株式会社ALBERT様 – 顧客事例 –

明確なルールのもと、現場が仕事に集中できる環境の土台作りが出来ました。

株式会社ALBERTは、2019年11月、顧客のデータを扱うためのルール作りを目指してISMS/ISO27001認証を取得しました。既に取得していたプライバシーマークの文書統合も合わせ、LRMがサポートさせていただきました。ISMS/ISO27001認証取得までの経緯とLRMにサポートを依頼した理由、そして今後の課題について、 コーポレート本部 経営管理部 人事総務セクション・前田将来氏 にお話しいただきました。

(株式会社ALBERT について)

株式会社ALBERTは、分析力をコアに据え、時代のニーズに合わせて成長し続ける日本屈指のデータサイエンスカンパニーである。中核事業はデータソリューション事業。
ビッグデータ分析、分析コンサルティング、AIアルゴリズム開発とシステム導入といったサービスを提供。文理問わず、様々な専門領域で高度な研究を行ってきた約180名のデータサイエンティストが、長年にわたり蓄積してきた知識、技術、ノウハウを共有することで「知の相乗効果」を生み出し産業界のあらゆる課題を解決している。また、データソリューション事業で蓄積した技術やノウハウを結集し、AI・高性能チャットボット「スグレス」、AI・画像認識サービス「タクミノメ」といった独自プロダクトを開発。いずれも顧客の課題解決に応じて汎用的に活用できるソリューションとして、多くの企業に導入が進んでいる。さらに、国内においてデータサイエンティストが圧倒的に不足している現状を改善するため、データサイエンティストの育成支援に注力。データ活用のプロフェッショナル人材育成に貢献している。
本社;東京都新宿区。設立;2005年7月。従業員数;約250名(2019年12月現在)。

LRMへのご依頼;ISMS/ISO27001認証取得&プライバシーマークとの文書統合コンサルティング

— LRMへのご依頼内容をお話し下さい。

2019年4月、株式会社ALBERTはLRMに、ISMS/ISO27001(以下、ISMS)認証新規取得ならびにプライバシーマーク(以下、Pマーク)との文書統合コンサルティングを依頼しました。大谷さんと松原さんにご担当いただいて、11月末、ISMS認証を取得し、現在、Pマークの更新申請をしているところです。

— Pマークは何回目の更新ですか。

2回目です。2016年3月に取得しました。

— 前田さんは普段、どのようなお仕事をされているのですか。

私はいわゆる情シスです。社内インフラのヘルプデスクを担当しています。今回、ISMS認証取得ではリーダーとなって参加しました。LRMとのミーティングには基本的に1人で対応しました。

軸となるルール作りと社員の認識合わせを目的にISMS/ISO27001認証を取得

— ISMS認証を取得した目的をお話し下さい。

ISMS認証取得の目的は2つありました。

(1)機密情報を扱う際の軸となるルール作り
弊社はデータソリューション事業を通してお客様からデータをお預かりします。安心してデータをお預けいただくには、信用性が大事だと思っていました。以前から自社なりに情報セキュリティに対する対策はとっていましたが、軸となるものがありませんでした。

(2)社員同士の認識共有
ISMS認証取得を目指すことにより、社員が一つの目標に向かって動くことになり、認識を共有する機会にもなると思いました。

— ISMSの認証範囲をお話し下さい。

全社です。本社の他、名古屋支社、新宿区区内のサテライトオフィスも含まれます。

— 以前から対策はとっていたとのことでしたが、なぜそれでは不十分と思われていたのでしょうか。

個人情報に関してはPマークのルールがありましたが、その他の機密情報に関しては、プロジェクトごとに任せられている状態でした。弊社の社員のITリテラシーは、一般の平均より高いと思います。ただ指向は時間短縮や効率化に向きがちです。情シス担当者としては、ISMSを取得して、会社全体の情報を守るセキュリティルールを構築するべきだと考えていました。 まだ完全ではありませんが、ざっくりとしたルールは出来ました。これから、より詳細なルールを作って行きます。

— ISMS認証取得の目的の1つに“軸となるルール作り”がありましたが、新規取得の段階ではどのくらいのレベルを目指していたのでしょうか。

正直に言うと、取り組み始めるまではISMSを取得するには細部までがっちりとしたルール決めをしなければいけないと思っていました。何となくですがそういうイメージを持っていたのですが、LRMの営業の方とお話をしたことで、「そんなに構える必要はないのかな」とは思いました。徐々に良くしていけば良いという認識に変わりました。

