株式会社インストラクションはクラウドサービスの需要が高まる中、パブリッククラウド上の個人情報保護を目的としたISO27018 認証の取得を行いました。国内取得3例目となったプロジェクトが、どのように進んだのか、LRMのサポートに対する評価も含め、システム部 部長・佐野康典氏にお話を伺いました。

株式会社インストラクションは、中小企業を主要顧客層とするユースウェアの専門企業である。ハードウェアやソフトウェア、さらにネットワークを含めたITシステム全般を最適に活用するためのサポートサービスを提供する。PC98やDOS-V機が主流の時代にインストラクター事業からスタートし、時代の要請に合わせてサービスを変化・発展させてきた。現在の代表サービスは業務用パッケージソフトをクラウド上で使える環境を提供するホスティングサービス『SecureKeeper4Gates』である。『奉行シリーズ』や『弥生シリーズ』をはじめとする多種多様な業務用パッケージソフトをデータセンターで一元的に運用・管理するクラウドユースウェアだ。クラウドという言葉もなかった2007年に提供を開始。以後、10年間で大手上場企業などにも採用されるサービスへと成長した。2016年7月には顧客が契約するクラウド基盤（AWSやNiftyクラウドなど）の上に、顧客が選定した業務用パッケージソフトが使える環境を構築する『CloudStart』を開始。『奉行シリーズ』から始まり、主要パッケージ製品はもちろん、業界特化型ソフトやマルチカレンシーなどニッチな製品にも広がり始めている。業務用パッケージソフト業界で半世紀に渡って築いた実績とネットワークが強みだ。この他、バックアップソリューション『BACK★NEO』。ファイル共有サービス『Clouch!BOX』、ストレージサービス『時空箱』といった法人向けクラウドサービスを多数展開する。
本社；東京都中央区。設立；1990年9月。従業員数；25名（2017年1月現在）。

–　LRMへのご依頼内容をお話し下さい。

弊社は2016年2月、LRMにISO27018認証の新規取得コンサルティングを依頼しました。また、それに関連して、ISMS/ISO27001（以下、ISMS)の再構築、プライバシーマーク（以下、Pマーク）認証取得のコンサルティングも依頼しました。
2月下旬から幸松さんと小澤さんの2名によるコンサルティングがスタートし、9月にISO27018認証の審査を受け、11月上旬に取得しました。今後は2月にはISMSの維持審査、3月にはPマークの審査が控えています。それぞれ、すでに書類を審査会社に出し、審査日を待っている状況です（2017年1月11日現在）。

【LRM注】ISO27018認証について
情報セキュリティマネジメントシステムの規格ISO27001をベースにした、クラウドサービス上の個人情報保護に焦点を当てた世界で唯一の国際認証制度。ISO27001単体で実施した各種対策に加え、個人情報に特化した対策を追加で検討・実施することで、パブリッククラウドにおける万全な個人情報保護体制を構築する。世界で最初に取得したのは Dropbox。他に、マイクロソフトの Azureなども取得している。インストラクション社の取得は国内3例目。

–　コンサルティング会社の選定はどのように行いましたか。

ISO27018は新しい規格で、弊社が取得する方針を決めた時は、国内でやっと2社が取得した状況でした。情報がほとんどない中、自社だけで取得するのは難しいと判断しました。そこでインターネット検索でコンサルティング会社を探しましたが、LRM以外にISO27018認証をサポートしていると明確に表明しているコンサルティング会社はありませんでした。

最終的に依頼する決め手となったのは、ISMS本体のマニュアル刷新やPマークとの統合を同時にサポートしていただけるという点でした。コンサルティング会社を選定する段階で、我々が最も懸念していたのが、同時期にPマークも取得することで、ISMS系のルールとPマークのルールが別体系で存在してしまうことでした。それにより運用の手間が煩雑化することは想像できました。したがってISMSのマニュアルを刷新する際には、Pマークにも対応させる必要があると考えました。統合するノウハウは弊社にはありませんので、コンサルティング会社のサポートは不可欠です。LRMは、ISMSとPマークの統合までサポートしていただけるので、委託先としては最適でした。

