日本インフォメーション株式会社 様 – ISO27017新規取得 –

規格に対する解釈の許容範囲が広いためストレスなくルール構築に取り組めました。タスク管理や文書作成をお任せできたことも負担軽減につながりました

ペーパーレス会議システム『スマートセッション』の開発・販売を行う日本インフォメーション株式会社は、同製品の競争力を高めるためにISO27017/ISMSクラウドセキュリティ認証の取得に取り組みました。情報がほとんどない中、どのような意思決定をして、どのように準備を進め、認証取得に至ったのか。取り組みの経緯と成果について、取締役 営業本部長・市原雄爾氏、取締役 NEXT事業部 事業部長・幸村信樹氏、管理本部 経営企画室 室長・橋本晃伸氏、NEXT事業部 専門技術職・久野哲治氏の4氏にお話しを伺いました。

(日本インフォメーション株式会社について)

名古屋を本社として、東京、大阪、盛岡の4拠点でITソリューションを提供している。東京、大阪では大手汎用機メーカーの下請けとして発展してきた一方、名古屋では地元に本社を置く産業用機械メーカーとの結びつきを強め、組込み・制御系から業務システムまで幅広い分野の技術獲得に取り組みながら業容を拡大してきた。特に豊富な実績を持つのは物流ソリューション分野。
30年以上前にマテリアル搬送でスタートし、現在ではWMSインテグレーションを含めた物流システム全般を担うまでになっている。顧客は上場企業を始めとする民間企業、自治体や行政機関、大学など広範囲に及ぶ。
iPadが発売された2010年代には、米国での発売直後に端末を入手し、業務用アプリの開発に着手。これを機に自社製品の開発事業をスタート。プレゼンテーションアプリ『EBooklet2』、PDFビューワ『eDocReader』、ペーパーレス会議システム『スマートセッション』などの開発・販売を行っている。
設立;1974年3月設立。従業員数;248名(2017年4月現在)。本社;愛知県名古屋市。


(ペーパーレス会議システム『スマートセッション』について)

2011年7月発売。サーバーに保存したPDFの資料を、複数の端末(iPad、iPhoneなどのスマートデバイス)で同時に閲覧しながら会議を進行。端末の画面同期によって、発表者が手元の端末でページをめくると出席者側の端末のページもめくられる。各端末の画面上で、個別にメモを書き込むことも可能。会議やプレゼンテーションから紙の資料を排除することで機密情報の管理がしやすくなることに加え、直観的かつスムーズな操作性によって会議・プレゼンテーションの円滑な進行をサポートする。
スマートデバイスを活用したペーパーレス会議システムは、同時期に複数発売されたが、これらの機能を最初から備えていたシステムは同製品のみだった。現在、これらの機能はペーパーレス会議システムの標準機能として定着している。
発売以降、顧客の声を取り入れながら改善や機能追加を重ね、特に機密情報を扱う役員会議での活用を主目的として導入が進んできた。発売当時はオンプレミス型のみだったが、現在はクラウド版も提供。販売先は中小企業からグローバル企業、銀行などの金融機関、自治体または公共機関、教育機関など幅広く、導入社数は2017年7月現在までに170社を超えている。

ISO27017/ISMSクラウドセキュリティ認証新規取得コンサルティングを依頼

– LRMへのご依頼内容をお話し下さい。

弊社は、LRMに、ISMSのアドオン認証である ISO27017/ISMSクラウドセキュリティ認証(以下、クラウドセキュリティ認証)取得コンサルティングを依頼しました。

認証範囲は、自社製品として提供するペーパーレス会議システム『スマートセッション』の開発・運用を担うNEXT事業部です。2017年1月からコンサルティングがスタートし、5月中旬に審査を終え、6月に認証取得を完了しました。LRMの担当者は井崎さんです。

競合との差別化を図るためにISO27017/ISMSクラウドセキュリティ認証を取得

「クラウドセキュリティの情報が少ない中実績を信じてLRMに依頼しました。結果は満足しています」(管理本部 経営企画室 室長・橋本晃伸氏)