私だけではなく当社の社員の多くが同様のイメージを持っていました。実はそれが弊社がなかなかISMS認証取得に踏み切れなかった最大の理由です。実は2017年頃にもLRMにISMS認証取得の相談をして、お見積もりもいただきました。LRMだけではなく、5~6社から見積もりをいただきました。その上でPマーク担当者と2人で役員会に相談しに行きましたが、その時は保留になりました。役員陣も、必要性は感じながらも、がちがちにルールを固めて、そのルールをしっかり守れる状態が作れて漸く取得出来るものだというイメージが強く、意思決定に至りませんでした。

— 今回動き出すきっかけはおありだったのですか。

2018年に社長が変わったことがきっかけになりました。社長が重要性を強く訴えて、一気に話が進みました。トップマネジメントは重要だと思いました。

— Pマークとの統合はなぜ必要だと考えたのですか。

ルールが2つ存在すると紛らわしいと考えたからです。1つのルールでPマークとISMSの両方を運用出来るのが最善です。

— Pマークの運用で特に問題を抱えておられたわけではないのですね。

Pマークは担当者が頑張って申請書類を揃え、提出さえすれば、取得も更新も出来ます。もちろんルールに則って個人情報を扱っていましたし、従業員教育も実施はしていましたが、現場はPマークそのものに対する認識はなかったのではないかと思います。まさに担当者が裏でやっていたイメージです。

ISMSはそういうわけにはいきません。予め「現場のみなさんに協力していただかないと取得できない」ということをお伝えして、審査にも協力してもらいました。それが社内の認識をすり合わせることになるとも思っていました。

必要最低限のルールでスタートするためLRMに依頼

「最低限のルール作りを期待してLRMに以来しました」(コーポレート本部 経営管理部 人事総務セクション・前田将来氏)

「最低限のルール作りを期待してLRMに以来しました」
(コーポレート本部 経営管理部 人事総務セクション・
前田将来氏)

— 2017年にLRMに相談された際も前田さんが窓口をされたのですか。

そうです。営業の藤居さんに相談しました。

— すると今回、LRM 以外はご検討されなかったのですか。

いいえ。Pマークでお世話になっていたコンサルティング会社も引き続き検討しました。その他にもう1社ピックアップして合計3社を比較検討しました。以前、5~6社の話を聞いていましたので、コンサルティング会社によって色が異なるということはわかりました。中には料金が高く、重箱の隅をつつくようなコンサルティングをされそうな会社もありました。

— LRMにはどのような印象をもたれていましたか。

LRMは、ISMS認証取得をそんなに重く捉えなくて良いのかなという印象はありました。そのため私の中では、LRMに依頼したいという想いがありました。

— Pマークのコンサルティング会社を継続する選択肢もありましたか。

比較検討すべき対象ではありました。ただPマークが担当者だけで回せてしまう状況でしたので、ISMSもそうなってしまうのではないかという危惧はありました。担当者だけが頑張って取れたとしても、それでは目的が達成できません。しっかりルールを作って現場に落とし込みたいと思っていましたので、継続的にお願いするということは個人的には考えていませんでした。

— 最終的にLRMに依頼された決め手をお話し下さい。

決め手は「必要最低限のルール作り」でISMS認証が取得できそうな期待です。他のコンサルティング会社はコンサルタントが決めたルールを無理矢理適用してくる印象がありました。実際にそうなってしまいますと、現場から「本当に必要なルールなの?」、「なぜこんなことをやっているのかな?」という抵抗や疑問が生まれる可能性があります。
それに対して管理する側は「ルールだからやって」としか言えません。そのような状況になるのは絶対に嫌だと思いました。

— 必要最低限のルールよりも、厳しいルールを作った方が認識の共有に繋がるような気がします。

しかし、徹底して厳しいルールを作ることは無理だと思います。厳格なルールを作ったところで、抜け穴を見つけてしまいます。特に弊社の社員はITリテラシーが高い人が多いため、却って管理が出来なくなってしまいます。そうなってしまうことは明らかですので、厳格なルールを作るためにかける労力や費用は無駄です。だからこそ誰もが納得できるルールを策定することが重要です。最低限のところで「確かにこのルールがないと危ないよね」と思えるルールです。みんなで話し合って運用しやすいルールを決めたのだから守っていきましょうとも言えます。

