくなったとしても、組織が当然のように情報セキュリティの意識を持って業務を執行していける仕組みを作っていくことがミッションだと感じています。

株式会社TIME MACHINE様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社TIME MACHINE様のWEBサイト
※ 電源カフェ株式会社様のWEBサイト
※ 取材日時 2023年1月

※2023年5⽉1日に株式会社Empathは、「株式会社Poetics」へと社名が変更になりました。また、それに伴い下地様は転籍されており、2023年5月1日より株式会社Poetics（旧Empath）の代表取締役は山崎はずむ様のみに変更されております。

株式会社Poeticsは、LRMのサポートを受け、2022年6月にISMS/ISO27001認証を取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、下地 貴明氏・中西 美鈴氏・飯田 瞬太氏のお三方にお話をお伺いしました。

お客様が抱える課題とISMS構築

• 新サービスローンチに合わせて、営業機会を損失しないために認証を取得したい
• 個人情報に該当しない営業ノウハウなども含めて体系的に管理したい
• すでに取得したPマークが形骸化している面もあるので、きちんと運用できる仕組みにしたい

• 実際の業務に沿って運用ベースでルールを検討
• ルールを煩雑にしないように、自分たちができる・守れる範囲で策定
• 『セキュリオ』と『メールZipper』というツールを導入することで社員に負担をかけずにセキュリティ対策

LRMコンサルティングサービスへの感想

• 対応をすべきことの優先づけから、ゴールまで明確にしてもらえた
• 「この時までに、この程度やっておけば大丈夫」というような実務に沿ったアドバイスをもらえた
• コンサルタントの変更があったものの、スムーズに認証取得ができた

（株式会社Poeticsについて）

株式会社Poeticsは「人文知と科学で21世紀の詩学をつくる」をテーマに、人文知（とりわけ哲学、文学研究の知見）と諸科学の知見をクロスオーバーさせながら言語・音声などコミュニケーションに関わるAIを開発するスタートアップ。2022年6月からは商談解析AI「JamRoll」（ https://jamroll.poetics-ai.com/）を提供開始、月次売上平均成長率が27.5 %を超えるなど、急成長している。
これまで国内ではB-Dash Campのピッチコンテストにて優勝、IVS Launchpadにて入賞、国内のみならずTech in Asia Singapore、ICTSpringなど国際的なピッチコンテストでも10度以上優勝しているほか、Google Launchpad Accelerator日本第一期生として採択されている。また経済産業省が主導する「J-Startup」プログラムにも選抜されている。
設立：2017年10月。本社：東京都渋谷区。従業員数：15名。（2022年10月時点）。

— LRMへのご依頼内容をお話しください。

株式会社Poeticsは、2021年12月にISMS/ISO27001（以下、ISMS）認証の新規取得コンサルティングを依頼しました。担当コンサルタントは、増元さんです。2022年5月に第二段階審査を終え、2022年6月に認証を取得しました。

— まずは御社の事業についてお聞かせください。

Poeticsは、言語・音声などコミュニケーションに関わるAIを開発するスタートアップでして、SaaS型Web会議支援システム「JamRoll」を提供しています。「JamRoll」は、特に、オンラインセールスの営業チームの育成などに活用されています。マネージャーの方が非同期に指導できるため、ロープレが不要になります。今までは、打ち合わせに同席をしてフィードバックをしてということで90分程度を要していたけれど、15分くらいで録画を見て指導ができるようになったというお声もいただいています。

— ISMS認証取得の経緯をお話しください。

SaaS型Web会議支援システム「JamRoll」を立ち上げたので、できる限り営業機会を損失しないために、社内体制を整えていく上で、ISMS認証を取得することに決めました。
「JamRoll」は、会議データなど、秘匿性の高い情報をレコーディングするサービスです。秘匿性の高いデータの取り扱いがきちんとされていないと、お客様も不安を抱かれることもあると思いますし、社内の状況やクラウドでの保管ルールなどを定めていく必要があると考えました。

— 今回のお取り組み体制をお話しください。

主に下記5名でルールや資料作成などに取り組みました。

• 下地様：Co-CEO。営業の統括も担当。
• 中西様：経理・総務などを担当。
• 飯田様：開発業務などシステム関連業務を担当。
• 神様：全体的な資料作成のサポートを担当。
• 山内様：過去のISMS取得経験からのアドバイス

— 皆様は、情報セキュリティの第三者認証取得のご経験はございましたか。

会社としては、プライバシーマーク（以下、Pマーク）は取得済みでした。ただ、Pマーク取得の担当者は、別の総務担当とシステム担当の2名が務めていました。ISMS認証を取得するタイミングで、中西や飯田に情報セキュリティ業務が引き継がれました。ISMS認証を取得した後、今まさにPマーク更新対応を行っていますが、ISMSに関する知識や経験を活かせているので、Pマークへの理解や資料作成などスムーズに対応できています。

— Pマークもすでにお持ちだったとのことですが、なぜISMS認証も取得されたのでしょうか。

Pマークは個人情報に関する情報セキュリティの第三者認証です。自社のセキュリティレベルの引き上げを考えたときに、情報資産全般を対象としたISMSについても、体系的に対応しておく必要があると判断しました。
会議データには、もちろん個人情報も含まれますが、個人情報には該当しないが社内ノウハウといった重要な情報資産もあります。また、Poeticsとしてもプロダクトのソースコードの管理なども重要です。個人情報だけではない情報資産全体の管理について、いつかはやりたいと前から思っていたところを、今回SaaS事業立ち上げにあわせて、スピードを上げて対応しました。

— ISMS認証取得前の従業員の方のセキュリティ意識は高かったですか。

Pマークに関するルールが少し形骸化しつつあった箇所もあるので、今回ISMS認証を取得したことで、あらためて気を引き締めるきっかけになったかなと思っています。
また、例えば名刺については、それぞれが持っているような状況で、名刺そのものが情報資産という意識がある人とない人がいるというような状況がありました。これは情報資産だよと言われたら気づけますが、日常業務において、これが情報資産かどうかを考えることはあまり多くは無いと思います。メールひとつとってもそうです。
今回の取り組み作業中に大規模なUSB紛失事故のニュースもありましたので、あらためてひとつひとつの情報資産を管理するという情報セキュリティの重要性を痛感しました。従業員にとっても、今回ISMS認証を取得したことで、「これってダメかも」と気づくことができるきっかけになったと思います。

— お三方は、ISMSに対して、取得前はどのような印象をお持ちでしたか。

Pマークを取得・運用していたので、ISMSもPマークのようなものを想定していていました。Pマークは、どうしても社内の業務とルールに距離があるように感じていて、大変であるという印象がありました。ただ、今回ISMS認証取得の取り組みをしてみて、LRMさんにもずっと言っていただいていたのですが、ISMSは実際の運用に合わせてルールを決めていくべきというスタンスが良かったです。実際の業務に沿っているから、従業員も日々の業務の中でセキュリティについて意識できている側面があると思います。また、マネジメントシステムの運用ルールについても、LRMさんにアドバイスいただきながら、しっかりと作成することができました。

— 飯田様と中西様は認証取得のお取り組みは初めてとのことでしたが、ご不安に感じられることはございましたか。

資料作成が大変だろうなという点が一番の不安材料でした。後は、取得前は書類が散らばっていることもあったので、何とかしなければいけないと思っていました。笑
ISMS認証取得は情報セキュリティ業務の他にも業務を行いながら取り組みましたが、LRMさんに「この時までに、この程度やっておけば大丈夫」というような実務に沿ったアドバイスをいただけたのが非常に良かったです。取得して終わりではなくて、その後も継続していくことが重要なので、自分たちのできる範囲で運用していける仕組み作りができたのが良かったです。

飯田は、当時入社して間もない時期で、情シス業務を引き継いだばかりの頃でした。自社の業務についても100％理解できていない中で、運用を変えるとなると本当に大丈夫なのかという不安はありました。情報セキュリティ認証を取得するのも初めてだったので、何をすればいいのか分からないことも多く、砂漠にひとり連れていかれたような感覚でした。ただ、取り組みを進める中で、ここはセキュリティの観点から守るべき・ここは運用を重視してもいいなど、バランスの取り方が分かっていきました。

— 何をすればいいのか分からなかったというお話もありましたが、コンサル会社との商談は何社かされたのですか。

そうですね。LRMさんの他にも2社お話をお伺いしました。
1社が個人事業主の方で、もう1社は、Pマーク取得の際にご支援いただいたコンサル会社でした。ただ、どちらもコンサルタントが1名しかいない状況でしたので、指導が属人的になってしまうのではないかという不安があり、自由度が低いのではないかという印象がありました。

LRMさんは、所属しているコンサルタント数も多いですし、スタートアップや小規模の事業者様の実績が多数ありました。また、取得企業の運用の仕方にあわせて、できるだけ簡便なセキュリティマニュアルが用意されており、これだったらできるのではないかという期待が持てました。

— お取り組み全体を振り返られていかがでしたか。

かなり想定を上回って達成できたことが多かったと感じています。当初は、認証を取得するが目標だったのですが、ISMSの取り組みによって、社内の中でセキュリティについて考えるきっかけにできたことが良かったと思っています。認証取得だけで終わってしまうのではなくて、セキュリティ意識やルールが浸透していく予感が持てたことは成果だと考えています。

— セキュリティ意識やルールが浸透していく予感が持てたということですが、取り組まれたお三方にも意識の変化などはございましたか。

初回のお打ち合わせから3～4回までは、「ISMSとはなんぞや」という授業を聞いているような感じだったので、頭に入るだろうかと不安はありました。ただ、実作業に入ってからエンジンがかかりました。LRMさんには、対応をすべきことの優先づけから、ゴールまで明確にしていただきました。自分たちだけではここまでたどり着けなかったと思うので、LRMさんに寄り添ってご支援いただけて本当に良かったと思っています。

また、社内の従業員の意識もずいぶん変わったというのはもちろんですが、何よりも私たち担当者の意識も変わったと思っています。自分自身が理解できていないことを社内に伝えるのは難しいことです。情報セキュリティは、まずは自分が理解して、なぜ大事なのかを周りに伝え、永続的に実行していく必要があります。それは、かなり労力がいりますし、周りの理解が得られないと継続が難しいことです。セキュリティで最初に重要な「こういうことを気を付けないとこういった危ない目に合うんだよね」という自分の理解の部分を、今回の認証取得の作業を通して実施できたのはとても良かったです。

— 取り組みを進める中で、バランスの取り方が分かってきたというお話もありましたが、そういった点も自身の理解が深まったから分かってきたということでしょうか。

そうですね。本当に砂漠の真ん中に立っていたところから、何をすればいいのかをコンサルタントなしに見極めていくのは難しかったと思います。また、最初はただただ取り組みが進んでいくのについていくだけという感覚でしたが、途中から「こうすればいい」という形が見えてきました。

以前は、セキュリティは堅苦しいイメージがありました。しかし、LRM増元さんにいろいろ教えてもらう中で、セキュリティはマネジメントしていくことが大事と気づくことができました。ISMSは、運用ベースでやり方をいろいろと考えることができます。従業員にこのサービスを利用したいと提案された時に、そのサービス自体のセキュリティがどうかばかりに気を取られて業務を止めてしまうのではなくて、そのサービスを業務で利用するためにはどのように運用していくのが適切なのかを考えるというスタンスを持てるようになったのは大きな気づきです。

— 認証取得の期限などはございましたか。

「JamRoll」のローンチに合わせて、2022年の6月までには認証を取得したいとお伝えしていて、それが叶った形です。お取り組みの中で、特段大きな遅れもなく、スムーズに進めることができました。

— 認証取得されてみて社内外の変化はございましたか。

繰り返しにはなりますが、従業員の意識が変わったと思います。
ISMS認証取得の取り組みが始まってから、インシデントが発生したこともありますが、きちんと社内で報告があがってきて、対処法をみんなで検討し対応できたということも、ISMS認証取得の取り組みの成果のひとつだと思います。

また、社外とのやりとりにおいては、お取引の際にセキュリティチェックシートを記入することがあるのですが、その際に、ISMS認証を取得していると記入箇所が少なくなることがあるので、工数削減に繋がっています。

— 御社はPマークもすでにお持ちですが、ISMS構築の際に影響はございましたか。

あまりなかったと思います。Pマークのルールを全く無視したわけではないですが、先にISMSのルールを作成して、その後Pマークのルールと照らし合わせて調整しました。そもそもISMSとPマークで重なる部分も多いですし、大きく分離することもありませんでした。

Pマークの運用に関しては、うまく回っていない箇所もありました。ISMSのスタンスとして、運用できないのであればルールとして意味がないよね、だったら運用できるルールを決めるべきだよねということがあったので、まずはそのスタンスに則ってルールを再整備して、その後にPマークの要求事項にルールを落とし込んでいく流れを選択しました。

— ルール策定での軸や重視されていたポイントなどはございますか。

ISMSの管理面では、とにかく煩雑にしない、細かくしすぎないという点を大切にしていました。
例えば、経理書類・人事書類などは、ひとつひとつ書き出すと非常に細かく、量が膨大になりすぎて、管理が難しくなってしまいます。LRMさんから、「細かく記載しすぎると、実運用が回らなくなってしまうから、管理しやすいようにここはまとめてもいい」などアドバイスを頂けたので、想定していたよりは簡略化して作成できましたし、これだったら運用できるかもという感覚を持つことができました。

それを軸に、自分たちも細かくなりすぎないように、自分たちができる・守れる範囲でルールを策定するよう心掛けました。それはルール策定だけではなく、運用においても同様で、全部細かくチェックはできなくとも、この範囲であれば対応できるというラインを意識しつつ運用しています。

— 細かくしすぎないというポイントがある一方で、業務が煩雑になるようなルールはございませんか。

業務が煩雑になるようなルールはないと思います。それよりも、やり方であったりフォーマットであったり、今まで分散していたものが統一できたという印象です。情報セキュリティマニュアル等で統一されたことで、こういう時どうすればいいかが明文化されたので、動きやすくなったと思います。また、管理者としても、いまどうすればいいかを考えやすくなりました。

— 今回のお取り組みで、新しく導入されたツールはございますか。

以下の2つのツールを導入しました。

• 情報セキュリティ教育クラウド『セキュリオ』：社内教育用にeラーニング機能や安否確認機能を主に利用
• 「メールZipper」：添付ファイルのWebダウンロード形式への変換や自動暗号化が可能

社員のやることを増やさずに、セキュリティの運用を改善できることがあると思っています。
例えば、添付ファイルつきでメールを送る時に、パスワード付きで送るのかそれ自体も議論があると思いますし、担当以外の人もそういったことを考えなければならないとなると工数が余計にかかってしまう事態を招きます。
今回ツールを導入したことで、社員には負担をかけずにセキュリティ対策ができたかなと思っています。

— 新しくツールを導入されて、社員の方から反発などはございましたか。

特にありません。『セキュリオ』には、社内教育に利用できるeラーニング機能や、安否確認機能など、セットとしてセキュリティに関するさまざまな機能が揃っています。入社時にやることとして、セキュリティ面は『セキュリオ』という風に簡潔しているので、社員も戸惑わずに対応できていると思います。

— 『セキュリオ』の使い心地はいかがでしょうか。

『セキュリオ』のeラーニング機能を利用して、従業員全員に情報セキュリティ教材を受講してもらいました。
最初の教材配信の設定は一瞬戸惑いましたが、受講した皆さんは戸惑いもなかったと思います。実際に、ほとんどの人が期限内に受けていますし、一部遅れていた人はいましたが、リマインド機能を利用して、審査までには皆さんに受講いただけました。特段使いにくさは感じませんでした。

— 運用してみてから、ルールを変更した箇所などはございましたか。

運用後に変更した箇所は無かったと思います。どちらかというと、運用し始める前に、このルールは社員にとって、面倒くさくないか、きちんと対応してもらえるかをしっかり検討しました。これだとやらなさそうだからアナログにしよう、これだと面倒くさそうだからデジタルにしようなど、ひとつひとつ検討していきました。

セキュリティのルールを決めたとして、最初は守られていても本業をおこなう中で、段々と守られなくなってしまう側面があると思います。セキュリティは実担当者でないとどうしても意識がしづらいです。自分ひとりだったら守らなくてもいいかという油断もあると思います。ただそういった油断が、会社全体のセキュリティ意識が薄れるきっかけになってしまいます。つねにセキュリティを意識してもらうためには、こちらから呼びかけ続ける必要もありますし、みんながやってくれる想像がつくルールであることが重要だと考えます。
例えば、入室記録の紙を置いておいても、やっぱり書いていないという状況がありました。それに対して、タッチするだけなら対応してくれるか、カレンダーに記入する方がやりやすいかなどを議論して、これであればやってくれそうというルールを決めて、それについては私たちがしっかり広めていくという方法をとりました。

