株式会社イセトー 様 – ISO27017新規取得 –
情報処理サービスの分野にビジネス領域を拡大する株式会社イセトーは、業界初となるISO27017/ISMSクラウドセキュリティ認証新規取得に取り組みました。コンサルティング会社の選定では、初めて聞く名前のLRMに依頼することに、当初は不安もあったそうです。ISO27017/ISMSクラウドセキュリティ認証取得の目的、LRMへの依頼を決めた経緯、そしてその成果などについて、取締役 常務執行役員・玉ノ井均氏、執行役員 事業企画室 室長・和田英久氏、ISMS事務局を担うリスク統括室 室長・撰篤志氏、主査・村山定一氏、大西則彰氏の5名にお話を伺いました。
記事index
1855年(安政2年)、京都にて和洋紙の卸問屋として創業し、160年以上の歴史を持つ老舗企業である。1953年、国内初のビジネスフォーム(コンピュータ用連続用紙)の製造に成功し、官公庁や金融機関、電力会社、ガス会社などへ販路を広げ、現在のビジネスの基礎を築いた。1979年以降はDM、各種明細、通知書などの発行・送付を代行する情報処理サービスへと業容を拡大。高度なセキュリティを誇るLGWAN(総合行政ネットワーク)を利用したプリント&メーリングサービスは、より安全・便利な情報伝達を実現し、納税通知書や選挙入場券などで採用されている。取引先は3,000社を超え、業界屈指のポジションを確立している。近年は、IT技術の浸透に伴う市場ニーズに対応すべく、従来のプリントメディアだけではなく、ITを駆使して情報を届ける多彩なサービスを開発・提供。パーソナライズド動画サービス『individeo』、帳票電子交付サービス『インフォメーラー』、マイナンバー申告サービスを始めとした、各種クラウドサービスも展開しており、金融機関を中心に導入が進む。
従業員数;約900名。本社;京都市。
LRMへの依頼内容;ISO27017/ISMSクラウドセキュリティ認証新規取得コンサルティング
– LRMへのご依頼内容をお話し下さい。
弊社は2016年12月、LRMにISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証新規取得コンサルティングを依頼しました。
ISMSクラウドセキュリティの認証制度はスタートしたばかりで、規格の解釈が困難でしたが、担当者・井崎さんの的確なリードで、2017年9月、認証を取得することが出来ました。
ISO27017/ISMSクラウドセキュリティ認証取得の目的
「ISMSクラウドセキュリティ認証取得
は業界初の取り組みとなりました」
(執行役員 事業企画室
室長・和田英久氏)
– 御社がISMSクラウドセキュリティ認証を取得した理由をお話し下さい。
弊社がISMSクラウドセキュリティ認証を取得したのは、クラウドサービスを提供する企業として、信用力を強化するためです。
現在、弊社が主要顧客とする金融業界ではデジタル化が進行しています。従来、郵便物として送付していたカード利用明細、保険の満期案内、定期預金のご案内などの通知物はインターネットバンキングやアプリへと移行し、顧客ごとにパーソナライズドされた情報をWEB上で閲覧できる環境の整備が進んでいます。
このような背景の下、弊社は2015年以降、パーソナライズド動画サービス『individeo』、帳票電子交付サービス『インフォメーラー』、マイナンバー申告サービスといったクラウドサービスをリリースしてきました。
しかし一方で、金融機関の中には、インターネット利用に対し、犯罪や情報漏えいなどのセキュリティリスクを不安視する声も根強く残っています。サービスを提供する我々自身はセキュリティに最大限配慮して開発・運用していますが、それを対外的に示すためには、第三者機関による認証を取得する必要がありました。
第一印象を覆す頼もしさが決定のポイントに
「ISO27017の規格の解釈
について、LRMは断言して
いて頼もしく感じました」
(リスク統括室・大西則彰氏)
– コンサルティング会社選定の経緯をお話しください。
弊社がISMSクラウドセキュリティ認証取得の意思決定をしたのは2016年7月です。それから10月ぐらいまで、取引先も含め様々な会社に声をかけて調査をしましたが、ISMSクラウドセキュリティ認証取得のコンサルティングサービスをしている会社自体ほとんどありませんでした。サービスメニューに載せている企業でも、実績はありませんでした。
そんな中で、弊社がISMSの審査を依頼しているBSIジャパンに相談し、ご紹介いただいたのがLRMです。ただ、社名を聞いたことがなかったので、担当者と会って話をするまでは不安でした。
– 契約に至ったポイントをお話し下さい。
ポイントは以下の通りです。
(1)審査会社とのネットワーク
LRMの社長・幸松さんはBSIジャパンの主任審査員を務めていらっしゃったこともあります。認証制度がスタートしたばかりのISO27017の規格についても、審査機関との情報連携がしっかりできていると聞いて安心しました。
「手順に沿って作業をすれば
認証が取得出来る仕組み
が構築されていました」
(リスク統括室 主査・村山定一氏)
(2)ISMSクラウドセキュリティ認証取得のコンサルティング実績
すでに大手IT企業に対してISMSクラウドセキュリティ認証新規取得のコンサルティング実績がありました。
(3)ISMSクラウドセキュリティ認証取得に必要なツールの存在
LRMはすでに、「管理策の解説シート」というISMSクラウドセキュリティ認証を取得するためのツールを用意していました。それをもとにチェックをしながら必要な文書を揃えて行けば、認証取得の準備が出来るという仕組みが構築されていました。
弊社は過去にISMS認証を取得、維持してきた経験から、管理策の解釈にかかる負荷は極力かけたくないと考えていたため、依頼を決める上で非常に重要なポイントとなりました。