最初からハードルを上げるよりも、最低限のところからスタートした方がやりやすいと考えてLRMに依頼し、その通りになりました。これから毎年事業が拡大して、従業員が増えていけばルールも増えて行くと思いますので、PDCAを回しながら、発展的に取り組んでいきたいと考えています。

部門間で意見が分かれた時は最低ラインのルールを選択

— Pマークとの文書統合も完了したのですか。

Pマークとの文書統合は、今ちょうど課題として取り組んでいるところです。3月の更新審査に向けた対応をしているところですので、今回の更新審査は従来のルールで受審します。今後LRMのサポートを受けながら新しいルールに即して改善していくことになります。

— 今回構築したISMSの文書にはまだPマークのルールは含まれていないということですか。

いいえ、そこまでは終わっています。新規格の2017年版にも対応しています。ただPマークの更新申請をする段階では、ルールが出来たばかりで実運用に乗っているとは言えない状況でしたので、今後の課題となっている状況です。
2年後の3回目の審査に向けて、時間をかけて取り組んでいく計画です。

— 今回の取り組みでご苦労されたことはありますか。

苦労したことは部門間の調整です。特にルール決めは時間がかかりました。今回のルール決めは、私の他に、営業、
アナリスト、自社プロダクト開発といった各部門から1名ずつ担当者を選出し、事務局を組織して取り組みました。
ルールを決める時は4人で集まって話し合いましたが、1つのルールを決めるのに意見が分かれることが多々ありました。その意見をまとめていくのが大変でした。

— ルール決めで意見が分かれた時の落とし所はどのように決めましたか。

LRMのアドバイスもいただいた上で、厳しめのルールを適用するのではなく、無理が発生しないよう、最低ラインのルールを適用しました。

厳格なルールを最も嫌がるのがエンジニアです。アクセスできるWEBサイトやPCにインストールできるソフトウェアを制限されると仕事がしづらくな抵抗が生まれます。アナリストも合理性が認められないことは嫌がります。実際、LRMを交えたISMS事務局の打ち合わせで仮決めしたルールを各現場に持ち帰って検討した結果、ひどく抵抗されたということもあります。それは当初からわかっていましたので、最低限のルールにとどめるつもりで調整していきました。

— 特に時間をかけて議論をしたのはどのようなルールですか。

パスワードポリシーを決める際にも様々な意見がありました。ただそれに関しては、お客様からの要求事項にも入っていることなので会社として譲れませんでした。チェックシートにも必ず入っています。このようにして適用したルールもあります。

LRMからは幅広い解釈が出来る表現をアドバイス

— ルール決めではLRMからどのようなサポートがありましたか。

まず情報セキュリティの3大要素「機密性」「完全性」「可用性」についてご説明いただきました。それにより情報セキュリティ上のリスクは「漏洩」だけではないということを理解しました。その上でマニュアルの叩き台を作成していただき、それを事務局メンバーとPマーク担当者を交えて読み合わせしながら議論を重ねて完成させました。

— 部門間の調整が難航した際には何かアドバイスはありましたか。

意見が分かれて調整が難航した際は、どちらにも解釈が出来るような表現をアドバイスしていただきました。これがまさに“Security Diet”*だと思いました。*LRMが掲げるコーポレートスローガンのこと。過剰なセキュリティ対策をそぎ落とし、情報利用の効率化と業務品質の向上に繋げる仕組み作りをサポートしている。

— 情報資産の洗い出しやリスクアセスメントはどのような形で実施されたのですか。

各部門の担当者に依頼しました。各部署で作業する際には、LRMが用意したサンプル集を参考にしてもらいました。
そして各部門で作成した情報資産台帳やリスク管理表を私が集約し、LRMに確認していただいて追加・修正を重ねて完成させました。これらの作業に関しては、苦労した記憶はありません。

情報資産台帳、リスク管理表、マニュアルの作成以外には、従業員教育と内部監査もサポートしてもらいました。

— 従業員教育は『Seculio』を活用されたのですか。

はい。『Seculio』は直感的に操作できました。全員受講しましたが、操作方法を含めた問い合わせは一切ありませんでした。管理画面も使い易かったです。受講記録が残りますし、未受講の社員に対して催促する機能もありました。
一度周知しただけではやらない人が必ず出てきますので便利でした。