— みんながやってくれる想像がつくルールを決めたということですが、従業員へのルールの浸透はスムーズでしたか。

これからだと思っています。
まだISMS認証を取得して間もないですし、私たちが気を緩めたら、会社全体の意識も薄れていってしまうと感じています。まずは私たち3人がしっかり言い続けていくことが、今は一番大事だと思います。社内教育も実施してはいるものの、完全に理解できている人は少ないと思います。今後もただテストを受けてもらうだけではなくて、しっかりと教育をする期間も設けたいです。

— ご担当者のお三方は、セキュリティ業務と本業との兼ね合いはいかがですか。

大変は大変でしたが、書類整理などの属人的でない作業は、社内の方にサポートしていただいたり、自分で抱え込まないように分散して対応していくことができました。3人でも持ち場を棲み分けできていたので、自分の詳しいところを対応すればいい状況でした。

ISMSの取り組みは、記録や文書作成などの実作業をやりながらも、整理整頓のイメージに近かったです。
本業として、いずれ対応したいなと思っていたところを、今回の取り組みをきっかけに整理することで、本業が効率よくなる部分もありました。
例えば、委託先リストを作成する際に、誰がどんなツールを使っているかを洗い出しました。以前は、経理業務で確認している際に金額があがったツールに対して、担当者が不明瞭で確認作業に時間がかかることがありましたが、今回整理したことでスムーズに確認できるようになりました。社内の状況が見える化されることで、今後の対応の検討がしやすくなりました。

— セキュリティ業務はまったく本業と関係ない訳ではなくて、セキュリティ業務をおこなうことで本業が効率化した側面もあったということでしょうか。

いずれできていなきゃいけないですとか、理想としては管理されているべきだなという箇所はあったものの、誰にお願いされている訳でもないという状況からのスタートでした。
ISMS取得を皮切りに、いずれやらなきゃいけなかった本業を後ろ倒しにすることなく取り組めたのは非常に良かったと思います。
各営業が情報を腹がかえしてしまっていたり、共有はしているものの共有ルールが無かったりという状況だったところを、情報資産管理台帳を作成することで、整備の仕方が見えてきました。どこにどういう情報があるかを理解できるいい機会になったと思います。

— 内部監査は、LRMコンサルタントが担当させていただきましたがいかがでしたか。

まずは、私たち事務局への内部監査を実施してから第一段階審査を受けて、その後、現場への内部監査を実施してから第二段階審査を受けるという流れでした。初回の事務局への内部監査は、その後に控えていた第一段階審査を考えると、本当にこれで大丈夫かと疑心暗鬼になってしまうほど、シンプルな印象でした。
7～8年前にはなりますが、知人のISMS取得企業が「ISMSはめちゃくちゃ大変だよ」と話していたので、審査も重箱の隅をつつくような細かいところまで聞かれるイメージを持っていました。そのため、全方位どこを聞かれてもきちんと答えられるように守備を固めなくてはとかなり力んでいました。しかし、実際に審査を受けてみると案外シンプルでしたし、2回目の内部監査は安心して受けることができました。

— 外部審査を受けたご感想をお話しください。

事前に内部監査などで、審査員に質問された際の対策やアドバイスを頂けたのが非常に良かったです。
指摘されたことを怖がる必要はないし、こういう理由で我々はこうしていますと説明できれば必ずしも審査員の指摘に従う必要はないということを増元さんに教えていただきました。審査の中で、審査員の方に指摘されるとうっかり謝ってしまいそうになる局面があったりするのですが、落ち着いて事情を説明することができました。

また今回、審査員の方とやりとりをしていく中で、指摘が来るかもしれないと思った箇所がありました。その箇所に対して、こちらから「ここは課題を感じていて、こういうことを進めている最中です」とお伝えすると、課題と捉えて対応中であれば問題ないですと審査員の方にすごく納得していただきました。改めて、LRMさんに事前にアドバイスを頂いておいて良かったと感じました。

— 審査は想定していたよりも、シンプルだったとのことですが、納得のできない指摘などはございませんでしたか。

特段ありませんでした。審査員の方もマイルドな方でした。指摘事項はありましたが、すぐに対応できるものだけだったので、特段大慌てして対応することもなく、スムーズに認証を取得できました。

— LRMのサポートへのご感想をお話しください。

セキュリティへの考え方が、コンサルティングを受ける前と受けた後で変わったことが嬉しかったです。
また、セキュリティに関する考えを社内の従業員に発信していこうという姿勢をもたらしてくれたということが、会社のトップマネジメントとしても非常にありがたく、いいきっかけを与えていただきました。

また、ルールを柔軟に自分たちの無理のない運用に合わせた考え方もありがたかったです。おそらく、当社と同じような規模の企業様は「自分たちにはまだ早い」「がんじがらめのルールになってしまう」という想いが強いところもあると思いますので、LRMさんにそうじゃないよと伝えていってほしいです。そうした情報発信によって、社会全体のセキュリティリスク自体が減っていくと思いますので、引き続きお願いできればと思います。

— 弊社都合で、途中で担当コンサルタントを変更させていただいたのですが、やりづらさや手戻りなどはございましたか。

かなりテンポよく取り組みが進んでいて、ようやく関係性もできてきたタイミングでの変更だったので、最初は不安でした。また、どこまで情報が引き継がれているのか分からず、もしかするとイチからやり直す事態になるのではないかという懸念もありました。
しかし、増元さんには、Todoを細かく切って提示していただけて非常にやりやすかったですし、情報もきちんと引き継がれておりスムーズに進んでいったので、2～3回お打ち合わせをしてみて安心感を持つことができました。

— 御社の事業における今後の展望をお話しください。

Poeticsの事業としては、まずはデータを収集する段階であると思っています。データを集めることで、AIによって予測のモデルを立てることができます。例えば、JamRollでは商談のデータ等を集めていますが、商談が前進したのか、成約につながったのかのデータをとると、成約に繋がる法則を見つけられると思っています。営業マンの発話割合が70％を超えると売れないという法則が提唱されていたりしますが、そういった法則をAIの自学自習に基づいて導き出すことができます。また、解析がもっと進むと、商談はこの時間配分で進行すると成約率が高いなど、AIから提案することもできるようになると思います。音声データや感情解析データを取得していくことで、商談やプレゼンの効果測定など、さまざまなシーンに活用していただけるソリューションになると考えています。

— 御社の情報セキュリティにおける今後の課題をお聞かせください。

ようやくルールができて、運用が始められたと思っています。これからは、メンテナンスをしたりしながら、継続して運用していくことが必要です。Ｐマークの際は形骸化してしまったところもありますし、我々が気を抜いてしまうと従業員も守らなくてもいいのかと思ってしまうと思います。我々が気を引き締めている状態を見せて、みんなにも気を付けてもらうことで、会社が守られるし、会社の成長にも繋がっていくといういい状態を維持できればと思います。

実は、最近Pマークの更新対応をしていた際に、「せっかくISMS認証を取ったのにインシデントが起きたら嫌だよね」と何気なく言ったときに、「インシデントが起きてしまうことは仕方がない。その後どう対応するかが大事ですよね」という話になりました。つい、事故を起こしてはいけない、みんなにルールを守らなせなきゃ、ということに意識がいってしまいがちです。もちろん、そういった部分も大事ですが、起きてしまったらどうするかという部分もマネジメントシステムでは大切です。事故が起きてしまうと、感情的になってしまって「やっちゃった」となってしまいがちですが、そこから先の部分を落ち着いて考えることが重要です。絶対に何も起きないようにしなきゃではなくて、リスクは必ずあるものなので、起きたリスクに対してきちんと対処できる状態でいたいと思っています。そういった心掛けも社内全体に共有していきたいです。

今回の認証取得の取り組みでは、学んだことが非常に多かったです。当初は、認証を取ることが営業的な側面でもひとつのゴールだったものの、取り組む中で、続けていくこと・作成したルールを意識のレベルにもっていくことが大切だと気づきました。取得してからが一番肝心だと感じています。ISMSはどうしても、取得のための・更新のための作業になってしまいがちですが、年月をかけてこそ認証の意味があると思っています。審査直前に慌てて対応するのではなく、きちんとコンスタントに継続して運用確認を行っていきたいと考えています。
また、ISMS認証取得後も人が増えたりしているので、事務局の我々が学んだことをいかに伝えるかも大事だと感じています。

株式会社Poetics様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社Poetics様のWEBサイト
※ 取材日時 2022年10月

株式会社EARTHBRAINは、会社設立から半年後、LRM株式会社のサポートを受け、ISMS/ISO27001認証取得の取り組みをスタートしました。取り組みの目的、LRMに依頼した経緯、取り組みの成果を、ISMS事務局のメンバーである、事業戦略部チームバイスプレジデント・河原田龍一氏と、開発マネジメントG ディレクター・楳田健治氏のお二人に伺いました。

お客様が抱える課題とISMS構築

• ゼロから業務スタイルに合った独自のルールを作りたい
• 事業スピードを落としたくない
• 管理のための管理などの無駄がないようにしたい

• 詳細管理策114項目を検討するベースライン分析を実施
• 事務局メンバーだけではなく、現場も巻き込んで取り組みを進める
• PC管理ツールなどを導入し、担当者の工数をできる限り軽減

LRMコンサルティングサービスへの感想

• ISMSの運用経験者がおらず、分かりづらい規格への理解をサポートしてもらえたことで独自のルールが作れた
• 打合せや質問もたくさんしたが真摯に対応してもらえた
• 『セキュリオ』で従業員教育や委託先管理を省力化できた

（株式会社EARTHBRAINについて）

株式会社小松製作所、エヌ・ティ・ティ・コミュニケーションズ株式会社、ソニーセミコンダクタソリューションズ株式会社、株式会社野村総合研究所の４社が、建設業界のDX推進を目的に共同出資で設立した会社。小松製作所が2013年に開発した自動制御のICT建機を軸にソリューションサービスとして提供してきた『スマートコンストラクション』を、4社が保有する知見やノウハウ、技術によって“次世代スマートコンストラクション”へと進化させる。建設現場を遠隔からリアルタイムでモニターし、分析・改善につなげる現場可視化デバイスやアプリケーションを開発・提供。デジタルツインを活用し、建設現場の全生産工程をオープンプラットフォームでデジタルにつなぎ、最適にコントロールしながら、建設現場で稼働する全ての建機、車輌に対するサービス提供を行い、安全性と生産性の向上を実現する。国内のみならず、欧米諸国を始め、全世界にサービスを展開している。
設立：2021年7月。本社：東京都港区。従業員数：約130名（2022年9月現在）。

— LRMへのご依頼内容をお話しください。

株式会社EARTHBRAINは、2022年2月、LRM株式会社にISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。川島さんがサポートを担当してくださり、7月にISMS認証を取得しました。

— ISMS認証取得にはどのような体制で取り組まれましたか。

河原田、楳田を含めた５名体制でISMS事務局を立ち上げて取り組みました。河原田がコーポレート部門の立場からプロジェクトオーナーという形で、事務局の人選と、コンサルティング会社の選定を行いました。事務局メンバーの選定は、以下の考え方で行いました。

まず、法務担当から民間企業のIT部門で働いた経験のある弁護士を１名選定しました。次に、情報システム部門でシステムの管理やセキュリティを担当している楳田を選定しました。また、楳田のチームから、機動力があってセキュリティに対する意識が高いメンバー、開発プロセスや業務インフラなどにも精通しているメンバーを、それぞれ１名選定しました。

— ISMS認証取得にあたりご心配されたことはございましたか。

ISMSのような第三者機関が定める規格を導入することにより、事業スピードが遅くなったり、管理のための管理といったものが異常に発生したりしないかという懸念点はありました。

弊社は立ち上がったばかりの会社です。認証取得に向けた準備だけではなく、認証取得後の運用フェーズでも、情報セキュリティの取り組みに割ける人的リソースは限られています。可能な限り、効率的にやっていきたいという思いがありました。

— ISMS認証取得に取り組む以前は、このような規格に則ったルールを作ることに、ご懸念もお有りだったとのことでしたが、実際に取り組まれていかがでしたか。

取り組みを進める中で、社内の負荷が軽くなるようにと神経質になり過ぎていたと感じたところはありました。

プロジェクトがスタートして、情報資産の棚卸しやリスクアセスメントなどを通して各部門の実態が見えてくると、きちんと制度設計しなければ、リスクが放置されてしまうという理解が深まりました。そして、本質的にセキュリティを担保するためには、全社に周知した上で、定期的な教育を行う仕組みや、各部門の担当者が関わるような仕組みを作る必要がありますし、そうしなければ形骸化してしまうという意識も生まれました。

決めたルールを実効性のあるものにするには、一般従業員に理解してもらう必要があります。また、従業員が170名にもなりますと、事務局メンバーだけではなく、現場の方にも参加していただかなければ、管理しきれません。
今回の取り組みでも、部門単位で担当者を任命してもらい、台帳類の作成だけではなく、運用面にも携わっていただいています。

— 各部署に担当者を置くこと以外に整備されたことはございますか。

eラーニングは定期的な教育を行うために、LRMが提供する情報セキュリティ教育クラウド『セキュリオ』を導入した他、PC管理ツール『ISM Cloud One』などを導入しました。

これまで従業員に配っていた社用PCの管理は、『MS Excel』で行っていました。しかし従来のやり方では、従業員の入退社やPCの破損など、いろいろなことが起きますのでメンテナンスが大変です。端末自体のメンテナンスだけではなく、OSやアプリケーションの脆弱性管理に関しても、100人を超えると運用が非常に大変です。しかし、セキュリティの観点から社用PCの管理は必要不可欠です。できる限り、管理担当者の負荷を上げないために、ツールでできることはやっていこうということで導入しました。

このような観点で、ルールを確実に現場に落とし込むための細かい工夫は他にもあります。114項目の管理策を検討する中で気づいたことも多々ありました。

— 114項目の管理策を検討する中で気づいたこととは、例えば、どのようなことですか。

例えばユーザーアカウントの棚卸しです。「管理がちゃんと出来ているか」と問われれば、各現場の担当者は「出来ている」と答えます。しかし、実際の運用状況を見ていると一部できていないところはありました。ISMSの審査では「エビデンスを残していますか」と問われますので、運用状況を定期的に見直すルールを確立しました。

ユーザーアカウントの管理以外にも、担当者ごとにやり方を任せていたことはありましたので、リスクを検討して、必要があれば標準化して台帳化する作業を、認証取得後も続けています。

— 細かいルールを決めて、現場に浸透させるための整備をしていくのは大変な作業ではありませんでしたか。

社内のリソースを使った結果、効率性を高めることもありますが、どこまでやるかという問題は非常に悩ましいところです。LRMの川島さんにも議論に入っていただいて、ひな形を用意していただいたり、アドバイスをいただいたりしながら一つずつルールを決めて行きました。一般的にはどこまでやっているのか、弊社はどこまでやれば充分かという相談はたくさんしました。

— 情報資産やリスクの洗い出しなどは、御社の中でされたのですね。

はい。各部署で担当者を決めた後に、川島さんから洗い出す手順や考え方をご説明いただいた上で実施しました。
また、各自、作業をする中で、どれぐらいの粒度で洗い出せば良いのかといった疑問点も出てきますので、そういった打ち合わせにも川島さんに参加していただき、質問にお答えいただきました。

— 詳細管理策114項目の検討はどのように進められましたか。

114項目をそのまま読もうとしても、一般人にはわかりづらいので、ベースライン分析という方法で進めました。
LRMが作成したリスク管理用のガイドラインがありまして、詳細管理策114項目をこのような形で整理していけばルールが作れるというひな形をいただき、それをもとに、川島さんのアドバイスも受けながら検討していきました。

IS027001の規格自体は非常にわかりづらい文章で書かれています。審査員の方々もISMSの基礎知識のような参考書を見ながら審査していたぐらいです。初見ですんなり理解できる人はおそらく少ないと思います。

— EARTHBRAIN様の実態に沿ったルールは作れたという実感はございますか。

はい。「現状ではここまでしかできない」あるいは「ここはしっかりやっていこう」と、リスクの重要度に応じて、弊社の特性に合わせてアレンジしましたので、自分たちのルールを自分たちで作ることができたという認識は持っています。

— 従業員教育の重要性についても触れておられました。どのような形で実施されたのですか。

ある程度ルールが決まった段階で、全体説明会を設けて実施しました。リモートワークなどで出席できない人にはビデオを見ていただきました。その後、『セキュリオ』を使って、確認のテストを実施して理解度を図りました。