「クラウドセキュリティの情報が
少ない中実績を信じてLRMに依頼
しました。結果は満足しています」
(管理本部 経営企画室
室長・橋本晃伸氏)

– 御社がクラウドセキュリティ認証を取得した目的をお話しください。

今回、弊社がクラウドセキュリティ認証を取得した目的は、『スマートセッション』の競争力強化です。

『スマートセッション』をリリースした当初は、オンプレミス型からスタートし、翌年にクラウド版の提供を開始しました。導入件数ではまだオンプレミス型が上回っていますが、近年の傾向としてはクラウド版の方が伸びています。
弊社としては管理のしやすさやコストなどを考えてもクラウド版の方に優位性があるため、現在はクラウド版のPRに注力しています。

ただ、そこでネックとなるのがクラウドそのものに対する企業の不信感です。『スマートセッション』は、製品自体は非常に高くご評価いただけます。新規のお客様にもデモを見ていただければ、ほとんどの場合すぐに気に入っていただけます。しかしクラウド版の場合は、クラウドに対する漠然とした不安感や不信感を理由に導入が見送られるケースが少なくありません。ペーパーレス会議システムの主な活用シーンは経営会議や役員会議です。そのような場で扱われる機密性の高い資料を、クラウドに置くことに対する抵抗感は根強く残っています。そのため、クラウド版を安心して導入していただくには、セキュリティ面の不安感を払しょくする必要がありました。

このような課題を抱えているのは競合製品を扱う他社も同様です。そのような状況下で優位性を確保するためにもすでに広く認知されたISMSのアドオン認証であるクラウドセキュリティ認証の取得は効果的であると考えました。

– 御社はISMS/ISO27001(以下、ISMS)認証を取得していますが、ISMSだけでは優位性を保つことはできませんか。

ISMSは競合他社もほとんどが取得しており、クラウド製品の提供においては差別化にはなりません。
また、ISMSにはクラウドに特化した規定はありません。不安感を払しょくするにはISMSだけでは不十分です。

コンサルティングを依頼する前に参加したLRMのセミナーでも言っていましたが、現在自治体などの入札条件にISMSやプライバシーマークの取得が掲げられているように、近い将来はISMSクラウドセキュリティ認証も入札条件に含められるようになることが予想されます。そうなった時、入札に必要な仕様書に「ISO27017/ISMSクラウドセキュリティ認証取得」という1行を書くことが出来れば優位に戦えます。すでにある自治体ではそのような動きが始まっているという情報を得ていたこともあり、競合他社が未取得のうちに速やかに取得したいと考えました。

認証取得への不安;準備作業にかかる負担の大きさ

– クラウドセキュリティ認証取得にあたって、ご不安などはありませんでしたか。

「セミナーでは、将来、クラウドセキュリティ認証が入札条件に入るかもしれないという話が印象に残りました」(取締役
 営業本部長・市原雄爾氏)

「セミナーでは、将来、クラウド
セキュリティ認証が入札条件
に入るかもしれないという話
が印象に残りました」
(取締役 営業本部長・市原雄爾氏)

認証取得の準備にかかる負担の大きさが不安でした。ISMS認証の新規取得では、1年かけてマネジメントシステムを構築しました。しかも、文書類の作成などの作業では、開発現場にも大きな負担がかかりました。中には1年間の準備期間中、業務時間の8割を準備作業に割いた技術者もいました。
その経験があったため、現場からは「取得時にISMSと同じような負担が強いられるのは困る」という声も挙がっていました。

しかし全体的には、クラウドセキュリティ認証を取るメリットは大きいという認識で一致していたため、まずはコンサルティング会社探しから始めました。
その時に知ったのがLRMのセミナーです。当時はISMSクラウドセキュリティ認証に関するまとまった情報は他にはほとんどなかったので、まずは情報収集の一環として、LRM主催のセミナーに参加しました。それが2016年11月です。