(4)規格の要求に対する確固とした解釈
ISMSクラウドセキュリティ認証は始まったばかりの認証制度であり、規格の要求に対する解釈が定まっていません。自分たちで規格を読み込んでも判然としませんし、審査会社に問い合わせても混乱している様子が伝わってきました。しかし井崎さんはすでに定まった解釈を明確に持っており、弊社の質問に対しても的確に回答されていたため、心強く感じました。
ISO27017/ISMSクラウドセキュリティ認証取得までの経緯
「教材は新規格への理解を
深める上で重宝しました」
(リスク統括室 室長・撰篤志氏)
– ISMSクラウドセキュリティ認証取得にはどのような社内体制で取り組みましたか。
ISMSクラウドセキュリティ認証取得に向けた作業にはプロジェクトを組成し、ISMS事務局が中心となり、各サービスの担当者(開発、基盤構築、保守、運用など)を交えて取り組みました。
– ISMSクラウドセキュリティ認証取得に向け、どのような取り組みをされましたか。
ISO27017の管理策の多くは、セキュリティ対策に関する情報を公開することにフォーカスしています。それらの要求を満たすために、それぞれ文書にまとめていきました。
– 従業員教育はどのように実施されましたか。
LRMから教材の提供を受けて、クラウドサービスを担う情報処理センターのメンバーを対象に実施しました。
教材は、ISMSクラウドセキュリティとは何かを説明する内容でした。非常にわかりやすく、ISMS事務局のメンバー自身も改めて、規格に対する理解を深めることが出来ました。また、教育だけではなくマネジメントレビューをはじめ、社内への説明にも使える内容になっており、非常に重宝しました。
– 内部監査はどのように実施されましたか。
内部監査は、社内の業務監査室という独立部署のメンバーが実施しました。
業務監査室メンバーにとってもISMSクラウドセキュリティ認証は初めての経験であるため、LRMのレクチャーを受けました。
– その後、マネジメントレビューの実施ですね。
ISMSクラウドセキュリティのマネジメントレビューは初めてだったので、ISMSクラウドセキュリティ認証について理解してもらうことに時間をかけました。その中で、前述したLRMの教材が非常に役に立ちました。
その後、審査を受けて無事にISMSクラウドセキュリティ認証を取得することが出来ました。
不安やストレスを抱える必要がないLRMのコンサルティング
– LRMのコンサルティングを受けられたご感想をお話し下さい。
井崎さんは、非常に頼もしいコンサルタントでした。特に、ISO27017の規格の解釈については、すでに確立したものを持っており、準備を進める上で不安になることはありませんでした。リスクアセスメントの際のポイントを押さえた説明も、非常にわかりやすかったです。
課題に取り組む上で、井崎さんに確認したいことが発生した際は主にメールで問い合わせましたが、翌日には返事をいただけました。コンサルティング期間中、ストレスを抱えるようなことは一切ありませんでした。
「若いのに大丈夫かなと不安でしたが、説明を聞きながら、LRMに任せようと
メンバー全員、気持ちは固まりました」(左側手前から;村山氏、大西氏。
右側奥から;撰氏、玉ノ井氏、和田氏)※左側奥は弊社 井崎
取り組みの発展に向けて『情報セキュリティ倶楽部』を契約
「情報セキュリティの取り組みを
発展させるためにLRMが持つ
情報を活かしていきます」
(取締役 常務執行役員・玉ノ井均氏)
– 2017年9月にISMSクラウドセキュリティ認証取得が完了して2か月が経ちました。認証取得によって何らかの成果を感じることはありますか。
ISMSクラウドセキュリティ認証を取得すると、認定機関であるISMS-ACのWEBサイトに企業名が掲載されますが、弊社は掲載されたばかりなので、まだ外部からの反応が期待できる時期ではありません。今後、お客様から監査などを求められた際に、認証取得による効力を実感することになるでしょう。
しかしISMSクラウドセキュリティ認証取得は、業界初の取り組みです。マーケットに対し、クラウドサービスを提供する企業として、情報セキュリティ意識の高さや先見性をアピールできる体制は整いました。
– 今後の課題などがあれば教えてください。
ISMSクラウドセキュリティは認証制度が始まったばかりなので、これからどんどん発展していくでしょう。同時にクラウドサービスの市場も拡大していきます。弊社も既存のサービスを発展させるだけではなく、新しいサービスを増やしていく方針です。サービスが拡大すればそれに応じて、ISMSクラウドセキュリティのマネジメントシステムも運用を見直していく必要があります。その過程で運用が煩雑にならないよう、マネジメントシステムを整理整頓しながら認証を維持していくことが今後の課題です。
その課題に対応していくため、弊社はLRMの情報セキュリティマネジメントシステム運用改善サービス『情報セキュリティ倶楽部』を契約しました。
– 『情報セキュリティ倶楽部』のサポート範囲は、ISMSクラウドセキュリティ認証だけですか。
サポート範囲は、ISMSやPマークを含めた情報セキュリティの取り組み全般です。LRMはISMSやPマークの新規取得と運用について様々な企業のサポートをし、BSIジャパンとの太いパイプを持っています。そこで集まってくる最新の情報を、弊社の情報セキュリティマネジメントの取り組みを発展させるために生かしていきたいと考えています。
株式会社イセトー様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。
※ 株式会社イセトー様のWebサイト
※ 取材日時 2017年11月
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。