— 『セキュリオ』のテストは、今回構築した独自ルールの理解度を図るためのものですか。

はい。テストは、ISMS事務局のメンバーが作成しました。その他に、『セキュリオ』内に予めアップロードされた教材を活用してISMSの基礎研修も実施しました。

— 『セキュリオ』のeラーニング機能をご利用になったご感想をお話しください。

管理者としては集合研修をしたり、ビデオを見てもらったりしても、しっかり聞いてもらえたのか、資料を読んでもらえたのか、理解されたのかを測る手段がありません。紙やデータでテストを送付して回収するという方法はありますが、大人数になると全員分回収して管理するのも困難です。

『セキュリオ』の場合、テストの実施状況や理解度が自動的に可視化されますし、未完了の方への催促も手間がかかりません。審査の場でも実施記録として提供できます。非常に便利だと思います。

— 『セキュリオ』はeラーニング以外の機能を活用されましたか。

法令管理機能と委託先管理機能を使っています。法令管理は、自社に必要な法令を登録しておくと、その法令の更新情報を確認することができます。また、弊社は開発系の業務を委託している先が複数あります。セキュリティアンケートを実施する場合、一斉に配信できますし、管理画面上で回答状況が一元管理できます。『セキュリオ』はアナログな管理方法では時間がかかることを、省力化、自動化できますので非常に便利だと思いました。直感的に操作できる使いやすさもありますので、今後も継続して活用していく予定です。

— 内部監査はLRＭが代行しましたが、いかがでしたか。

内部監査は、第1段階審査、第2段階審査、それぞれ2週間前ぐらいに実施しました。ISMSの運用を経験した者がいませんでしたし、規格も分かりづらいので、社内で内部監査員を準備して育成すると時間がかかってしまうので代行いただいて良かったと思います。その際に、ご指摘いただいて改善した箇所もございますので、審査対策にもなりました。

— 実際の審査はいかがでしたか。

審査当日は、一部、川島さんにも同席していただきました。解釈の違いが、審査結果にも影響すると聞いていましたので、それは我々ではどうすることもできないと思い同席していただきました。特に、ドキュメントの構成やフォーマットなど、LRMの考え方に基づく部分で、我々には回答できない箇所をご説明いただき、審査員の方にご理解いただいた箇所はいくつかありました。

— 指摘事項などはございましたか。

今すぐに改善しなければならないような指摘はありませんでした。「観察事項」と「改善の機会」はいただきましたので、今後、対応を検討します。

— 審査が終わった後のサポートは何かございましたか。

クロージングミーティングで、来年度の取り組みについてアドバイスをいただきました。また、次年度以降の維持審査や更新審査を考慮して、メールなどで問い合わせができるサポートを契約する予定です。

— ISMS認証取得に取り組まれたご感想をお話しください。

今回の取り組み全体を通して、従業員の情報セキュリティに対する意識が、我々が考えていた以上に高いということがわかりました。その上に、ISMSの規格に基づいた管理体制を構築して共有するようになったことで、業務全体のオペレーションがしやすくなりました。

また、弊社は現在、毎月のようにプロパー社員を含めた新人が入ってきます。その際に行う新人研修も、ガイドブックや『セキュリオ』を活用することで、簡単に実施できるようになりました。

— 情報セキュリティの取り組みに関して、今後の展望をお話しください。

まずISMSに関しては次の維持審査に向けて、指摘事項への対応が課題です。また、内部統制報告制度であるJ−SOXの対応で、内部統制上やらなければいけないことや、親会社との関係性で求められることも出始めています。そういった外部環境との関連性も含め、今回構築したISMSのルールをベースに、より強固なセキュリティ体制を構築していきたいと考えています。

— LRMのコンサルティングはご期待通りでしたか。

ISMSの経験者が在籍しない中、手探りで取り組み始めた我々をうまくリードしていただきました。我々としてはやりやすかったです。おそらく打ち合わせの回数や質問の数なども多かったのではないかと思いますが、川島さんには真摯に対応いただいたと思っています。川島さんは柔らかい雰囲気の方で、質問もしやすかったです。

— 先程、継続してサポートを受けるご予定もおありだとおっしゃっていましたね。

はい。ISMS運用改善サポート『情報セキュリティ倶楽部』の契約を社内で検討中です。今後、弊社自体、事業も拡大しますし、外部環境も変化します。審査対応だけではなく、ISMSの運用面で相談したいことも出てくるでしょう。
また『セキュリオ』も引き続き利用していきたいと思っていますので、何らかの形でお付き合いは続いていくと思います。

株式会社EARTHBRAIN様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社EARTHBRAIN様のWEBサイト
※ 取材日時 2022年9月

株式会社Kids Publicは、LRMのサポートを受け、2022年7月にISMS/ISO27001認証を取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、橋本直也氏・齊藤杏奈氏のおふたりにお話をお伺いしました。

お客様が抱える課題とISMS構築

• 規格の要求事項に過剰に沿うのではなく、自分たちに合ったルールを作りたい
• 半年ほどで認証を取得したい
• 取引先からのセキュリティ監査に対応したい

• 自社の開発ルールは、委託先にも求めることを前提に作成
• 取引先からの監査のため、スケジュールを早めて取り組む

LRMコンサルティングサービスへの感想

• 臨機応変にいろんな相談に乗ってもらえた
• セキュリティに対して委縮したり、抵抗を感じることなく取り組めた
• 教育など従業員の意識向上において、『セキュリオ』は今後も活用したい

（株式会社Kids Publicについて）

株式会社Kids Publicは、インターネットを介した成育医療事業を展開している。遠隔健康医療相談サービス「小児科オンライン」「産婦人科オンライン」は、小児科・産婦人科の医師や助産師にスマホから24時間いつでも相談することが可能。所属医療者数は、2022年12月時点で190名を超え、ほぼ全員が顔を公開して相談に応じている。また、「小児科オンラインジャーナル」「産婦人科オンラインジャーナル」では、赤ちゃんや子供の健康および妊娠中から産後の不安を含む女性の健康について、医師がコンテンツを執筆し解説する自社メディアの運営や、LIVE配信なども実施。さらに、妊娠と授乳のくすり案内ボット「くすりぼ」も提供しており、自身の状況や症状に合わせて、自宅でできるケアや妊娠・授乳中でも安全に利用できる薬のリスト、受診の目安などを教えてくれる。企業の福利厚生や付帯サービスとして、100以上の自治体・法人に導入されており、産後うつ病リスクが相対的に33.5％減少、アトピー有症率が13％減少するなど、遠隔健康医療相談サービスとして健康への効果に関するエビデンスを持つ国内唯一のサービス。「病院で待っているだけでは届かない不安、孤独にリーチしたい」という創業時からの想いを抱きつつ、成育過程における健康を守り、その向上に貢献することを目指す。
設立：2015年12月。本社：東京都千代田区。従業員数：25名。（2022年12月時点）。

— LRMへのご依頼内容をお話しください。

株式会社Kids Publicは、2021年11月にISMS/ISO27001（以下、ISMS）認証の新規取得コンサルティングを依頼しました。担当コンサルタントは、増元さんです。
2022年6月に第二段階審査を終え、2022年7月に認証を取得しました。

— まずは御社の事業についてお聞かせください。

小児科医として働く中で、病院で待っているだけでは届かない孤独や不安があることに課題を感じていました。
そのため、赤ちゃんの保護者の方との接点を増やして、より気軽に私たちに相談してもらえるような窓口を設けたいという想いからKids Publicを立ち上げました。

Kids Publicのメイン事業としては、オンラインで医師・助産師に、小児科や産婦人科に関わる相談ができるサービスを提供しています。ただ、相談の前段階についても、週に1～2本記事を発信していたり、よくある質問はLIVE配信も実施していたりします。日頃から医療リテラシーを向上してもらい、お悩みを解決できる仕組みをご提供した上で、心配になったら医師・助産師に直接質問ができるというように、トータルでサポートさせていただいています。

また、テキストのみで気軽に相談ができる「いつでも相談」や、テレビ電話にも対応している「夜間相談」など、相談者の特性に応じていろいろな相談方法を用意しています。

— 小児科や産婦人科の医師に直接相談できるのですか。

そうです。小児科に関わる相談は小児科医、産婦人科に関わる相談は産婦人科医が回答するなど、必ず専門家が対応するようになっています。ほかの医療相談サービスの中には、小児科に関わる相談を整形外科の医師が回答していたり、似顔絵とニックネームのみ公開されている医師が回答しているケースもあります。
しかし、Kids Publicには、2022年5月時点で178名の医師が所属していますが、ほぼすべての医師、助産師が顔写真・経歴・名前を掲載した上で、責任をもって対応しています。

また、利用者に満足度を4段階で聞いており、1番上の評価を頂戴している割合が95％、2番目までを含めると99％になります。ただ、残り1%で、冷たい感じがしたなどのご意見をいただくこともあります。
利用者からのフィードバックは、所属医療者に対して共有しており、平均点以下の方には是正を求めるなど、更なる対応の質の均整化にも注力しています。

— 御社サービスは、健康に効果があると証明されていると伺いましたが、どのような効果があるのですか。

横浜市と東京大学との研究では、産後3か月時点での、産後うつの高リスク者の割合が33.5％減少したという結果が出ています。また、アトピー性皮膚炎についても有症率が13％減少したという結果を世界で初めて出しており、英語論文で発表しています。そういった点で、Kids Publicは、人の健康に貢献できるエビデンスを持っている国内唯一の遠隔健康医療相談サービスだと考えています。

— 認証取得を検討し始めたのはいつ頃からですか。

2016年の相談サービス開始時から、医療相談の内容は機微な情報が含まれているという認識はありました。
その情報が万が一漏えいしてしまったら、会社がつぶれてしまうよねということで、情報管理の必要性はずっと感じていました。

実は、2018年ごろに一度、情報セキュリティ認証のプライバシーマーク（以下、Pマーク）取得を検討していたことがあります。ただ、Pマークを取得して運用するには、台帳の作成や更新など、形式的に必要な事項があるように感じました。達成すべき点は、認証取得ではなく、情報がきちんと管理されることです。そのため、認証運用のために形式を守っていくのではなく、Pマークから情報の取り扱いにおける注意事項など必要なエッセンスだけを習得して、きちんと管理していくことを選択しました。

ただ、事業拡大に伴って、お客様が増えていく中で、企業としての責任もより大きいものになってきました。
また、人員の増加も可能になってきましたので、今回ISMS認証取得に踏み切りました。

— 以前にPマーク取得を検討されていたとのことですが、今回ISMSを選ばれた理由はございますか。

前職でISMSとPマークを取得・運用していた際に、Pマークは、入退室の記録方法など、自社の状況ではなく、要求事項に沿いすぎてるルールがあり、すごく不自然だと感じていました。Pマークの審査は7回ほど経験しましたが、こうなってないとだめだよという指摘を受けることがあり、疑問を持つこともありました。

Kids Publicの現在の状況を鑑みると、現段階でPマークのゴリゴリのルールを作って運用できるかと検討した際に、現実的ではないように思いました。なので、今回は、より自分たちに合ったルールを作れる幅があるISMS認証をもとに体制を整えていくことが、情報を守るという本質的な部分をより達成できると判断しました。

— 取得検討していた当時の従業員の皆様の情報セキュリティ意識はいかがでしたか。

日々業務に取り組む中で、取り扱う情報に対してリスクをしっかり理解できているかと言われると、足りていない部分もあったと思います。

また、医師の方は医療従事者なので、相談者の方の情報に対して、伝えちゃダメ・見せちゃダメ・言っちゃダメなど、医師としての倫理観から、きちんと守らなければならないという意識はお持ちでした。その一方で、具体的にどのように守っていこうという部分が曖昧になっていたかなと思います。医師の方は、普段病院にいらっしゃるので、病院のルールとして情報はきちんと守られていると認識されているところがあったのかなと感じています。ただ、病院内であれば、研究の一環としての利用が問題ないという情報も、企業における情報保護・管理の在り方とは異なる場合もあります。企業としてサービスを提供していく上でルールの整備が必要でした。

— 認証取得前に、セキュリティ規程などはございましたか。

Pマーク取得を検討していた際に作成した、最低限のルールはありました。ただ、マネジメントシステムのような体系的なものではなく、個々で判断して対応している側面もありました。

— 今回の認証取得はどのようなメンバーで取り組まれましたか。

今回は以下の3名で取り組みました。

橋本様：Kids Public代表。小児科専門医としても勤務。

齊藤様：ビジネスアドミニストレーション部所属。総務系の業務からPC管理、情報セキュリティ関連業務などを担当。前職でISMS認証とPマーク取得経験あり。

川畑様：ビジネスアドミニストレーション部、開発部所属。経営企画や、開発業務、情報セキュリティ関連業務、ユーザー対応など横断的に業務を担当。

ビジネスアドミニストレーション部は、総務や経理などを含めたバックオフィス業務を担当している部署です。
現状は、情報セキュリティについては専属の部署を設けているわけではありません。業務ごとにきちんと部署が分かれているというより、みんなで様々な業務をカバーしあっている状況です。

齊藤は前職でも、情報セキュリティや社内システムの管理業務を担当していました。その際に、ISMS認証とPマーク取得に、実際に手を動かす担当者として取り組んだ経験があります。また、川畑は、齊藤が参加する前から、システム周りの管理や情報セキュリティ管理に携わっていましたので、今回は上記の3名で取り組みを進めることにしました。

— 担当者の皆さんは、情報セキュリティ業務とは別の業務を兼任されています。別業務への影響などはございましたか。

齊藤を中心に取り組みを進めていきました。齊藤が前職で認証取得した際は、ゼロからルールや記録、書式などを自分たちで作成する必要があり、2～3年かけて取得を目指すような状況でした。

ただ、今回はLRMさんにコンサルティングしていただいて、ルールや書式もサポートいただいたり、日常業務に関しても社内メンバーで助け合いながら対応したので、すごく忙しかったという印象はないです。

— 前職では、自分たちでゼロからルールや記録を作成されたとのことですが、コンサル会社などは利用されていなかったのですか。

前職でISMS認証を取得した際は、審査員の方にコンサルティングをしていただいていました。ただ、様式などは持っていらっしゃらなかったので、あくまで、作成したルールや記録に対して、規格上問題ないかだけを確認してもらっていました。

ですので、自社に合っているかどうかというよりは、要求事項に沿ったゴリゴリのルールになっていた印象です。
規格上「望ましい」とされていることも、忠実にルール化していたので、今思うとかなり息苦しいルールだったかなと思います。

— 認証取得に取り組むにあたり懸念されていたことはございましたか。

最初は2～3年かけて認証取得の準備をしていく想定でしたが、2021年10月頃に、遠隔健康医療相談推進機構立ち上げの動きに合わせて「来年の夏ぐらいを目途に取りたい」という流れになりました。後ろを決められたときに、半年ちょっとしかないという状況の中で、その段階ではどのようにルールをまとめていくべきかが見えていなかったので、はたしてうまくいくだろうかと不安でした。

— 半年ほどで認証取得を目指すことになったとのことですが、コンサル会社選定の経緯をお聞かせください。

先述した通り、最低限のルールはありましたが、そこからISMSを構築していくとなると、半年では難しいと考えました。なので、自社のみで取得するのではなくて、様式をもらえたり、相談できる先としてコンサル会社を探しました。コンサル会社は2～3社ほどお話を伺いました。

齊藤が前職でISMSのルールを作成した時は、相談先の方に「こうあるべき」という考えが強くありました。
相談先の方もさまざまな経験の中でこうすればうまくいくという体験から、ルールを提案してくださっていたのだと思います。しかし、自社の状況を必ずしも反映したものではない、その方の「こうあるべき」でルールを作ってしまっていたため、運用するのも非常に大変でした。

セキュリティは、そうあるべきじゃなくていいものだと思っています。セキュリティ対策として、そうあるべき時もあるし、そうあるべきじゃなくてもいい時もあって、対策する人や組織の状況に応じて決められるものだと思っています。やはり、それぞれの会社の事情もありますし、Kids Publicは、いろんな人がいろんな仕事をやっているような企業なので、情報セキュリティについても臨機応変に考えられるような体制にしたいという想いがありました。
LRMさんは比較的若いコンサルタントの方も多く、柔軟に対応してくださる期待が持てたので依頼しました。

— 臨機応変に考えられるような体制を作りたいとのことでしたが、結果はいかがでしたか。

こうあるべき論ではなくて、まずはこうしていこうねというベースを作れたと思っています。
ただ、これからKids Publicとして、セキュリティをどうしていくべきかはみんなで考えていきたいと思っています。
最低限守るべきセキュリティは当然ありますが、そこではなくて、どこが重要でどういう運用がよりよいのかを検討していきたいと思っています。