– これまでISMSの新規取得や運用・更新にはコンサルティング会社は関与していなかったのでしょうか。

新規取得時はコンサルティングを受けましたが、取得後の運用・更新は全て自社で行ってきました。
新規取得時は、ISOに向き合うことが初めてだったため、規格をどう解釈して良いかわからず重たすぎるルールを作ってしまいましたが、長年運用する中で審査員からの指摘などを受けて、かなり整理することができました。2013年版への対応も自社で行いました。

したがって、ISMSの運用に対する不安はありませんが、クラウドセキュリティ認証に関しては初めての規格で公開されている事例も少ないため、自分たちだけで取得するのは困難だと考えました。規格を正しく解釈できないままマネジメントシステムを構築すると、的外れな成果物が出来上がるだけです。

もちろんこれまで、自社なりの取り組みは行ってきました。しかし『スマートセッション』クラウド版は、弊社初のクラウドサービスであり、また他社の運用方法に関する情報も多くは出回っていません。そんな中で明確な根拠が持てないまま運用ルールを決めてきました。適切な運用ルールになっているのか、必要以上の重たいルールになっていないかという不安は常にありました。そういう意味でもコンサルティング会社のサポートは必要でした。

– そのような背景の中で参加されたLRMのセミナーはいかがでしたか。

まず、セミナーの会場が満席だったことから、クラウドセキュリティ認証に対する注目度の高さがわかりました。

次に、先ほど申し上げた通り、将来的には自治体などが入札条件の1つに加える可能性に触れられていたことから、早急に取得する必要があると感じました。評価制度運営を担うJIPDECの動向などと絡めた説明には説得力がありました。

さらにISMS認証取得時ほど重い負担がかかることはないという感覚を得ることは出来ました。

– そのセミナーがLRMへのご依頼の決め手となったのですか。

実際に進めていくには、個別の機会を設けて話を聞かなければいけないと思っていたため、資料を持ち帰り社内で詳しく精査し、話し合いました。改めて資料を読み返してみても、ISMSの時のように1年もかかるようなイメージではなかったため、すぐに着手することにしました。

– 認証の取得期限は決めていましたか。

2017年5月を取得期限として定めました。ISMS認証の更新審査が5月に控えていたためそのタイミングに合わせて一緒に審査を迎えたいと考えたことが理由です。タイミングがずれると、審査の準備を2回行う必要があり、負担が増してしまいます。それを避けるには、今回のISMS認証の更新審査に間に合わなければ、1年遅らせるしかありません。
クラウドセキュリティ認証の取得事例は国内ではまだ多くはないので、取得時期が早ければ早いほどPR効果は高まります。逆に、1年遅れるとPR効果は薄れると考えました。この時期は逃したくないと思い、早速LRMから具体的な話を聞くことにしました。

コンサルティング会社選定の経緯

「規格が求めていることは何かを理解できるまでが非常に早かった。井崎さんの説明は非常に分かりやすかったです」(NEXT事業部 専門技術職・久野哲治氏)

「規格が求めていることは何かを理解できるまでが非常に早かった。井崎さんの説明は非常に分かりやすかったです」
(NEXT事業部 専門技術職・
久野哲治氏)

– LRM以外のコンサルティング会社も検討はされましたか。

他に対応できるコンサルティング会社は見つかりませんでした。ISMS認証取得時は業界大手のコンサルティング会社に依頼しましたが、クラウドセキュリティ認証には対応していませんでした。

– コンサルティング会社の選択肢が他にないということに関して、ご不安はありませんでしたか。

正直に言うと、新しいコンサルティング会社に依頼することに不安はありました。特に心配だったのが、規格に対する正しい解釈が得られるかどうかです。
それがコンサルティング会社にサポートを依頼する最大の目的なので、要点を得た説明をしていただけなければ価値がありません。また、解釈の仕方に柔軟性がないことも問題です。弊社の業務や製品に対する配慮がなく、凝り固まった解釈をもとに進められても、弊社としてはやりづらいだけです。弊社の実情に合わせた柔軟な解釈をしていただけることが重要でした。これらの要求が満たされさえすれば、弊社の社員なら自分たちで意見を出し合って、しっかり運用できるルールを作ることはできると考えていました。