— そして内部監査ですね。

3拠点とも内部監査員を代行していただきました。それが審査の予行演習になり、大きなトラブルもなく審査を終えることが出来ました。

— 審査ではどのようなご評価でしたか。

審査員からも柔軟に評価していただけました。弊社の業務に合ったマネジメントシステムが構築出来ているかどうかを重視した審査だと感じました。グッドポイントも2ついただきました。

「文書統合は2年後のPマーク更新に向けて時間をかけて取り組んで行きます」(左;前田氏)※右から弊社 大谷、松原

「文書統合は2年後のPマーク更新に向けて時間をかけて取り組んで行きます」
(左;前田氏)※右から弊社 大谷、松原

ルールを明確にすることは、現場が仕事に集中出来る環境につながる

— ISMS認証取得に取り組まれた感想をお話し下さい。

現場の社員が参加してみんなで一緒にルールを決めたことで、認識合わせが出来たことが非常に良かったと感じています。これまでの不安は解消されました。

— それは情報システム担当者ならではのご不安でもありましたか。

そうですね。情報システム担当者として、提供しているシステムが実際にどう使われているのかは気になっていました。今回、内部監査に同席させていただいて非常に多くの生の声を聞くことが出来、早急に対応しなければいけない問題にも気付きました。

— 認識のすり合わせが出来たと感じる具体的な変化をお話し下さい。

情報セキュリティ上のルールに関して質問を受けることが増えました。何かやろうとした時、それに関連したルールが決まっているかどうか、といった種類の質問です。何も考えずに流れでやってしまうのではなく、何かやる前に一度立ち止まり、大丈夫かなと思ったら一度事務局に連絡がくるようになりました。ISMSを運用しているという意識の現れだと思っています。これは部門ごとにみんながルール決めに参画した成果です。

— 役員の方々も同様ですか。

社長が常々情報セキュリティを強化する方針を打ち出していたこともあり、役員の意識も変化していました。それが各部門の協力を得る下地になりました。

— 情報セキュリティ全般について今後の課題をお話し下さい。

まずは3月のPマーク更新を無事に終わらせることです。その後は本格的な文書統合に取り組んで行きます。

また、今回決めたのはざっくりとした最低限のルールです。運用し始めると、セキュリティレベルをアップさせるべきポイントも見えてきました。ただあくまでも社員に納得してもらう必要がありますので、セキュリティレベルを高めながらも社内に浸透できるルール作りをしていかなければいけないと考えています。 情報システム担当者の気持ちとしては、社員が不安を抱えながら業務をしなければいけないのは申し訳ないと思います。きちんとルールを定めてあげることが、仕事に集中できる環境にも繋がります。優先順位を決めて1つ1つ検討していきたいと考えています。

一方では情報セキュリティが情報システム担当者の仕事かという悩みもあります。お客様は全て大手企業ですし、従業員数が250名を超えて、社会的責任もこれまで以上に大きくなっています。いずれはセキュリティの専任部署を設けるなど、情報セキュリティに取り組む体制作の再構築も課題になってくるでしょう。

メールを使わないコミュニケーションでタイムロスとストレスから解放

— LRMのコンサルティングを受けたご感想をお話し下さい。

メールを使わないコミュニケーションによってタイムロスやストレスなく取り組めました。打ち合わせ日程の調整や作業を進める際の質問などで連絡をする際は、社内コミュニケーションで使用している『Slack』を使っていただきました。またドキュメントの共有には『box』を利用しました。弊社が利用しているクラウドストレージは他のサービスですが、クラウド上でドキュメントを共有する方法自体には慣れています。メールを使った受け渡しのような煩雑さはありませんでした。

— コンサルタントはいかがでしたか。

お二人とも、我々と世代が近いということもあって相談しやすかったです。また、相談に対する回答は、具体的な事例を交えながらわかりやすくご説明いただきました。

— 今後の課題に取り組む上で、LRMへの御期待がございましたらお話し下さい。

LRMには、次のPマーク更新に向け、引き続き文書統合を御支援いただきます。またこれからさらに会社は変化しますので、その変化に合わせたルール作りが必要となります。それも含め、継続的に御支援いただきたいと考えています。

株式会社ALBERT様、お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。

株式会社ALBERT様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社ALBERT様のWEBサイト
※ 取材日時 2019年12月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る