–　ISO27018認証新規取得、ISMSの再構築、Pマーク取得、それぞれの準備は、どのように進みましたか。

まずISMSの再構築を行い、次にISO27018の検討事項40項目を検討して追加策を決めるという手順で全体のマネジメントシステムを構築しました。また、これらの作業と同時に必要に応じてPマークに必要な項目を加えていきました。
全体のルールを構築するためのLRMとの打ち合わせは15回に及びました。
そして打ち合わせで決めたルールに基づいてマニュアルを作成し、変更になった部分を周知するために従業員教育を行いました。その後、ISMSの簡単な審査を受けた後に、ISO27018認証の審査を受けました。

–　ISO27018認証の審査を受ける前にISMSの審査を受ける必要があるのですか。

ISO27018認証の審査前に受けたのは、審査機関を切り替える際に、審査会社が弊社のISMSの運用状況を確認するための簡易的な審査です。現在、ISO27018の審査を行っている審査会社は、ISO27018の認証機関であるBSIグループジャパンを含めた2社だけです。どちらもそれまでに弊社が委託していた審査会社ではなかったので切り替える必要がありました。

–　最も注力したのはどの工程ですか。

今回、特に注力したのはISMSの再構築です。ISO27018認証を取得するにはISMS本体の関連項目を追加検討し対策を決める必要がありますが、せっかくなのでISMSの重要管理策114項目を慎重に検討しなおしました。

情報セキュリティマネジメントシステムをスムーズに運用するには、自社の業務に合わせたルールを構築することが必要です。10年間の経験から、実際の業務手順とマニュアルの記述が合致していれば、ISMS運用の負担は軽減できることは理解していました。LRMには、ISMSをきちんと見直したいという希望を伝え、打ち合わせの回数も増やしてもらいました。

–　ISMSの見直しは具体的にはどのようなことをしましたか。

これまで運用してきたマニュアルをベースに、LRMのレクチャーを受けて規格の目的や書いてあることの意味を確認し、規格との整合性を意識して、分かりにくい記述を誤解のない表現に書き換えたり、実際の運用手順とずれている項目を現実に即した内容に書き換えたりしました。また、ISO27018と関連して、これまで検討していなかったパブリッククラウド上の個人情報保護に関する対策も追加しました。さらにPマークの審査に必要な要素も加味しました。

–　ISO27018認証を取得するための追加策にはどのようなものがありますか。

例えば、弊社が提供する『SecureKeeper』などのクラウドサービスを提供するためのサーバーやログの管理に関するルールなどがあります。WEBからのお問合せに含まれる個人情報や申し込み内容の管理手順なども追加しています。
また弊社サービスの基盤として採用しているクラウド環境を選定した理由なども明記しました。
ISO27018はパブリッククラウド上の個人情報保護に関する規格です。弊社はサービスを提供するだけではなく、実際にはサービスを運用するためのクラウド基盤を借り受けているので、サービスを受ける側としての意識も持つ必要があります。そういった観点から、クラウドサービスを担当している部署が、日々どのような手順で業務を行っているかを規格に当てはめ、マニュアルに落とし込んでいきました。

この他に、各サービスサイトに掲げる情報セキュリティ方針の利用規約には、弊社が契約しているクラウド事業者を追記するとともに、個人情報取り扱い方針も新しく追加しました。

–　全体を通してご苦労はございましたか。

苦労したのはスケジュールの調整です。今回は、審査機関を切り替えるための簡易審査、ISO27018認証取得審査、ISMS維持審査、Pマーク取得審査と、立て続けに準備をする必要がありました。通常業務もあるので、計画立てて順番に取り組まなければバランスが崩れ、プロジェクトが破たんしてしまいます。それぞれの作業をどの順番でやれば良いのか、検討もつきませんでしたが、LRMや審査会社に確認しながら作業を進めました。