話を聞くだけでは、実際のところの確証は得られませんが、LRMはすでにクラウドセキュリティ認証の取得実績を持っていたので、その実績を信じて依頼しました。

– LRMは東京と大阪に拠点を置く会社です。費用面に関してはいかがでしたか。

金額に関しても相場感が把握できませんし、妥当な金額かどうかを判断できる基準はありません。
ただ、LRMの見積もりを見て、特に疑問に思う要素はありませんでした。

コンサルティングスタートから審査までの流れ

– LRMの担当者と最初にお会いした時のご印象はいかがでしたか。

井崎さんはセミナーでスピーカーをされていた方でもあったので、LRMの中でもそれ相応の信頼を置かれている方であるという認識を持ちました。井崎さんに対する不安や不信はありませんでした。

– 認証取得の準備はどのように進みましたか。

LRMと一緒に取り組んだのは、主にマネジメントシステムの構築と文書作成です。1月からスタートして4月までの間に5回のミーティングを行い、その中で進めました。

具体的には、まずLRMから規格の項目ごとに求められていることを説明してもらい、その規格を『スマートセッション』の製品の状態や運用手順などに照らし合わせて、当てはまると思われる要素を弊社からLRMに説明しました。
そして、その内容が規格に当てはまれば文書に反映させ、当てはまらなければ改善策を提案してもらいました。
規格で求められていることを読み違えると無駄な作業をすることになりますが、今回は規格を1つずつ説明していただき、それに合う部分を弊社の状況の中から探し出すことが出来たため、非常にスムーズにルール作りを進めることができました。

文書類は、この打ち合わせの内容をもとにLRMがドラフト版を作成し、できたものを弊社がチェックするという手順で完成させました。

以上がコンサルティングの大きな流れです。

– 今回、クラウドセキュリティのマネジメントシステムを構築する中で、サービス運用面で大きく変わった点はありましたか。

「井崎さんは話しやすかった。LRMは情報セキュリティの新しい課題が生まれた時にまずは相談する相手になりました」(取締役 NEXT事業部 事業本部長・幸村信樹氏)

「井崎さんは話しやすかった。
LRMは情報セキュリティの新
しい課題が生まれた時にまず
は相談する相手になりました」
(取締役 NEXT事業部
事業本部長・幸村信樹氏)

これまで我々が独自に構築してきた運用ルールは、クラウドセキュリティ認証における要求事項を概ねカバーしていたので、大きく変わった点はありません。
一部、規格の要求に合わなかった点のみ、LRMのアドバイスに基づいて補いました。具体的には以下の2点です。

(1)顧客へのマニュアルと利用規約の整備
顧客に提供するマニュアルと利用規約において、規格が要求している表現が抜けている部分がいくつかありました。特に弊社が利用しているクラウド基盤に関する要素が抜け落ちていました。そこで井崎さんのアドバイスをもとに、クラウド基盤の提供者に確認すべき点を確認し、マニュアルや利用規約に反映しました。

(2)データベースのバックアップ機能の改修
こちらは製品そのものの改修です。これまでデータベースのバックアップは、弊社が手動で取っていましたが、お客様自身がお客様のタイミングで取る仕組みを追加しました。

– 従業員教育はどうされましたか。

まず、概ね文書が出来たところで井崎さんに来ていただき、部署の全員に2回に分けて講義をしてもらいました。
テキストはLRMが作成し、『スマートセッション』を活用して行いました。
その上でeラーニングシステム『Seculio』を使ってテストを実施しました。〇か×で答える簡単なテストでしたが、eラーニングを使うことで、全員のテスト実施状況が把握でき、マネジメントレビューや審査で用いる実施記録も残すことが出来ました。

その後、内部監査、マネジメントレビューを自社で行い、審査に臨みました。

ISO27017/ISMSクラウドセキュリティ認証取得の成果

– クラウドセキュリティ認証取得の成果をお話しください。

認証取得が出来ることが分かった日から早速商談の席で営業トークに使っています。既に名刺にも印刷しました。
愛知県第1号の取得なので、胸を張ってアピールできます。まだ取得から1か月も経っていないので、受注という結果に表れるのはこれからですが、製品のセキュリティ対策に関して細かく説明する必要がなくなりました。