— 認証取得によって、社内外で変化はございましたか。

社内としては、皆さんがいろんな声を挙げてくださるようになりました。ルールとして、声を挙げることを決めたというのもありますが、情報の取り扱いやミスについても、共有してくださるようになりました。

社外への影響としては、遠隔健康医療相談推進機構の場で取得をきちんと公表できましたし、Kids Publicとしてプレスリリースもしましたが、かなり反響があり、社外的な信用度の向上にも確実に繋がったと思います。

— ISMSを導入したことで、負荷がかかっているようなことはございますか。

インシデントが発生した時の報告や聞き取りの実施には、一定の負荷はかかっているかなと思います。
これまでは、事故と認識されていないようなことにも声が挙がるようになり、もともとの手順に問題がないかを立ち止まって確認するなどの聞き取りが発生するようになりました。そういったところで負荷がかかってはいますが、自己流でやっていた業務が洗いだされる良いきっかけにもなっています。

— 最低限のルールはあったとのことでしたが、台帳などは今回新たに作成されたのですか。

そうですね。基本的には事務局のメンバーで作成しました。
共有のドライブから情報資産を特定して、橋本と川畑が全部署を横断して業務を行っているので、作成した台帳に齟齬がないかを確認しつつ仕上げていきました。

— お取り組み全体を通して、工数がかかったところはございますか。

Kids Publicとして、開発におけるセキュリティルールがどうあるべきかを決めるのに時間をかけました。
当時は、開発業務を一部委託している状況だったのですが、自社の基準を決める際に、「これでは委託自体が難しくなるよね」「このルールは最低限必要だよね」など、委託することも踏まえつつ、自社として必要な基準を検討して制定しました。LRMさんからいただいたルールの中にベースがあったので、すごく時間がかかったわけではないのですが、全体を振り返ると丁寧に検討したかなと思います。また、制定した後は、委託先でその基準がきちんと担保されているかを確認していきました。

— 委託先におけるセキュリティはどのように確認されたのですか。

新たな委託先は無かったので、以前に実施していた調査を基に、セキュリティ基準が担保されているかを確認していきました。ただ、委託先環境は自社ではないので直接見ることはできません。本当に開発環境が調査通りになっているかどうかの確認は追加でアンケートを実施しました。

— 今回新たに導入したツールはございますか。

情報セキュリティ教育クラウド『セキュリオ』を導入しました。
『セキュリオ』は、主に従業員教育と委託先管理で利用しました。従業員教育は、『セキュリオ』のeラーニング機能を利用して、テンプレートとして登録されていた情報セキュリティ基本研修を従業員全員に受講してもらいました。委託先管理では、『セキュリオ』に登録されていたテンプレートの質問事項を基に委託先への状況確認を実施しました。今後も『セキュリオ』は活用していく予定です。

— 対応する中でスケジュールに遅延などはございましたか。

取り組みの途中で、他社から監査の要望があり、その監査対応はイレギュラーだったかなと思います。それ以外はスケジュールに大きな遅れもなく、順調に進みました。

— 他社から監査の要望があったとのことですが、審査機関とは別に監査があったということでしょうか。

そうです。お取引先様から、取引をする上で、実際に訪問して個人情報の取り扱いなど、セキュリティ状況を確認したいというご要望をいただきました。その監査に合わせて、文書類などの準備が完了するように対応を早めました。
また、事前に監査項目を共有いただいていたので、その質問に対して、マニュアルのどこを見せたらいいのか、どのように回答すればいいのかをLRMさんにご相談しました。監査は、特段問題なく終えることができました。

— ISMSにおける内部監査は、別途LRMが代行して実施したのでしょうか。

はい、増元さんにご対応いただきました。
一緒にルールを構築したので、分かっているだろうなと思いつつも、審査の予行演習もかねて色々確認していただきました。トップインタビューについても、事前に増元さんから想定問答をしていただきましたが、理解しておくべき観点の把握や、審査に向けた心の準備ができたので助かりました。

— 内部監査後に、お打ち合わせは実施されましたか。

その時点で審査に向けた対応はすべて終わっていたので、特に実施はしませんでした。あとはマニュアルのどの部分を聞かれているかの把握など自身でできる準備が必要かなというくらいで、齊藤が前職で審査を受けた経験もありますし、不安などはなかったです。

— 審査前に重点的に確認したところはございますか。

機密情報となりうる情報の確認は重点的に行いました。ユーザー様の個人情報の取り扱いなどは、台帳上にきちんと掲載されているかなど、審査に向けて漏れがないかを確認していきました。
従業員に向けては、PC設定や、OS・セキュリティソフトのアップデートなど、基本的なところをしっかり対応していただくようにお願いしました。

— 審査を受けられたご感想はいかがですか。

今回はリモートでの審査でした。リモート審査自体は特段やりにくさなどはありませんでしたが、今回、規格のどこを聞かれているかが分かりづらい質問が多かった印象です。
要求事項の通りに質問されるのではなくて、規格内容をうまく絡めて質問されるので、マニュアルのどこを見せたら正解なんだろうと動揺しました。笑
ただ、いくつかお見せすると、「ここで合ってますよ。次からここを見せてください。」というように教えてくださりながら、審査していただきました。

— 審査で該当箇所を教えてもらう場面もあったとのことですが、審査員の方はどのような方でしたか。

温和な雰囲気で紳士的な方でした。お話をよく聞いてくださった印象です。
基本的には、こういう風にするといいよという言い方で、こうしなければならないという指摘はありませんでした。
ただ、先ほども述べた通り、予想外の質問が多かったので、表には出ていなかったと思いますが、審査中は内心焦っていました。笑

— 審査で指摘事項などはございましたか。

大きなものはありませんでした。1点だけ、ここがないねという箇所がありましたが、すぐに対応できるものでしたので、問題なく認証取得できました。

— LRMのサポートはいかがでしたか。

担当していただいた増元さんへの信頼がすごくあり、導いてもらったと思っています。
ネガティブな感情は特にないですし、臨機応変にいろんなことに相談にのってくださり助かりましたし、サポートいただいて心強かったです。セキュリティに対して委縮したり、抵抗を感じることなく取り組めたのが良かったです。

『セキュリオ』については、今後も引き続き活用していきたいと考えています。従業員の意識向上を目的に利用したいと思っていて、標的型攻撃メール訓練機能を試したいと思っています。割と無意識にメールをあけていることもあると思うので、訓練を実施して意識を高めていければと思います。また、内部監査も『セキュリオ』を利用する想定です。これからさまざまな機能を活用していきたいと考えています。

— 今後の展望としては、どのようにお考えですか。

Kids Publicの事業としては、現在、毎年80万人ほどの子供が生まれている状況の中で、保護者が抱える孤独や不安、赤ちゃんの病気に対して、全員にリーチしたいと考えています。自治体でいうと、1,700あるうちの34か所にしか導入されていないので、すべての自治体に導入いただきたいですし、企業においてももっと広く知っていただきたいです。

情報セキュリティとしては、今回は認証を取得できたので、これから維持・運用していくところが目標になっていくと思います。取ったときは良かったけどだんだん崩れてしまうということがあってはならないので、しっかり運用していきたいと思います。また、運用していく中で、改善点が見つかると思いますので、常に良くしていく姿勢を組織として持って臨んでいきたいと考えています。

核家族化の進行など、コミュニティを持つことが難しくなっている中で、相談できる場所があることは重要だと思います。オンライン医療相談は「情報がきちんと管理されているから安心できる」と当たり前のように使ってもらえるようなサービスでありたいと思っています。セキュリティだからこうしなきゃではなくて、Kids Publicとしてこうあるべきというのを社内で共有しつつ、オンライン医療相談サービスを広めていけたらと思います。

株式会社Kids Public様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社Kids Public様のWEBサイト
※ 取材日時 2022年10月

国内初の役員会運営に特化したクラウドサービスを展開するガバナンスクラウド株式会社は、2022年6月、ISMS/ISO27001認証を新規取得しました。サービスの本格展開に向けた取り組みの中で目指したことと成果、そしてプロジェクトのサポートを担当したLRMに対する評価などを、代表取締役・上村はじめ氏に伺いました。

お客様が抱える課題とISMS構築アプローチ

• 役員会における機密性の高い情報を預かるため、管理体制を強化したい
• 半年ほどで認証を取得したい
• 認証取得だけのための不要なルールは避けたい

• 実態に即したルール構築で無駄な業務フローを生まない
• 運用する中で生じた不具合はその都度修正

LRMコンサルティングサービスへの感想

• 納得できる説明をもらえたことで、主体的にリスクを判断できるように
• ほとんど打合せ内のみでルールを検討し文書が完成
• フルリモートでの業務において『セキュリオ』のeラーニング機能は便利

（ガバナンスクラウド株式会社について）

役員会運営クラウドシステム『Governance Cloud』の開発・運営を行うスタートアップ企業。役員会の多くが抱える情報の適時性、安全性、業務効率性の課題をテクノロジーで解決する。『Governance Cloud』は、会議体の最適化を図り、役員会全体の機能向上をサポートするシステムだ。役員がタイムリーかつ安全に必要な情報にアクセスし、日程調整から議案・資料の共有、議事録の署名まで効率的に行うことが可能。法務局により、登記に利用できる議事録電子署名システムとしても認められている。意思決定の質と適切なガバナンスが求められる役員会をサポートし、企業の長期的発展と、持続可能な社会の実現を目指している。
設立；2021年6月。本社；東京都港区。

— LRMへのご依頼内容をお話しください。

ガバナンスクラウド株式会社は、2022年2月、LRMにISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。

2月初旬にキックオフした際は、約半年後の7月中に登録証を受け取るぐらいのスケジュールを想定していましたが、結果的には6月中に取得できました。担当者・増元さんのサポートを受け、スムーズに進行できました。

— ISMS認証取得の理由をお話しください。

弊社がISMS認証を取得した理由は、サービスを提供するお客様にご安心いただくための環境整備です。外部の信頼性を得るには第三者認証が必要です。

弊社は、企業が保有する情報の中でも特に機密性の高い情報をお預かりしています。顧客情報の保全を最重要事項と捉え、システムと体制の両面でセキュリティを意識しながらサービスを構築してきましたが、今回の取り組みでは、国際的な認証規格であるISO27001に基づくとともに、専門的な知識を持ったコンサルタントの知見をいただくことで、より充実したセキュリティ体制を構築したいと考えました。第三者認証を取得することで、対外的にも、弊社の社内体制がしっかりした仕組みを持っていることを説明しやすくなると考えました。

— ISMS認証取得を意識し始めたのはいつ頃ですか。

情報セキュリティの重要性はサービスの企画段階から意識していました。ISMS認証取得も当初から計画していました。ただ、オペレーションが決まらないとルール構築は出来ませんので、ある程度、運用の形が決まった段階でLRMに相談し、2022年2月にキックオフしました。

— 7月に登録証が届くというスケジュールを設定された理由をお話しください。

まだスタートしたばかりのサービスですし、規模も大きくはないということと、スタート時点から情報セキュリティに対する社内のプライオリティは高めていましたので、半年ぐらいで無理なく取れるだろうという見立てをしました。

実際、取り組みを通して、苦労した記憶はございません。これ以上の時間をかけたとしても、結論は大きく変わらなかったと思います。LRMは、たくさんの企業の事例をお持ちです。その知見をもとに、我々の状況をご理解いただきながら迅速かつ的確なリードをしていただけたからだと考えています。

— ISMS認証取得には、どのような社内体制で取り組みましたか。

私が中心となり、サポートが１名、開発担当が１名の３名体制で臨みました。

— これまでISMSなど、認証取得のプロジェクトに関わられたご経験はございましたか。

独立前に勤めていた会社で情報セキュリティ部門の担当役員を務めていました。その際に、プライバシーマーク（以下、Pマーク）の取得に、責任者として関わりましたので、プロセスは理解していました。

— 今回、ISMS認証取得にあたり、ご心配されたことはございましたか。

ISO規格に基づく認証取得を目指すこと自体は初めてですので、心配はありました。もともと情報セキュリティには配慮していましたから、実質的に意味があることはしっかりやりたいとは思っていましたが、弊社の規模感や業務オペレーションに対し、過剰な施策を取り入れなければ認証が取れないということになると本末転倒です。認証を取得するためだけに無駄なプロセスを導入すること避けたいと考えていました。

ただ、それを社内だけでやるには判断できないことが多いだろうと思っていました。LRMには、クラウドサービスを提供する事業者へのコンサルティング実績がございますので、安心してお任せできるのではないかと思い、ご相談しました。そのおかげで、イメージ通りのスケジュール感で、非常に実のある体制作りができました。

— コンサルタント会社選定の経緯をお話しください。

サービスの構想が始まった段階から認証を取得する考えはございましたので、機会を見てはコンサルティング会社にお話を伺っていました。コンサルタントのサポートを受けずに自社で取得することも検討しましたが、LRMと話して、やはりサポートを受けた方が良いと感じて依頼しました。

— LRMに依頼した決め手をお話しください。

弊社にとって情報セキュリティは重要なプロセスですので、基本的には、信頼できる方にお願いしたいという思いはありました。その上で、LRMに決めたポイントは次の3点です。

（1）知人からの評判
最も判断に影響したのが、知人からの評判です。私の周囲に、LRMのサービスを受けた会社が複数ありまして、いずれも「良かった」と仰っていました。

（2）実績
弊社の業態と似た会社をサポートしていることは、大きな安心材料でした。

（3）サポート内容に対する期待感
ISMS認証を取得する上で最も大切だと思っていたのは、実のある体制作りです。LRMからISMS認証取得まで流れを伺い、我々が目指す体制づくりをサポートしていただけるという期待が持てました。

話を聞いたコンサルティング会社の中には、ISMS認証取得から取得後の運用まで、定額で丸投げできるサービスを提案してくる会社もありました。しかし弊社は、あくまでも自社内でしっかり判断して対応できる体制を作りたいと考えていました。LRMが提案するアプローチの方が、我々の目的には合致していました。

マネジメントシステム構築に対する考え方や、プロジェクトの進め方を、弊社本位で考えていただいているという感覚を持てたことも信頼に繋がりました。

— ISMS認証取得の取り組みを通じて、業務の進め方に変化はございましたか。

もちろんありました。リスクアセスメントによって対応すべきリスクが見つかれば、対策を検討して必要な手続きを導入しました。網羅的にリスクを識別して、対策をとることができました。

— ルール作りや文書作成に関して、「自社の規模感やオペレーションに対して、やらなくても良いプロセスを導入することは避けたい」とのことでしたが、狙い通りの結果になりましたか。

結果的には、我々の意図から外れたルールにはなっていません。今回、増元さんには、弊社の状況を含め、率直に相談させていただきました。

ISMSの規格では、必ずしも具体的な施策までは触れていません。規格の文面を読んだだけでは判断できないことは、その都度、相談してアドバイスをいただきました。一般的に採用されているプロセスでも、弊社に当てはめることが厳しい場合があります。そういったケースでは、こちらから代替手段を示して、相談しながら進めていきました。
結果的に、作成したドキュメントも無駄なく、全体を網羅したものになりました。

— 御社の現状に即して考えると「これはやるべきではない」と思われることは、少なくなかったですか。

はい。業務フローの中に、実態に即さない形式的な手続きが入り込んでしまうと、結局は定着せずに形骸化してしまいます。全社的に守れないルールができてしまえば、従業員の意識も希薄になりますので、却ってリスクは高くなります。そういったほころびが少しでもあると、今後、サービスを増やしたり拡大したりする中で、禍根を残す可能性がありますので、できる限り無駄がないようにチェックしました。LRMとのミーティングの中で決めた後も、運用してみて不具合があれば、その都度修正していきました。

— 今回の取り組みでは、現サービスの拡大だけではなく、新しいサービスが増えていくことも意識はされたのですか。

もちろんです。今後、どのような形で事業を拡大していくかは様々な可能性があります。だからこそ、事業環境や会社自体が変化する際に、どこにリスクがあり、どういう体制を取るべきかを、自分たちで判断できるようになる必要があると考えました。

実際、今回の取り組みは、我々の判断力を養うことにも繋がりました。何か新しいことやる際には、メンバーそれぞれが、自然とセキュリティ面で考慮する必要性をコメントするようになっています。専門家の意見を聞きながら、ルール作りに取り組むことで、リスクを主体的に捉えられるようになりました。LRMに依頼した際に期待した通りの成果が得られました。

— ルールづくりや文書作成のためのお打ち合わせは、どのようなペースで行われたのですか。

週次で2時間ぐらいの打ち合わせを5～6回ほど行いました。私が1人で参加した時は、その場で決められないこともありましたので、持ち帰って他のメンバーと相談しながら作業をしたこともあります。しかし、ほとんどは打ち合わせの場で決めて、文書に反映しました。増元さんと会話をしていたら、自動的にアウトプットができていくような感覚でした。