–　ISO27018認証を取得したことによる業務への影響などはありませんか。

今回、現場の業務に影響を与えるようなルールの変更・追加はしていません。情報セキュリティ委員会の管理業務に関しては、ISO27018とPマークで新しく追加した対策がありますが、単純に管理策が増えたわけではなく、弊社の情報セキュリティマネジメントシステムという1つの系統にまとめることができたので、管理にかかる負担は以前と大きくは変わってはいません。

–　従業員の意識や行動の変化はありましたか。

行動に関しては情報セキュリティマネジメントの取り組みを10年間続けてきたこともあり、ドラスティックに変わることはありません。しかし情報セキュリティマネジメントを再認識する機会にはなりました。特に、クラウドサービスを担当するクラウド部に対しては、パブリッククラウド上の個人情報に関する追加対策を周知したことで意識が及ぶ範囲が広がりました。また、全社的にも、BSIの認証授与式がプレスリリースされて露出が増えたり、メールの署名を変えるなど外部に向けた発信をしたりすることで、改めて情報を取り扱う責任について認識を強く持つきっかけになりました。

「ありのままの実態を包み隠さず話すことが出来ました」（右；佐野氏）

–　LRMのコンサルティングを受けた感想をお話ください。

Pマークとの統合を含めて1つの系統だった情報セキュリティマネジメントシステムを構築したいという我々の要望をしっかり受け止めていただき、適切な対応をしていただいたと考えています。もちろんそれが前提ではありましたが、実際にそれを一緒に取り組んでいただけたことは非常にありがたいと思っています。

また、打ち合わせの場では理解しやすい言葉を使い、状況によってはフレンドリーな雰囲気でくだけた対応をしてくれたため、コミュニケーションが取りやすかったです。我々としては「これを言ったらまずいかな」と躊躇したり言い繕ったりする必要はなく、ありのままの実態を伝え、問題意識や疑問に思っていることを率直に伝えながら、プロジェクトを進めることが出来ました。

–　情報セキュリティマネジメントの取り組みについて、今後の課題などがあればお話しください。

まずはISMSの維持審査とPマーク取得を無事に終わらせることです。それが終われば一旦は一息つくことができます。

その後については、弊社がどのようなサービスを提供するにせよ、情報セキュリティへの取り組みはますます欠かせないものになっていきますので、全社的に情報セキュリティマネジメントへの理解をより深め、意識を根付かせていくことが課題です。
情報セキュリティマネジメントへの理解を深め、意識を根付かせることは、弊社の業務ノウハウの一部にもなります。情報セキュリティは、業種や規模を問わず、現代の企業・組織にとって重要な課題です。弊社は「インストラクション」という社名の通り、教えることが事業の軸です。ハードウェアやソフトウェアの使い方の中には、情報セキュリティマネジメントのノウハウも含まれますが、我々自身にノウハウがなければ、そのような発信もできません。今後も継続して情報セキュリティマネジメントにしっかり取り組み、サービスに反映したいと考えています。

また今後はISO27018を含めたISMSファミリーの認証や取得予定のPマークを、対外的なアピールにも積極的に活かしていきたいと考えています。ISO27018認証取得時には、審査会社BSIジャパンでの認証授与式をプレスリリースしていただきました。
これまで、顧客との商談においてはISMS認証があることで前に進むという経験を何度もしましたし、弊社が発注する側に立った場合も情報セキュリティへの取り組みを重視し、ISMS認証またはPマークを取っていない企業へはヒアリングシートへの回答を依頼しています。クラウドサービスはセキュリティ上の安全性・安心感を訴求することでサービスの価値も上がります。営業活動を円滑に進めるためにも、情報セキュリティマネジメントの運用はしっかりと維持していく考えです。

株式会社インストラクション様、お忙しい中、有り難うございました。

※ 株式会社インストラクション様のWebサイト
※ 取材日時 2017年1月

他のコンサル導入事例を見る