クラウド版を導入するお客様は絶対といって良いほどセキュリティを気にされます。商談の際には必ず「大丈夫ですか?」と聞かれます。何がどうとかではなく、とにかく大丈夫かと聞かれます。それに対して一言「認証を取っているから大丈夫です」と言うだけで説得力が生まれます。お客様自身がクラウドセキュリティ認証を理解していなくても、ISMSファミリーのクラウドセキュリティ認証というだけで納得していただけます。

また、運用面では、これまで自社で手探りしながら取り組んできたことが、ある程度正しかったという裏付けが取れたため自信に繋がりました。一部、不足していた部分もありましたが、そこは今回の認証取得を通して改善することが出来ました。これにより、クラウドセキュリティに関しても、自社でPDCAサイクルを回しながら運用していけるベースが出来たと考えています。

「受け身でいることができたこともLRMに依頼して良かったと思うポイントです」(左から;幸村氏、久野氏、市原氏、橋本氏)※右は弊社井崎

「受け身でいることができたこともLRMに依頼して良かったと思うポイントです」
(左から;幸村氏、久野氏、市原氏、橋本氏)※右は弊社井崎

規格の解釈の許容範囲が広がりストレスなく取り組めた

– LRMのコンサルティングを受けたご感想をお話しください。

(1)規格の要求に対する理解がしやすかった
LRMのコンサルティングを受けた最大の成果は、規格の要求に対する理解が早くできたことです。ISO27017の規格の解釈を、ポイントを押さえて説明していただけため、非常にわかりやすかったです。規格の項目ごとに「表現としてはこう書いてあるが、こういう解釈もできる」と解釈の幅を示してくれたことで、弊社の業務に当てはめるならこういう捉え方もできるといった判断もできました。また、井崎さんから、弊社の運用状況を軸に、規格をこのように解釈しましょう、と柔軟な考え方を示していただくこともありました。規格の解釈の許容範囲が広がったことでルール作りに関わったメンバーもストレスなく取り組めました。

(2)受け身でいることが出来た
今回の認証取得では、LRMが情報を集約して終始リードしてくれたため、私たち自身はそれに沿って準備を進めることができました。そのような意味では受け身でいられたということも良かった点です。
規格の解釈に関して言えば、考える軸を与えられたことで楽に進められました。反対に自分たちで能動的に勉強して解釈の仕方も考えてやっていたら、非常に負担の大きな作業になっていたと思います。タスク管理においても、井崎さんがやるべきことを表にまとめてくれたので、それをもとに優先順位を決めて取り組むことが出来ました。
さらにマニュアルを始め、審査に必要な書類も井崎さんがたたき台を作り、こちらは良いか悪いかの判断をする程度で済みました。まとめていただいた文書類も結果的には修正すべき点がなく、そのまま生かして審査に臨むことが出来ました。

– 今後、LRMに期待することなどはありますか。

井崎さんは話しやすい雰囲気があり、何か頼みたいときに気軽にお願いすることが出来ました。コンサルティングが始まるまでは、初めて関わる会社でもあったため、不安もありましたが、認証取得を無事に終えた今は、情報セキュリティに関する新たな課題が出てきた時の相談先が1つ増えたと思っています。特に、今後、何か新しい認証制度が出来た時には、最初に相談するコンサルティング会社になるでしょう。LRM自体が取り組んでいなくても、相談すれば何らかの解決の糸口にはつながる。LRMはそのような期待が持てるコンサルティング会社です。

日本インフォメーション株式会社様、お忙しい中、有り難うございました。

日本インフォメーション株式会社様、お忙しい中、有り難うございました。

※ 日本インフォメーション株式会社様のWebサイト
※ 『スマートセッション』の製品サイト
※ 取材日時 2017年7月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISO27017/ISO27018を取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。
ISO27017認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る