— 持ち帰って作業をするときにご苦労されることもございませんでしたか。

ありませんでした。メールで質問させていただいたことはありましたが、特にストレスを感じることもありませんでした。

— ルール作りや文書作成以外についてもうかがいます。まず従業員教育はいかがでしたか。

従業員教育は、情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用して、スムーズに実施できました。

弊社ではリモート勤務の社員が多く、全員が1つの場所に集まって業務を行うスタイルではありません。社内ミーティングもオンラインで実施していますので、eラーニングは便利でした。予め教材も用意されていましたので、作成の手間や労力も不要です。

— 形骸化しない仕組みづくりという観点から見て、このようなISMSの要求に従って実施する従業員教育は有効に思われますか。

十分に有効だと思います。ただ、その前提として従業員の意識が揃っている必要はあります。弊社では、お客様の情報を守ることの重要性は全社員で共有できています。その認識を共有できていれば、むしろ関心を持って取り組んでもらえます。また、『セキュリオ』のeラーニングは、管理者から教材を配信した後、従業員は自らの意思でその教材に取り組みます。その仕組みによって、主体的なアクションを確認できることにも意味があると思います。それが意識レベルを量る基準にもなります。

— eラーニング以外の機能は活用されましたか。

法令管理機能とサプライチェーンセキュリティ機能を活用した他、安否確認機能を使って、有事を想定したシミュレーションも行いました。

サプライチェーンセキュリティ機能は委託先のセキュリティ状態を確認するための機能です。委託先のセキュリティチェックも、自分たちでアンケートを作成して送付し改修することは可能ですが、『セキュリオ』の機能を活用すれば効率的です。委託先にとっても手間も省けますし、専門家が作った仕組みですので、安心してご回答いただけるのではないでしょうか。

— 内部監査はLRMが代行したと思いますがいかがでしたか。

今回は初回ですので、第三者に見ていただくことに意味があると考えました。内部監査の結果を受けて、改善した箇所もありました。

また、内部監査の後も、審査前にミーティングを行い、審査を受けるにあたっての懸念点を相談しました。審査後は、審査員からいただいた指摘事項を報告して、一緒に対応を検討していただきました。

— 一通りルールづくりなどの準備を行った上で、審査を迎えるにあたり、懸念点はございましたか。

審査当日の流れです。どのようなことを聞かれるのか、どのような進め方になるのか、事前に把握しておきたく、LRMに相談しました。私自身のヒアリングであれば、私が答えるしかありませんが、社員に対するヒアリングもありましたので、その場合、どこまで私がフォローできるのか、一言でも発すればマイナス評価になるのかなどを相談しました。

結果的に審査当日は、慌てることもなく対応ができて、大きな指摘事項もなく終了しました。

— お知り合いから評判を聞かれたことが、LRMにご依頼された一番の理由とおっしゃっていました。実際にサポートを受けたご感想をお話しください。

期待以上のサポートでした。短期間で毎週打ち合わせをさせていただきましたが、毎回、出席することが楽しみでした。嫌々やっている感覚は全くありませんでした。

それは常に新しい発見があったからです。特に規格に関して「そう解釈すれば良いのか」と納得できるご説明をいただけたことが非常に有意義でした。そのサポートがあったおかげで、1つのリスクに対し、弊社の場合はどの範囲で、どこまでやればいいのか、自信を持って判断できるようになりました。

— 情報セキュリティの取り組みに関連して、今後の展望がございましたらお話しください。

情報セキュリティの取り組みは、ISMS認証を取得して終わりではありません。特に今後、従業員も増えますので、教育を含めて体制の強化と充実に取り組んでいきたいと考えています。また、事業が拡大していく過程では、追加認証を取得することもあるかもしれません。新しい課題に取り組む際には、LRMに改めてご相談したいと考えています。

ガバナンスクラウド株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ ガバナンスクラウド株式会社様のWEBサイト
※ 取材日時 2022年8月

株式会社ニューロスカイは、LRMのサポートを受け、2022年5月にISMS/ISO27001認証とISMS-PIMS/ISO27701認証を同時に取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、佐野悦子氏・藤原美佳氏・伊津野徹氏のお三方にお話をお伺いしました。

お客様が抱える課題とISMS構築アプローチ

• 新サービスの正式版リリースに向けて第三者認証を取得したい
• ISO27001とISO27701を同時に取得したい
• 迅速に、しかし丁寧に体制を構築したい

• ルール運用は各担当者と根気強く話し合い落としどころを模索
• 四半期に1回、チェックリストで現場の運用状況を確認
• メールZipperやGoogleドライブの導入で業務を効率化

LRMコンサルティングサービスへの感想

• どう質問すべきか迷うような質問にも丁寧に回答してもらえた
• 他社事例や審査機関についてなど、様々な情報共有が心強かった自社の状況を理解し、最適なルールを一緒に考えてくれた

（株式会社ニューロスカイについて）

株式会社ニューロスカイは、主に脳波と心電・心拍などの生体データを取得し、解析するサービスを展開しており、生体センシングチップ搭載のデバイスやそれらを活用したシステムの開発、ヘルスケア・医療機器製造などをおこなっている。猫の耳の形をしたカチューシャ型の脳波計である「necomimi」は、装着することで装着した人の感情が猫の耳の動きや鳴き声で分かる商品。単に友人同士のコミュニケーションにおいて利用されるだけではなく、子供の学習における集中度の計測や、病気のため会話が困難な方の脳波の計測など、幅広い場面で活用されている。脳波や心電・心拍などの生体データを活用するという未開拓な領域の中で、「Body and Mind. Quantified.」をコンセプトとして掲げ、心と身体における健康の見える化により顧客課題解決につながるソリューションを提供し続けている。
設立：2018年9月。本社：東京都中央区。従業員数：13名。（2022年8月時点）

— LRMへのご依頼内容をお話しください。

株式会社ニューロスカイは、2021年8月にISMS/ISO27001（以下、ISMS）認証と、ISMS-PIMS/ISO27701（以下、ISMS-PIMS）認証の同時取得コンサルティングを依頼しました。
2022年4月に第二段階審査を終え、2022年5月に両認証を取得しました。

— 今回のお取り組みのご担当者様についてお聞かせください。

今回のお取り組みは主に、下記3名で対応しました。

• 佐野様：情報セキュリティ管理者として、今回のお取り組み全般を統括。管理部と兼務。
• 藤原様：情報セキュリティ担当者として、セキュリティルールの運用や、従業員への意識づけなどの実作業を担当。管理部と兼務。
• 伊津野様：ISMS-PIMSにおける責任者として、システム周りなどを統括。また、社内SEも兼務しており、ソフトウェア開発や生体データの解析なども担当。前職で、ISMS認証取得に向けたお取り組みを一部経験。

弊社はまだあまり規模が大きくありませんので、他の部署が行わないような業務をすべて管理部が行っているような状況です。業務量に波もありますが、それぞれ本業もある程度対応する必要がある中で、情報セキュリティの取り組みを推進しました。弊社の代表取締役がシステムに詳しいため、助言をいただくことはありましたが、基本的にはこの3名で対応しました。

また、今回はISMSとISMS-PIMSを一気に取得するということで、本業にもやはり多少は影響が出てしまいます。
ただ、認証取得は代表取締役からの意向でもありましたので、取り組みの期間は会社として情報セキュリティの体制構築に注力した形です。

— 認証取得を検討されていた当時のご状況はいかがでしたか。

従業員数としては、12～13名でしたので、認証を取得した現在とそれほど変わりません。

当時は、新しいソリューションを準備している状況で、医師の協力のもと、患者様の生体情報を収集し、クラウドを通して解析を行うことができるサービスを開発していました。顧客から認証取得の要請があったわけではありませんが、正式版のリリースを目指す上で、第三者機関の認証を取得し、顧客からの信頼性をより高めたいと考えていました。
また、認証取得をきっかけに社内体制の整備も推進したいという狙いもありました。

— 当時の従業員のセキュリティ意識はいかがでしたか。

弊社は、中途採用の社員も多く、それぞれの経験の範囲でセキュリティを実施していた印象です。そのため、ひとつひとつのセキュリティに対して「当然」として捉えている基準が人によって異なっているような状況でした。

— 従業員の中にISMSなどの情報セキュリティのお取り組みを経験されている方もいらっしゃいましたか。

伊津野様　前職でISMS取得に向けた取り組みの担当者をしていました。取り組みの途中で退職することになり、認証取得までは経験していませんが、従業員規模が2000名ほどの企業だったので、かなり作業量が多かった印象です。

— 認証取得前にセキュリティに関する社内規程などはございましたか。

情報セキュリティ規程やプライバシーポリシーなど、一般的なものは制定しておりました。ただ、社内ルールの整備や運用については、不十分な面もあったと思います。

— 今回、ISMSとISMS-PIMSを同時に取得された経緯をお聞かせください。

できるかぎり対応コストを削減したいという想いがありました。
時期をずらしてそれぞれ認証を取得すると、いずれも準備に一定時間がかかってしまうと思います。本業として対応すべきことが多数ある状況において、瞬間的には強い負荷がかかったとしても、まとめて短期間で整備したいと考えました。

— 認証取得の期限などはございましたか。

5月の決算までの認証取得を目指しておりました。
ただ、伊津野は認証取得のお取り組みに関する経験がありましたが、他の社員については初めての試みでした。できるだけ早く取得したいという想いがある一方で、準備はなるべく丁寧にきちんとしていきたいという想いもありました。

— 他の認証はご検討されましたか。

ISMS認証取得の方向性は、ある程度早い段階から決まっていましたが、先述した新サービスのリリースに向けて、クラウドサービスに関する情報セキュリティ規格であるISO27017 など、他の認証も含めてどれが最適かを吟味はしました。

ただ、弊社は脳波や心電といった生体信号を取り扱います。それらの情報について、「センシティブである」という一定の共通認識はあると思います。例えば、光彩や指紋については、個人を識別できる情報として、情報の取り扱いも明確になっています。しかし、脳波や心電においては、個人を識別できるという論文などは存在するものの、個人情報保護法などで個人情報であると明確に規定されているわけではありません。
弊社としても判断に迷う部分はありましたが、今回はPII（個人識別可能情報）として捉え、プライバシー情報保護の体制を構築していく運びとなりました。

— 脳波や心電をどう取り扱うかを非常に悩まれたとのことですが、認証範囲の策定についてもご苦労はございましたか。

弊社は、PII管理者とPII処理者の両方でISMS-PIMSを取得しました

• PII管理者：生体データを取得し、分析方法を研究開発する業務
• PII処理者：生体データの分析の研究開発のための生体データ管理サービスの提供

認証範囲の策定については、脳波や心電をどう扱うべきかという点も含め、弊社の中でも整理しきれていなかった部分をLRMさんにお力添えをいただいて、なんとか言語化し策定できたという印象があります。

— コンサル会社に求めていた優先事項はございますか。

弊社は創業して間もない会社ですので、他の企業では整備されているようなところがまだ整備できていない箇所もあるのではないかと感じていました。そのため、ただパッケージを提供するようなコンサル会社ではなく、弊社の現状を理解し、一緒に解決方法を探ってくれるような会社がいいと考えていました。

LRMさんはベンチャー企業の事例も多く、また実際にISMS-PIMSを取得・運用されているというところで、伴走してくれるのではないかと期待し、依頼させていただきました。

— LRMの他にもコンサル会社は検討されていましたか。

8社くらいのコンサル会社にお話をお伺いしました。
当初は、佐野と藤原の2名で認証取得の取り組みを進める想定で、システムに関してもあまり詳しくなく、「なにが重要か」「コンサル会社選定のポイントはどこか」などを掴み切れていない状況でした。そのため、さまざまなコンサル会社のお話を幅広くお伺いしました。

少し驚いたのは、すべての会社が他社に関するコメントをされていた点です。「こちらの会社さんはしっかりされていると思います」「こちらの会社さんは弊社としてはあまりオススメできないです」など丁寧に教えてくださったので、弊社としては非常に参考になりました。

最終的には、やりとりやスタンスなどを総合的に考慮して、LRMさんを選びました。
営業の方は認証に関する知見が深く、分かりやすく回答いただけた印象ですし、システムをただ構築するのではなく、運用ノウハウまでしっかり落とし込むというスタンスが、弊社の要望に応えてくれるイメージが持てました。

— お取り組み全体を振り返られていかがですか。

ISMSを導入したことで社内フローをまとめて整備できたのは良かったと思います。
また、全社的に認証取得へ向けて取り組むことで、バラバラだった意識を統一する良いきっかけになったと感じています。

— 従業員の方からの反発はありましたか。

個人個人で、考え方や立場も違いますし、新しいことを始める際には、当然何らかのためらいが生じることもあります。そこは、なぜこのルールを構築するのかというポイントを共有しつつ、運用する中でどうしても業務上やりにくい点については、各担当者と落としどころを見つけるための話し合いを続けながら進めていきました。ポイントを外さない範囲で、なるべく無理のないルール構築・運用を目指しました。

— 認証取得後に社内外で変化はございましたか。

従業員のセキュリティに対する認識が変わってきたかなと思います。
新しいルールを導入するだけでは、段々と順守されなくなってしまう可能性もあると思います。そこで、チェックリストを作成し、四半期に1回の頻度で、従業員へ順守状況を丁寧に確認しています。継続的な確認を実施することで、さらに漏れのない体制になっていっていると思います。

— 新しく導入したルールやツールはございましたか。

主には下記の2つです。

(1)メールZipper
これまでは、メールでやり取りする際の添付ファイルへのパスワード設定などは、個人に任せている状況でした。
今回の認証取得に合わせて、社内として対応を統一するために、メール添付ではなくクラウドからのダウンロード方式で電子ファイルを送信できるメールZipperを導入しました。また、昨今の情勢も加味して、ダウンロードリンク形式の方が適していると判断したのも導入の一因です。

(2)Googleドライブ
プランをアップグレードし、共有ドライブの利用を開始しました。ログも細かく見れますし、導入してよかったと思います。

— ツールの導入に対してご苦労はございましたか。

従業員の中には、最初は戸惑いもあったかもしれませんが、大きな苦労はなかったと思います。メールZipperについては、これまで自分でパスワードをかけていた作業が自動化されたので、むしろ歓迎されていたと思います。Googleドライブについては、今回共有ドライブ導入に伴い、利用方法に関する統一ルールを整備したので、フォルダの整理が発生した従業員もいたかと思いますが、個人個人でバラバラに管理しているよりも使いやすくなった印象です。

— 従業員教育はどのように行われましたか。

情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を利用して実施しました。教材の配信が簡単で、受講結果を画面上で見ることができますし、社員もサクサク応えられていた印象で、非常に利用しやすかったです。

これまで従業員教育はあまり実施していなかったので、まずは基本的な情報セキュリティに関する『セキュリオ』の教材を配信して、テストを受けてもらいました。ISMS-PIMSに関わる教材は、認証範囲になっている部署のみに受講してもらいました。

— 『セキュリオ』で他にもご利用された機能はございますか。

委託先管理においても『セキュリオ』を利用しました。今回、委託先にセキュリティチェックのアンケートを実施しましたが、今までこういったアンケートは実施していなかったので、委託先の方と弊社の担当者で説明する場を設けてから実施しました。

— 台帳作成などについて苦労された点はございますか。

台帳は部署ごとに作成してもらいました。まずは、各担当者に基準を示して、情報資産の棚卸しをしてもらいましたが、各部署で記載粒度にばらつきがありました。その記載の統一に時間をかけた印象です。そこは、LRMさんに助言をいただきつつ、台帳にどのように記載していくべきかを模索しながら統一していきました。

— その他苦労されたところはございますか。

ISMS導入において、これまでルールがなかった部分に対して、ルールを策定する側面もあります。ルールを策定して周知していても、ルールが適用される場面に実際に相対して、「ここでこのルールが適用される」と従業員が実感しなければ、順守するのが難しいこともあります。だからといって、事務局が常にすべての従業員を見守りつつ、教えていくわけにもいきません。定期的なセキュリティチェックも実施していますが、アンケートでは「すべて実施できている」という回答であったとしても、実際に現場をチェックしてみると抜け漏れがあることもあります。現状は、事務局が気づく範囲でその都度教えていくなど、根気強く対応していっています。

— 内部監査はLRMが代行しましたが、いかがでしたか。

かなり詳細に確認していただいて、外部審査の予行練習にもなりましたので、良かったと思います。また、将来的には自社で内部監査を実施したいと考えていますが、もう一度LRMさんにお願いしたいと思っています。認証取得に向けて実施する初回の内部監査と、認証を実際に運用してみた後に実施する内部監査では、事務局の感じ方も異なってくると考えています。再度、LRMさんの内部監査に同席することで学ばせていただきたいと思っています。

— 審査はいかがでしたか。

コロナ禍ではありましたが、第二段階審査は、審査員の方に弊社に訪問いただいての審査でした。4日間かけて、ISMSとISMS-PIMSを同時に審査していただきました。
特に、ISMS-PIMSについてはかなり詳細に質問されました。審査員の方は柔らかい雰囲気ではありましたが、時々鋭い質問を受けたりもしましたので、我々としてはかなり緊張感をもって対応していたような印象です。

生体データのPII（個人識別可能情報）としての解釈について審査員の方と協議する場面もありましたが、最終的には大きな指摘や、納得のできない指摘などはありませんでした。

— LRMコンサルはいかがでしたか。

LRMさんには非常によくしていただいて感謝しております。規格の説明はもちろんのこと、どうやって質問すべきか迷いながらした質問に対しても、簡潔でわかりやすく丁寧にご回答いただけました。
また、他社事例や審査員の情報なども共有してくださったので、心強かったです。夜遅くに返信していただくこともあったりと、弊社の現状を理解して、一緒に考えつつ対応してくださった印象です。

— 今後の展望をお聞かせください。

まずは、取得した認証をきちんと運用していく上で、色々すべきことがあると感じています。また、今後サービスを開発していく中で、認証範囲が拡大していくこともあると思います。拡大しても、現状のセキュリティレベルの運用を保っていけるか、今は見えていない部分もあるかと思いますので、不安がないわけではありません。
さらに、認証取得後にも新たに従業員が増加しました。今後も事業拡大に伴い、従業員が増加していく想定です。
新入社員についても、認証の意義やポイントについて、情報共有をしっかり行っていく必要があると感じています。

そういった課題を解決していく上で、LRMさんの運用改善サポート『情報セキュリティ倶楽部』と『セキュリオ』を契約しました。情報セキュリティ倶楽部については、先述した通り、内部監査なども含めてもう1年サポートいただいて、社内にノウハウの蓄積をしていきたいという点と、初回の審査は経験しましたが、維持審査は初めて受けますので、そちらも並走していただきたいと考えています。
『セキュリオ』は、従業員教育や委託先管理において非常に便利で、現状は代替が難しいと感じているので、引き続き活用していければと思います。

株式会社ニューロスカイ様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社ニューロスカイ様のWEBサイト
※ 取材日時 2022年8月

からだポータル株式会社は、LRM株式会社のサポートを受け、2022年2月、ISMS/ISO27001認証を取得しました。
今回の取り組み期間はわずか3ヶ月。取り組むにあたっての不安、LRMに依頼した理由、取り組みの成果などについて、代表取締役・井内伸一氏、取締役・高橋克昌氏のおふたりにお話を伺いました。

お客様が抱える課題とISMS構築アプローチ

• 医療情報を取り扱うため、自社の管理体制を対外的に証明したい
• 準備期間3か月で認証を取得したい
• ISO9001認証取得の経験から、審査のために業務を変更する必要もあるのではないかと不安

• オンラインでのお打合せを毎週実施
• シンプルかつミニマムに整理させているLRMのひな形をもとに、台帳や文書を作成
• これまでの業務ルールを変えることなくマネジメントシステムを構築

LRMコンサルティングサービスへの感想

• 業務への理解が早く、マニュアルへの落とし込みも迅速かつ的確
• 審査にコンサルが立ち合ってくれたことで、心理的な障壁が取り除かれた
• 『セキュリオ』の画面を見せればよいだけの項目もかなりあった

（からだポータル株式会社について）

からだポータル株式会社は、関西屈指の規模を誇る社会医療法人出身者が独立して設立したベンチャー企業。日本国民の健康寿命の延伸を目的とし、保健師、栄養士など医療従事者のスキルを活用し、予防医療分野で事業を展開する。現在のメイン事業は、リアルな健康イベントとITシステム
（健康アプリ）による健康増進事業である。ショッピングセンター内で医療従事者による健康相談会を実施。
相談会への参加者はそこで測定データと、そのデータに基づいた保健師、栄養士からのアドバイスなどの履歴を、WEBアプリで管理・活用できる。医療従事者との接点を病院や検診センターなどではなく、日常の生活動線であるショッピングセンターに置くことで、無理なく健康管理をルーティン化する狙いがある。現在は創業メンバーが以前在籍していた医療法人と、在職中からともにトライアルを続けてきた大手ショッピングセンターと提携し、数店舗で月1回イベントを開催。今後は常設店舗を開設し、複数店舗に広げつつ、提携病院を増やす計画だ。この他、病院や薬局などの医療機関が持っている個人の健康情報を個人で管理できる電子記録サービスPHR事業にも取り組む。
健康増進事業は、第5回大阪府健康づくりアワードで地域部門最優秀賞に選定されるなど高く評価されている。
オンラインとオフラインを融合した新たな健康サービスを展開し、超高齢社会に医療業界が直面する課題解決に挑む。
設立；2019年3月。本社；大阪府高槻市。従業員数；3名（2022年6月現在）

— LRMへのご依頼内容をお話しください。

からだポータル株式会社は、2021年10月、LRM株式会社にISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。

担当者は増元さんです。11月初めにキックオフミーティングを行い、2022年1月に審査を受け、2月中旬、ISMS認証を取得しました。

11月にスタートして、少なくとも2月には審査を終えていなければならないという、非常にタイトなスケジュールでしたので、不安も大きかったのですが、結果的には、最後まで非常にスムーズに進行していただきました。

— ISMS認証を取得した理由をお話しください。

我々のビジネスで扱う医療情報は個人情報の中でもとりわけセンシティブなデータですので、その取り扱いについて、きちんと管理できていることを証明する必要がありました。その手段としてISMS認証を取得しました。

— これまでは情報の取り扱いについて、何らかのルールは定めておられましたか。

井内が前職時代は医療情報の担当者で、病院のシステムを取り扱っていましたので、前職時代のポリシーをそのまま適用していました。

— ルールを引き継ぎつつ、新しい環境でお仕事をされているということですか。

そうです。連携先の医療機関が増えたら、マイナポータルや医療情報銀行との連携も検討したいと考えています。

— 短期間での取り組みとなった経緯を教えてください。

お客様から2022年4月には取得しておいて欲しいと、明確に期日を提示してご要請いただいたことが理由です。

以前から複数のお客様から情報セキュリティに関するお問い合わせをいただいていましたので、事業拡大においてISMS取得は必須要件であるという認識はありました。そのような状況下で具体的に期日を指定されたことが、実際に取り組むきっかけになりました。

–プライバシーマークではなく、ISMS認証を取得された理由をお話しください。

プライバシーマーク（以下、Pマーク）ではなくISMSを選んだ理由は、ISMSが国際規格であるためです。
弊社は、健康アプリの開発を海外のシステム開発会社に委託しています。Pマークは日本国内の制度ですので、海外には認証が及びません。委託先でも以前から、ISMS認証の取得を検討されており、実際に先行して準備を進めていただいていました。同じ規格に基づいたルールづくりをするためにISMS認証を選択しました。

— ISMS認証取得を決めたのはいつですか。

2021年8月です。それから10月にかけてコンサルティング会社と審査会社の選定を行い、11月にスタートする運びとなりました。

— LRMに依頼された経緯をお話しください。

LRMは知人の会社からご紹介いただきました。複数のコンサルティング会社と比較した上で、LRMに依頼しました。
決め手は以下の2点です。

（1）長期的コストの安さ
認証取得時の費用は、他に安いところがありました。ただ、認証取得後の運用サポートに関しては、最も合理的な料金体系だったのがLRMです。5年、10年という長期的視野に立てばLRMが最安値でした。

（2）文書作成の簡潔さ
LRMは独自に体系化した文書のひな形を用意しています。そのひな形を、自社の業務に沿って改変していけば、ISMSの要求を全て満たした、弊社用のマニュアルが仕上がります。文書体系自体がシンプルかつミニマムに整理されているため作業量も少なくて済みます。時間がない中では非常に魅力的でした。

— それぞれ詳しくお聞きします。まず（1）について、運用サポートは、一律のサービス内容となっているのでしょうか。

いいえ。サポート内容は変わります。クライアント側がフルサポートを求めるなら、そのニーズに合ったプランも用意されています。他社は選択肢がありませんでした。

弊社としては、現在、役員2名で業務を行っている状況ですので、そんなに手厚いサポートは必要ありません。
初期構築できちんとマニュアルを作成できれば、あとは我々2人がそれを理解して、きちんと運用すれば問題はありません。実際、認証取得後は、特に意識することなくしっかり運用できています。

— （2）について、比較された他のコンサルティング会社はマニュアルのひな形を持っていなかったのでしょうか。

いいえ。ただ、ベースの考え方がLRMと他社とでは全く違います。他社はISO27001の要求項目ごとに文書を作成するところが多く、おそらくこれがセオリーなのだと思います。

病院も病院機能評価や保健所の立ち入り検査など、第三者機関にチェックされる機会がありますが、そういった時も、評価や検査の項目ごとに文書を用意するのが一般的です。ISMSも同じ考え方で、審査は規格の項目ごとにチェックされますので、他社はその項目ごとにマニュアルを用意します。

ただ、このような作り方だとドキュメントの数が膨大な量になりますし、実際の業務に即して体系化されているわけではないため、1つのルールが重複して何カ所にも記載され、管理が煩雑になってしまいます。

それに対して、LRMが作成するマニュアルは3つです。1つ目が情報セキュリティマニュアルです。「からだポータルの情報セキュリティルールはこういうもの」と規定しています。2つ目が、マネジメントシステムを動かしていくときの約束を定めた管理者向けのマニュアルです。そして3つ目が、全職員が持つハンドブックです。審査では規格の項目ごとにヒアリングされますが、3つのマニュアルの各項目が、規格のどの項目とどの項目に該当するかを示す対応表も用意していただきましたので、審査対応で戸惑うこともありません。

— 審査のためではなく、運用に主眼を置いた文書体系になっているということでしょうか。

そうですね。認証を取るだけでしたら規格に沿った文書体系でも良いかも知れませんが、今後の運用を考えれば、複雑な入り組んだマニュアルよりも、一本化されたシンプルなマニュアルの方が、確実に運用し続けられます。

— LRMとのお打ち合わせは訪問ですか。

いいえ。打ち合わせは、すべてオンラインミーティングで実施しました。一度はお会いしたかったので、内部監査だけは、訪問で実施していただきました。

— 認証取得のお取り組みはスムーズに進みましたか。

はい。滞りなく非常にスムーズに進行していただきました。

毎週ミーティングを実施して、その中で弊社の業務に関するヒアリングをしていただき、その場で、増元さんにマニュアルを修正していただきました。

マニュアルの項目ごとにヒアリングしていただいて、現状をお伝えしていくと、ミーティングが終わった時には業務に合わせた文書ができていました。これまで運用していたルールを変える必要もありませんでした。

— 追加したルールはありませんでしたか。

追加した運用ルールはありましたが、それも項目を追加して、いつまでに実施するかを実行表に落とし込んでいただけましたので、特別負荷がかかる取り組みではありませんでした。

— 追加したルールに関して、特別面倒なことはございませんか。

全くありません。あえて言うなら、情報資産管理台帳の作成と管理ぐらいです。その他、組織図とネットワーク図も新たに作成しましたが、これらもいただいたテンプレートを弊社に合わせて作り変えただけです。作成後はLRMにチェックしていただいて、アドバイスをいただいて微修正しました。

取り組み前は、もっと準備が大変かなと思っていましたが、LRMが全てお膳立てしてくださいました。持ち帰りの作業も多少は発生しましたが、キックオフミーティングの際に使用する様式をすべて指定してレクチャーしていただきましたし、実際の作業も空欄を埋めたり、少し付け足したりするだけでできるような簡潔な作業ばかりでしたので、非常に助かりました。

— 打ち合わせは何回ぐらい実施されましたか。

11月から12月まで、毎週、計6回ぐらい打ち合わせをしてドキュメントを作成し、12月の下旬に内部監査を実施しました。内部監査は増元さんに内部監査員を代行していただきました。その後、第一段階審査と第二段階審査、それぞれの前にも実施して、審査に通った後、クロージングミーティングを実施しました。

— 従業員教育はどのように実施されましたか。

LRMが提供する情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用して実施しました。弊社はリモートで仕事をしていますので、eラーニングが便利でした。

— 『セキュリオ』はeラーニング以外の機能はご利用されましたか。

法令管理、委託先管理、BCP対策の機能を使いました。BCP対策は緊急連絡の訓練を実施する機能です。

『セキュリオ』は審査対応でも活用できます。実際の審査では、「『セキュリオ』で管理しています」で片付けた項目も結構ありました。

— 内部監査員代行もご利用になったのですね。

初年度はよくわかりませんので、とりあえずお願いしました。2年度目以降は、我々が監査員を務めても問題がないことを確認していますので、いろいろと考えて実施したいと考えています。

— 内部監査と、外部審査の直前に実施した打ち合わせは、目的は異なるものですか。

外部審査前の打ち合わせで実施したのは、書類確認と想定問答です。内部監査も審査を見越して実施していただきましたが、内部監査の時点で、修了していない施策もございました。例えば、イベント関連の施策は、実際にイベントを開催しなければ実施できません。外部審査前の打ち合わせでは、そういった部分も含めて確認していただきました。

— 審査はいかがでしたか。

ありがたいことに、本質に関わる部分での指摘はありませんでした。指摘があったものは、弊社としては、特に対応する必要を感じないものばかりでした。指摘に対しては、その場で、理由も一緒に説明して納得していただきました。

— ISMS認証取得に取り組まれたご感想をお話しください。

思った以上に楽だったというのが正直な感想です。我々はセキュリティに関しては、以前から非常に意識して取り組んでいました。それも楽に感じた要因の１つだと思います。これまで信じてやってきたことに対し、外部の方からお墨付きをいただいたことで、さらに自信を持って営業ができるようになりました。

また、審査に関しては、“審査のための審査”になるのではないかと思っていました。しかし、今回は全くそんなことはありませんでした。LRMも審査会社も、弊社の現状の業務を変えずに、いかにセキュリティを担保するのかという、運用の視点で見てくださいました。重箱の隅をつついて、これができていなければ絶対駄目といった指摘は一切入りませんでしたので、形骸化しない、運用しやすいマネジメントシステムができました。

— 今後の取り組みに関する展望をお話しください。

セキュリティを強化するために何か特別なことをするという視点ではなく、お客様に、安心、安全に我々のサービスをご利用いただくためにどうするかということが重要であると考えています。そのために必要なことがあれば、取り組んでいきたいです。

— LRMのコンサルティングを受けたご感想をお話しください。

非常に良かったです。我々が話したことの理解も早かったですし、マニュアルへの落とし込みも、迅速かつ的確に行っていただきました。

また、審査の際は、増元さんがオンラインで、オブザーバーとして立ち会ってくださいました。今回の取り組みでは、作業そのものの苦労より、審査に向けた心理的な圧迫感を強く感じていました。病院時代にISO9001認証を苦しみながら取得した経験があるからです。しかし立ち会っていただけただことで、心理的な障壁が大分取り除かれ、落ち着いて審査を受けられました。

— LRMへのご期待をお話しください。

現時点で具体的な商談は進んでいませんが、今後は、ISMSの運用改善サポート『情報セキュリティ倶楽部』と『セキュリオ』を契約する予定です。

とりあえずISMS認証は取得できましたが、今後も更新し続けなければいけません。毎年の維持審査は心配していませんが、3年ごとの更新審査はフォローしていただいた方が安心です。

また、我々が取り扱うデータは、将来的にマイナポータルや医療情報銀行と接続する日が来ます。その時は、より強固なセキュリティポリシーを求められますので、その中でしっかり運用していくためにどうしたら良いか、ご相談させていただきたいと考えています。

からだポータル株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ からだポータル株式会社様のWEBサイト
※ 取材日時 2022年6月

イシン株式会社は、LRMのサポートを受け、2021年7月にISMS/ISO27001認証を取得し、2022年6月にISMS-PIMS/ISO27701認証を取得しました。取り組むにあたっての不安、LRMに依頼した理由、取り組みの成果などについて、吉沢氏と鮫島氏のおふたりにお話を伺いました。

お客様が抱える課題とISMS構築アプローチ

• 事業拡大に伴い、社内体制を整備したい
• 社内にISMSに詳しい人材が不足している
• プライバシーにも配慮した体制を構築したい

• 各部署の責任者への意識づけを徹底し、自社に馴染むルールを構築
• ISMS認証に加えて、ISMS-PIMS認証も取得
• より顧客に寄り添うために自社サービスのホワイトペーパーも作成

LRMコンサルティングサービスへの感想

• コンサル変更も、各実施項目への理解が深まり取り組みがより円滑に
• 細かい打合せを実施してくれたり、親身に対応してくれた
• 『セキュリオ』のeラーニング教材はシンプルで的確

（イシン株式会社について）

イシン株式会社は、「創発」をキーワードに、メディアPR領域・公民共創領域・グローバルイノベーション領域の3つの事業を柱として展開している。メディアPR領域では、1999年に創刊された名立たるベンチャー経営者のインタビューなどを掲載する雑誌「ベンチャー通信」をはじめとした自社メディアを運営し、企業のブランディング・マーケティング支援をおこなっている。また、企業の採用オウンドメディアを制作・運用するためのクラウドサービス「HIKOMA CLOUD」も展開。この他、自治体の経営力を上げる情報サイト「自治体通信」や、行政課題の解決を支援する製品サービスの比較検討・資料請求サイト「RABAN」、世界のスタートアップ情報やエコシステムの動向を発信する情報サイト「TECHBLITZ」など、複数のメディアを企画・運営。
世界的視野を持った事業家が生まれる「創発」的企業文化を重視し、未来を創るイノベーション機会を世界中に広げるべく、社会の進化に貢献する事業を積極的に展開していく。
設立：2005年4月。本社：東京都新宿区。従業員数：74名（2022年7月末日時点）

— LRMへのご依頼内容をお話しください。

イシン株式会社は、2020年11月にISMS/ISO27001（以下、ISMS）認証取得コンサルティングを依頼しました。

担当者は柴田さんです。2021年6月に第二段階審査を終え、同年7月にISMS認証を取得しました。

その後、ISMS認証のアドオン認証である、ISMS-PIMS/ISO27701（以下ISMS-PIMS）認証取得コンサルティングを2021年8月に依頼しました。こちらも柴田さんのサポートのもと準備を進め、2022年5月に審査を終え、同年6月にISMS-PIMS認証を取得しました。

— コンサル会社選定のポイントを教えてください。

情報セキュリティを構築する上で、単に認証を取得するだけではなく、会社全体の情報セキュリティレベルの向上を図っていきたいと考えていました。
ただ、社内には知識を持った人間があまり多くなかったので、ノウハウなどインプットをしっかりしてくださるコンサル会社を希望しました。コンサル会社の中には、ISMSまでとにかく最短でこれさえやっておけば大丈夫といったようなところもありました。
しかし、ルールが社内に定着してマネジメントシステムをきちんと運用していくことが本質だと思いましたので、しっかりと社内に根付く仕組みづくりをサポートしてもらえるかを重視しました。

また、弊社にLRM代表取締役の幸松さんと交流のある社員がいたこともあり、そのようなご縁を大切にしたいという想いもありました。もちろんご縁だけで決めたのではなく、何社かピックアップをして、他コンサル会社の話もお伺いしましたが、あくまで審査に受かることを重視している受験的なところや、フォーマットだけ頂いて、後は自社で構築していかなければならない印象を抱いたところもありました。

最終的には、最新のセキュリティ動向を共有してくださったり、丸投げではなく一緒に運用まで考えてくださる印象を抱いたLRMさんを選びました。

— 新しく導入したルールやツールはございますか。

大きく分けて下記2つが新しく対応・導入した部分です。

（1）マニュアルや文書の整理
全社横断的に情報資産をまとめているものや、社内的なルールを明文化したものは無かったので、まずはベースとなるものを作成しました。また、従業員向けのハンドブックなども作成しました。

（2）情報セキュリティ教育クラウド『セキュリオ』の導入
法令管理やeラーニングを実施するために導入しました。
クラウド上で受講管理ができたり、新たな教材もどんどんアップデートされるので、非常に便利でした。

— 最も工数がかかったのは、どのような部分ですか。

やはり文書化は時間がかかりました。LRMさんのフォーマットもありましたので、もちろん活用はしましたが、既存事業にどう融合させていくのかが重要だと考え、単純にひな形を落とし込むだけではなく、どうすれば最も自社に馴染むのかを意識しつつ、時間をかけて検討しました。

— 全社横断的な文書の作成はどのように対応されましたか。

細かいところも含め部署数も多いですし、関わる責任者も多いので、それぞれにISMSの考え方を落とし込むのは大変でした。そこは、各担当者とミーティングを設けて、各部署の業務内容についてヒアリングしつつ、起こりうるリスクの検討を伴走して対応していきました。複数の事業があるので、各々の色にあわせてリスクを洗い出すためにマンツーマンで検討していきました。

また、LRMさんのフォーマットが分かりやすく体系的にまとめられており、情報資産についても噛み砕いて記載されていたり、リスクにおいても何がリスクになりえるのかという基準が記載されていたりしましたので、自力でまとめあげることができた印象です。

— 部署数が多いとのことでしたが、社内周知はどのように対応されましたか。

責任者だけではなく、すべての従業員に周知が必要になるため、作成したマニュアルをメールや社内のお知らせページで展開したり、情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を利用して教育を実施したりしました。

また、繰り返しにはなりますが、責任者にマンツーマンで考え方を落とし込むことに注力しました。自発的に考えてもらえるようになるためにはしっかり根付かせることが重要だと考え、時間をかけて対応しました。

— 情報資産を管理する台帳の作成などはいかがでしたか。

情報資産は上げるとキリがないところもありますので、どのような粒度で記載していくかを部署ごとに検討しました。また、コロナ禍の影響でリモートワークも併用しており、情報の保管場所をクラウドに移したりと、情報資産の在り方も変化している状況ですので、きちんとヒアリングをして、実態にあわせて作成しました。

部署数は多いですが、それぞれ担当者を設けていましたし、先ほど述べたようにしっかりと考え方を落とし込んでいたので、ある程度共通認識をもって進められたと思っています。

— ISMS-PIMSの取り組みとして新しく対応されたルールはございますか。

弊社は、「RABAN」と「HIKOMA CLOUD」というWebアプリケーションの開発もしており、今回新たにホワイトペーパーを作成しました。これらのWebアプリケーションでは個人情報も多く取り扱いますので、お客様が利用するにあたってご不安を抱かれるような点をできる限り解消するために作成しました。ISMS-PIMS認証取得においてホワイトペーパーの作成はマストではありませんが、プライバシーに配慮するという観点から、今回取り組んで良かったと思います。

— 本業の業務が圧迫されたということはございませんでしたか。

全くなかったというと嘘にはなりますが、ひな形も用意していただきましたし、想定よりは作業量としては多くありませんでした。特に初年度以降は、次の審査に向けて長期スパンでずっと張り付いていなければならないわけではなく、内部監査や文書の見直し、審査前などポイントで注力すべきところがある形です。

その他の運用においては、責任者への意識づけを行っていたので、事業部ごとにリスクを意識して改善してもらう形で、作業負荷を分散できた側面もあると思います。

— 従業員教育はどのように実施されましたか。

『セキュリオ』を利用してeラーニングを実施しました。

まずは、審査に向けて最低限必要な基本の情報セキュリティを学ぶ教材を、従業員と事務局向けにそれぞれに配信しました。また、プラスアルファとして、セキュリティ事故事例について学ぶ教材や個人情報に関する教材なども利用しました。

個人情報に関しては、『セキュリオ』でPマーク向けの教材が配信されており、そちらを受講しました。Pマークは今回取得はしていませんが、ISMS-PIMSにおいても個人情報という概念は重要ですので、審査において必須ではないですが受講しました。

— 『セキュリオ』をご利用いただいた感想をお聞かせください。

事務的な観点でいうと、テストなども含めて『セキュリオ』で実施できたのは、自分たちで教材などを作成するよりも工数が削減できますし、従業員の理解度が上がる側面もあったかなと思います。また、従業員からも自分の業務を見直すいい機会になったという意見が出ています。

— 内部監査はどのように実施されましたか。

内部監査は柴田さんにお願いしました。将来的には、自社で実施することもあるとは思いますが、審査に加えて内部監査においても、外部の方に第三者目線から確認していただくことは有効な手段だと考えています。我々の情報セキュリティの考え方や取り組み方に対して、自社としては問題ないと思いつつも、自社だけでは見えづらいリスクもあるかと思いますので、直近はLRMさんに実施していただきました。

弊社の事業の特性も理解した上で質問をしていただけたり、我々が認識できていなかったリスクを指摘いただけたりしましたので、非常に良かったと思います。

— 審査を受けたご感想をお聞かせください。

ISMS新規取得の際は、直前に柴田さんと細かくお打合せをさせていただいたり、社内調整をしたりしました。
そのおかげもあり、審査はスムーズに対応できたと思います。第二段階審査では、各部署の担当者が質問を受けていましたが、しっかり認識を共有していたので、大きな指摘事項もなく審査を終えられました。

審査員の方は、会社にとって有益になるように細かいところまで見ていただけて、弊社の事業を理解した上で、その特性に合わせた今後の運用のアドバイスをいただけたという印象です。

規格上、最低限対応すべきところは対応できていたこともあり、「絶対にこうすべき」というよりは「こういう考え方もある」というような提案をしていただきました。意図が掴みづらい指摘については、審査当日に審査員の方とディスカッションさせていただいたので、納得できない指摘などはありませんでした。

— ISMSとISMS-PIMSの審査において違いなどはございましたか。

ISMSの2回目の審査とISMS-PIMSの初回の審査は同日に行われましたが、ISMS-PIMSにおいては、ISMSの観点からプラスアルファで要求事項が増えますので、ISMS-PIMSの対象範囲に含まれる部署については掘り下げて質問されました。PIIと呼ばれる個人識別情報がどのような体制で管理されているのかを詳細に質問された印象です。

— LRMのサポートについてはいかがでしたか。

情報セキュリティやISMSの考え方を分かりやすく教えていただけたのがすごく良かったと思います。ビジネスとしての体系にとらわれずに、本当に親身になって対応いただけたことが、事務局としての不安解消にも繋がったと感じています。認証取得ができたのは、LRMさんのサポートのおかげかなと思います。

— コンサルタントの柴田はISMS新規取得のお取り組みの途中から担当になったかと思います。前任のコンサルタントの際に、コミュニケーションがうまく取れずご迷惑をおかけしたかと思いますが、柴田に代わってからはいかがでしたか。

情報セキュリティとは何かという本質的な部分についても丁寧にご説明いただけて、我々の理解が追いついた上で、ひとつひとつの工程を進めていくことができるようになったことで、取り組みがきちんと回るようになっていったと思います。結果として無事に認証も取得できましたし、当初予定になかったお打合せを実施していただいたり、親身に対応していただけたので、柴田さんに担当していただけて良かったと思っています。

— 今後の展望をお聞かせください。

今回、認証を取得できたことは良かったと思っていますが、あくまで一つの通過点です。これからは認証を取得している企業として、相応しい社内体制の運用や見直しを継続的に実施していく必要があると感じています。審査があるから対応するというわけではありませんが、まずは次の審査に向け、ISMSの本質を踏まえて、リスクをより低減できる仕組みを作っていきたいと思っています。

また、会社としては、現在3つの事業を基盤として進んでいますが、「創発」をキーワードにしており、新たな事業が創発していく環境を大切にしています。ですので、今後新しいアイデアが生まれてきた際にも、守りの部分も固めていけるように、従業員一人ひとりのセキュリティに関するリテラシーをより向上させていきたいと思っています。現状に満足するのではなく、より磨き込んでいった上で、セキュリティ事故を無くしていければと思います。

— LRMへの今後のご期待がございましたらお聞かせください。

今回のお取り組みで情報セキュリティの基盤となる考え方については教えていただけましたが、情報も多様化しており、さまざまな面で新しいリスクが生まれてくるかと思います。そのため、運用支援サービス『情報セキュリティ倶楽部』と『セキュリオ』を契約しました。
引き続き、情報提供や運用におけるご相談など、伴走していただければ嬉しいです。
『セキュリオ』についても、最近ハラスメント教材なども追加されたり、教材内容がシンプルかつ的を射ていて非常に良いと感じています。『セキュリオ』を利用することは、事務局としての工数も削減できますし、従業員のリテラシー向上にも繋がると思いますので、引き続き活用していきたいと思います。

イシン株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ イシン株式会社様のWEBサイト
※ 取材日時 2022年8月

FastLabel株式会社は、自社サービスの正式リリースを目前に控えた2021年7月、LRM株式会社にISMS/ISO27001認証新規取得コンサルティングを依頼されました。コンサルティング会社選定にあたっては、自社に近い属性の企業に対するサポート実績を重視したと言います。ISMS/ISO27001認証取得の背景と、認証取得に取り組むにあたって抱いていた懸念、そして取り組みの成果について、代表取締役CEO・上田英介氏にお話しいただきました。

お客様が抱える課題とISMS構築アプローチ

• サービス展開のためにISMSを早期に構築したい
• 組織拡大に向け、よりお客様に安心していただけるセキュリティ体制を構築したい

• 実態に即したセキュリティ整備で事業スピードを落とすことなくセキュリティを向上
• 各部署におけるデータの扱い方を可視化し、整理
• 『セキュリオ』のeラーニング機能を利用して、従業員のセキュリティ意識を統一

LRMコンサルティングサービスへの感想

• 問い合わせ時のレスポンスが非常に早く、安心感があった
• 最小限の工数、かつ、きちんとセキュリティが担保できるような提案をしてくれた

（FastLabel株式会社について）

自社開発のアノテーションツール、高度人材を活用した教師データ作成サービスおよびコンサルテーション、MLOps（機械学習基盤）構築を包括した国内唯一のオールインワンソリューションを提供している。テクノロジーの活用により、アノテーション作業と品質チェックを自動化する一方、最終的には人が修正をする。それによりアノテーションのコストと期間を最大70%削減するとともに、99.7%のデータ品質を実現している。2021年9月の正式リリース以来、建築、不動産、製造業、医療、通信インフラ系の大手企業を中心に導入が進んでいる。対象となるデータも、画像、動画からスタートし、2022年に入って、テキスト、音声と領域を拡大している。今後は、アノテーションサービスの精度/スピードをさらに高め、最終的には教師データを作成するだけでAI開発が可能なソリューションの提供を目指す。
本社：東京都品川区。設立：2020年1月。従業員数：約10名（2021年11月現在）。

— LRMへのご依頼内容をお話しください。

FastLabel株式会社は、2021年7月、LRM株式会社に、ISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。担当者・石濱さんのサポートのもと、準備は順調に進み、同年11月に第2段階審査を終え、12月にISMS認証を取得しました。

— ISMS認証取得のお取り組みについて伺う前に、少しだけ御社についての質問をいたします。現在、従業員数は10名とのことですが、どのような職種構成で事業を行っておられるのですか。

取締役や経営層を除きますと、開発とカスタマーサポートに分かれます。

— 御社の社員の平均年齢はおいくつぐらいですか。

30歳ぐらいです。20代後半から30代中盤ぐらいの従業員で構成されています。

— 上田社長はもともとAI開発に携われていたエンジニアですか。

そうです。もともとAIを組み込んだシステムの開発などに携わっていました。その中でデータの作成や収集に9割ぐらいの工数を取られていて、ここが解決しない限り実社会へのAIの実装が進まないという問題意識がありました。
そこで、教師データを作るためのツールやサービスを提供することを目的としてFastLabelを設立しました。

— ISMS認証を取得するにあたり、ご心配されていたことはございませんでしたか。

そもそも、ISMS認証を取得しようと思ったものの、取得するために何をしなければいけないかがわかっていませんでしたので、コストはもちろんのこと、社内のリソースもどれぐらい割く必要があるのかという不安はありました。

スタートアップで人数も少ないため、本来ならば製品開発や営業にリソースを集中させたいところです。ISMS認証取得にはそういったリスクが伴うものと感じていました。

それは認証取得のフェーズだけではありません。認証取得後の運用面でも、きちんとやろうとすれば大きな負担はかかるものと思っていました。

以上のような懸念事項があったため、コンサルティング会社の選定では、弊社の事業速度を可能な限り緩めることなく、お客様にご安心いただける体制をいかに構築できるかという視点で比較検討しました。

— コンサルティング会社選定の経緯をお話しください。

まず、インターネット検索でコンサルティング会社を、LRMを含めて3社か4社ぐらいピックアップして問い合わせをしました。その中で、LRMに依頼した決め手は、以下の2点です。

（1）自社と共通点を持つ企業へのサポート実績
事業フェーズが近いSaaS企業、小規模なスタートアップ企業、リモート環境で業務を行っているなど、弊社と共通要素を持った企業へのサポート実績が豊富である。

（2）問い合わせに対するレスポンスの早さ
問い合わせ時のレスポンスが非常に早く、安心感があった。

— 御社はフルリモートワークを採用されているのですか。

リモートワークが基本です。オフィスに常駐しているのはカスタマーサポートのみです。

— コンサルタントの第一印象はいかがでしたか。

初回のミーティングで、スケジュールや取り組むべきタスク、ステップなど、どのようにしてISMS認証を取得していくかを、詳細にご提示いただいたことで、安心感がありました。

— 予め認証取得の期限は決めておられたのですか。

お客様のご要望もありましたので、2021年12月までに取得したいという話をしてスケジュールを組んでいただきました。予定通り、12月に認証書も届きましたので完璧です。

— ご苦労はございませんでしたか。

思っていたよりもスムーズに進行できました。もっと弊社側で準備すべきものや、整備すべきものがあると思っていましたが、LRMが、最小限の工数で、かつ、きちんとセキュリティが担保できるような提案をしてくださったことで、
スムーズに進められました。

— 御社のタスクとしてはどのようなことがありましたか。

主だったものは、ツールの運用方法の統一、情報セキュリティマニュアルの作成、契約書など物理的な資産を保管している箇所の施錠などです。

— 取り組み以前は、もっといろいろなことやらなければいけないだろうと思っておられたのですか。

はい。前職時代の経験から大変だろうと想像していました。前職時代は数千名規模の企業で、細かいルールが存在していました。それと同様のことをやらないとISMS認証を取得できないと思っていましたが、弊社の現在の業務に即したレベルの整備で落ち着きました。

それによって事業スピードを落とすことなくセキュリティを向上させることができました。従来は、社員個々の意識に任せていましたが、ルールを文書化してマネジメント体制を構築したことで、全社的に統一化されたルールのもとで業務を行えるようになりました。また、セキュリティ教育や運用状況をチェックする仕組み、さらにルールを見直してアップデートする仕組みが整いました。

— 社員のみなさんが意識すべきルールにはどのようなものがございますか。

マニュアルに記載した細かいルールはいくつかありますが、わかりやすい例としては、資料やデータの受け渡し方法があります。弊社では社内コミュニケーションに『Slack』を利用していますが、お客様の情報を含めた資料やデータを受け渡しする際は、チャット上に直接アップロードせず、クラウドストレージにアップロードして共有リンクを貼るようにしました。また、名刺の管理方法も統一しました。クラウドサービスを活用し、アップロード後、原本は廃棄することにしました。

この他にもありますが、各部署におけるデータの扱い方を可視化し、整理できたことは、重要な成果だったと思います。私は元々開発側の人間なので、開発現場は把握していますが、それ以外の部門を含めて会社全体のフローが把握できるようになりました。

— LRMのサポート内容についてうかがいます。まずルール構築や文書作成に関してはどのようなサポートがございましたか。

キックオフミーティングの際に決めたマイルストーンに合わせて打ち合わせを設定していただき、その中で弊社が準備すべきドキュメント類の作成に取り組みました。

ISMS認証を取得するために何をしなければいけないのか、明確に指針を示していただけましたので、弊社はそれに沿ってやるべきことを進めていくことで、弊社の事業規模や事業フェーズに適した情報セキュリティ体制を構築できました。

— 文書作成の作業は全て御社側で行われたのですか。

ヒアリングをもとにたたき台を作っていただき、打ち合わせの中で読み合わせしながら、弊社の業務に合わせて、一緒にカスタマイズしていきました。ルール作成で困ったときは、LRMに複数の対策例を示していただき、参考にして決めました。

また他のメンバーと一緒に検討しなければならないこともありましたので、そういった場合は、一旦持ち帰っての作業となりましたが、わからないこと、困ったことがあった場合は、緊急に打ち合わせをさせていただいたり、『Slack』で問い合わせてアドバイスをいただいたりしながら進めていきました。

問い合わせに対しては、常にクイックにレスポンスをいただけましたので、遅延なく、スムーズに進められました。
サポートレベルとしては非常に満足しています。

— ISMSの専門用語は難解ではありませんでしたか。

ISO27001の規格とマニュアルの項目をマッピングする資料や、マニュアルの各項目がどのような観点から記載されているのかを説明する資料などもありましたので、それらを参考にすることで、スムーズに理解できました。

— ルールの浸透に関するサポートはございましたか。

ルールの浸透は、まだ組織が小さいこともあり、さほど困ったことはありませんでした。

ただ、非常に助かったのが情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能の提供です。セキュリティ教育用のコンテンツを一斉に送信して、従業員の受講状況や理解度を一元管理することができます。意識の統一を図る上では非常に便利でした。

— 『セキュリオ』は使いやすかったですか。

非常に使いやすかったです。シンプルですし、eラーニングのみならず、情報セキュリティ体制を構築するために必要な機能が備わっているので、非常に良かったと思います。

— eラーニングの他の機能も使われたのですか。

サプライチェーン・マネジメント、法令管理機能を利用しました。

— 『セキュリオ』は継続利用されるのですか。

はい。『セキュリオ』を活用することで運用コストを下げることができますので継続利用の契約をしました。

— 今後はどのような使い方を想定されていますか。

年に１回、維持審査や更新審査に向けた取り組みの一環として、eラーニング、サプライチェーン・マネジメント、
法令管理、それぞれの機能を利用します。

特にeラーニングは従業員全員、合格するまで受けてもらいます。弊社の場合、現在のところ新卒採用はしておらず、実務経験を踏んで来た者ばかりですので、ある程度のベースはできています。定期的に教育を実施することで、セキュリティ意識をアップデートし続けることは重要であると考えています。

— 内部監査のサポートはございましたか。

内部監査は、内部監査委員代行をお願いしました。

— 内部監査は監査員を代行してもらうメリットをお話しください。

弊社内には、情報セキュリティマネジメントの専門家がいるわけではありません。外部の専門家が関与することで、
第三者視点による適正か監査ができます。また審査に向けての最終チェックの機会にもなりました。
内部監査で指摘された箇所に対しては、リスクを洗い直して、対応するかしないかを含めて社内で検討し、対応すべき箇所は改善して審査に臨みました。

— 実際に受けた審査はいかがでしたか。

内部監査で一通りチェックいただいたため、ほとんど緊張することもなく対応することができました。また、何点か指摘事項をいただきましたが、いずれも軽微なものばかりでした。

— Pマーク取得もご検討されているとのことでしたが、それ以外に情報セキュリティの取り組みに関して課題や展望がございましたらお話しください。

事業が順調に拡大し続ける中、今後は組織も拡大していく見込みです。計画上は、2022年度中には現在の2倍から3倍ぐらいの規模を目指しています。

そういった中、情報セキュリティマネジメントに関しても、よりご安心いただけるような体制を構築することが重要です。具体的には、情報セキュリティ委員会を設置して、全社的な活動に発展させていきたいと考えています。

— LRMのコンサルティングを受けたご感想をお話しください。

非常に満足しています。スケジュール通り、スムーズに認証を取得することができましたし、ISMS認証取得までの過程においても、事業スピードを落とすほどの負担はかかりませんでした。

— 担当コンサルタントの対応はいかがでしたか。

石濱さんは、細かいところまでしっかり丁寧にサポートしていただき、非常に助かりました。

— 今後のご期待がございましたらお話しください。

今後はPマークの取得もございますし、事業や組織を拡大していく中で、変えなければいけない部分が出てくるものと考えています。『セキュリオ』を活用してISMSを運用しつつ、新たな取組をする際には、改めてLRMに相談に乗っていただきたいと思います。

FastLabel株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ FastLabel株式会社様のWEBサイト
※ 取材日時 2022年2月

不動産ビジネスのDXに取り組み急成長を遂げるGA technologiesグループは、2020年4月、中核企業である株式会社GA technologiesにおけるプライバシーマークの更新対応および子会社2社におけるISMS/ISO27001認証新規取得のコンサルティングを、LRMに依頼しました。全体で1年間以上に及んだ取り組みの経緯と成果について、事務局の皆さんにお話を伺いました。

お客様が抱える課題とISMS構築アプローチ

• プライバシーマークの運用最適化のため文書をスリム化したい
• グループ会社2社まとめてISMS認証を取得したい
• 支援を受けているコンサル会社がISMSに対応していない

• ISMSとPマーク両方対応可能なコンサル会社を選定
• 事業や組織の特色が反映された必要十分のISMSに関するルールを構築
• プライバシーマークの文書体系をシンプルにすることで運用の負担を軽減

LRMコンサルティングサービスへの感想

• 的確なガイダンスでやるべきことを見失わず進行できた
• 『セキュリオ』は、アカウントを作成すれば教育の実施や受講履歴の管理ができて便利

（株式会社GA technologiesについて）

メインサービスは、住まい探しと資産運用のプラットフォーム『RENOSY』。“住まいを「借りる」「買う」「売却する」「貸す」、不動産に「投資する」”をトータルでサポートする。同プラットフォームで扱う物件数は、東京都心の建物だけで15万棟以上と、大手ポータルサイトと同等の規模を誇る。また、会員数22万人以上、月間PV数280万以上と、業界トップクラスの集客力を誇る。メイン商材は投資不動産。中古マンション投資の売り上げ実績は2年連続でNo.1（東京商工リサーチ調べ）を獲得している。初期費用、月額負担ともに、会社員でも手軽に始められる低コストであることから、20代、30代が75パーセントを占める。AIやRPAなどのテクノロジーを活用した各種サービスを通し、従来の不動産業界が抱えていたアナログさや不透明さの解消を目指している。「テクノロジー×イノベーションで、人々に感動を生む世界のトップ企業を創る。」を理念に掲げ、不動産テック（PropTech）領域を軸としたビジネスを展開するGAテクノロジーズグループの中核企業でもある。不動産業界で唯一、経済産業省が定める「DX認定事業者」の認定を2年連続（2020年。2021年）で取得。
本社；東京都港区。設立日；2013年3月。グループ従業員数；約750名（2021年7月現在）。

（株式会社RENOSYX（リノシークロス）について）

主にBtoCのビジネスを展開しているのに対し、金融機関向けのシステム開発を中心としたBtoB事業を展開する。
不動産物件の購入を希望する個人と金融機関との間に入っている不動産事業者との間をシームレスにつなぐ住宅ローン申込プラットフォームサービス『MORTGAGEGATEWAY』の他、不動産業務のDXを推進するB2B向けSaaS型サービスを提供。不動産取引に関わる様々な業務をテクノロジーで再構築し、金融機関や士業など、不動産取引に関する全ての業務の効率化・透明化しシームレスにつなげることで、業界の活性化とさらなるマーケット拡大への貢献を目指す。
設立；2019年11月。

（株式会社RENOSY FINANCEについて）

FinTechとPropTechの融合により、新しい不動産取引体験の創造を目指す。2020年12月、リノベーション費用のワンストップ貸付サービスをスタート。リノベーション時の一時的な自己資金の負担を軽減し、リノベーションを通じた賃料アップによる負担の少ない返済計画を提案。よりリノベーションがしやすい環境を整えることで、中古マンションの価値向上につなげる。今後は不動産関連費用の融資、クラウドファンディングサービス、家賃債務保証サービスの提供などを目指している。設立；2018年11月。

— LRMへのご依頼内容をお話しください。

GATechnologiesグループは、2020年3月、LRMにグループ3社に対するISMS/ISO27001（以下、ISMS）認証新規取得とプライバシーマーク（以下、Pマーク）の更新対応のサポートを依頼しました。プロジェクトは各社ごとに進行しました。LRMの担当者は、いずれも三崎さんと小池さんのお二人です。

各社、以下の内容でサポートしていただきました。

（1）ISMS認証新規取得

• 株式会社RENOSYX   サポート期間；2020年4月～9月
• 株式会社RENOSY FINANCE   サポート期間；2021年4月～9月

（2）Pマーク更新対応

• 株式会社GA technologies   サポート期間；2020年9月～2021年5月

— RENOSY X社およびRENOSY FINANCE社がISMS認証を取得した理由をお話しください。

RENOSY X、RENOSY FINANCE、いずれも今後の事業成長に向けた準備の一環としてISMS認証を取得しました。

（1）RENOSY XがISMS認証を取得した理由
RENOSY Xは銀行と連携するシステムを提供していますので、銀行からセキュリティチェックを受けます。その際、ISMS、またはPマークを持っているかどうかを訪ねられます。扱う情報は個人情報だけではありませんので、PマークではなくISMSを取得することにしました。

（2）RENOSY FINANCEがISMS認証を取得した理由
RENPSY FINENCEは、LRMに依頼した時点ではまだ事業の準備をしている最中で、貸金業者のライセンスを申請しているところでした。ライセンス取得の要件として、行政機関からISMSかPマーク、いずれかの取得について問い合わせをいただいていましたが、RENOCY FINANCEは将来的にフィンテック事業を視野に入れているため、ISMSを取得しました。

— 認証取得の時期はいつ頃を目指しておられたのですか。

RENOSY Xはできるだけ早く取得したいと考えていました。RENOSY FINANCEに関しては、特段急いでいたわけではありませんが、グループとしての負担を軽減するために同時進行でスタートしました。

ただ、内部監査まで進んだ時点で、RENOSY FINANCEのサービス内容が固まっていなかったため、一旦保留にし、RENOSY Xの認証取得を優先して取り組みました。その後、2020年末までにサービスリリースの目処が立ってきたため、RENOSY Xの更新審査時期にあたる、2021年9月の取得を目指してRENOSY FINANCEの取り組みを再開しました。

— GA technologies様のPマークの取り組みはいかがでしたか。ルールや文書体系の見直しは、当初の目的通りにいきましたか。

はい。既存のルールをスリム化するとともに、改正個人情報保護法への準拠もできました。また、文書体系がシンプルになったことで、運用面の不安も解消されました。ただ運用面で各種記録類など紙を使う部分が残っていますので、改善の余地はまだまだあります。

正直なところを申し上げますと、見直し前は、文書体系が複雑で、運用上、大きな負担がかかっていました。現場の担当者からすると、「何故、こんなことをやらなければいけないのか」と疑問に思うところもありました。弊社の業務に合わない点や、やりすぎではないかと思う点は、LRMに相談し、適宜、アドバイスをいただきながらルールや文書類を整理しました。

— 作業を進める上でのご苦労はございませんでしたか。

個人情報管理台帳を更新するなど、社内の各部署で担う作業をとりまとめる苦労はありましたが、ルールやマニュアルをアップデートする作業では苦労を感じたことはございません。

— 一連の取り組みを振り返ったご感想をお話しください。

近年、GA technologiesグループは全体的に急成長しております。その中で、情報セキュリティに関しても、成長に応じて、考えつく限りの対策は打ってきました。ただ、それで十分かと問われれば、自信を持てないところもありました。今回の取り組みでは、LRMのコンサルタントから、ISMSやPマークの全体像を示していただいた上で、アドバイスをいただきながら不足している要素を補うことができました。

情報セキュリティには正解がないように感じています。何をすべきか想像することは出来ますが、優先順位を決めて取り組もうとしても、判断材料がありません。しかしLRMのサポートを受けたことで、世間から見てもさほどずれていない基準を作ることができたのではないかと思っています。

— 今後の展望をお話しください。

今回のLRMとの取り組みによって、各社におけるISMS、Pマークの文書体系が整備され、リスクアセスメントやセキュリティ教育、内部監査などの仕組みが整いました。また、内部監査でチェックした内容を経営層に報告し、課題感や今後の方針を共有することもできるようになりました。これらの仕組みをベースに、グループ全体の統一ルールを構築していきたいと考えています。

— ISMS認証については、グループ全体に拡大していくご予定ですか。

現在、まさにそこに向けた整理を始めているところです。GA technologiesグループは現在急成長を遂げている最中です。M&Aなどで外部からグループに参画してくる子会社も増えています。今後はそういった子会社を含めたグループ間での連携が増えていきます。そのためにはグループ全体の統合ルールを再構築していく必要があります。1年強におよぶLRMとの取り組みによって、そのためのベースを整備することができました。

— LRMのコンサルタントはいかがでしたか。

LRMの三崎さん、小池さんには、誠実に対応していただき、感謝しております。無理をお願いしたこともあったかも知れませんが、1つずつ丁寧に対応してくださいました。

— 今後の御期待をお話しください。

現在、単発でサポートしていただける運用サポートサービスをご提案いただいておりまして、検討しているところです。一連の取り組みで、ベースは整備できましたので、一旦、社内でPDCAサイクルを回してみて、その中で躓くポイントでアドバイスをいただきながら、より良いマネジメントシステムを作っていきたいと考えています。

GA technologiesグループの皆様、お忙しい中ありがとうございました。

GA テクノロジーズグループのWebサイト
※ 取材日時 2021年12月