青葉工業株式会社様 – 顧客事例 –

不安しかなかったISMS認証取得ですがLRMのサポートのおかげで思ったより簡単に取得出来ました。気がかりだった課題も解決し気持ちが軽くなりました。

ISMS/ISO27001認証取得を検討し始めたものの、取り組みには大きな不安を抱えていたという青葉工業株式会社。
前向きに取り組むきっかけとなったのは、LRMを紹介されたことだったと言います。ISMS/ISO27001認証取得を検討し始めた理由、LRMを紹介された経緯、さらに認証取得に取り組んだ成果などについて代表取締役・山口政幸氏にお話を伺いました。

(青葉工業株式会社について)

電柱の設置に伴う道路工事や構造物の改修、変電所や鉄塔などの設備更新に伴う修繕など、電気工事関連に特化した土木建築工事を請け負う。大阪市内から大阪府南部全域を管轄エリアとして、電力会社やそのグループ会社などから受託して工事を行う。災害時などにおける緊急対応など、地域に密着した小規模事業者ならではの柔軟かつスピーディな対応で発注企業からの信頼を築いてきた。下請けを使わずに自社の社員が直接工事を行うことも強みの1つである。
本社;大阪府富田林市。設立;1984年。従業員数;9名(2018年5月現在)。

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話しください。

弊社はLRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。

LRMの担当者は吉村さんです。2017年7月、吉村さんのサポートを受けながらISMS認証取得に向けた準備を始め、2018年2月、ISMS認証を取得しました。吉村さんは行政書士の資格保有者で、土木建設業の業務知識があったため安心してお任せすることが出来ました。

新規顧客の要請に応えるためISMS/ISO27001認証取得を検討。しかし不安も…

— 御社がISMS認証を取得した理由をお話しください。

弊社がISMS認証取得を検討し始めた直接のきっかけは、あるご新規のお客様と取引を始める際にご要望をいただいたことでした。絶対条件ではありませんでしたが、いずれは情報セキュリティに関する第三者機関の認証を取得して欲しいとのご要望をいただきました。既存のお客様からも、認証取得こそ要求されたことはありませんが、案件ごとに機密保持契約の締結を要求されていたこともあり、ISMS認証かプライバシーマーク(以下、Pマーク)のいずれかを取得することを検討し始めました。

— PマークではなくISMS認証にした理由をお話しください。

弊社が扱う機密情報は、契約書、施工現場の図面、指示書などが主です。お客様から個人情報を預かることはありません。そのため取得するならISMS認証だと考えました。

ただ私自身は前職時代にISO9001認証取得に関わったことがあり、ISO認証取得は文書作成や審査対応などで大変な労力がかかることを認識していました。また自治体や行政の仕事をメインにやっているわけではないので、そこまで手間やコストをかけて取り組む必要があるのかという疑問もありました。実際、同規模の同業者でISMS認証を取得しているという事例は聞いたことがありません。電気工事に特化した土木建築という特殊な分野で事業を行う弊社が、本当にISMS認証取得が出来るのか不安がありました。

— 具体的にはどのような点がご心配でしたか。

電力会社のグループ会社との取引がメインです。同じグループでも会社によって契約形態や仕事の進め方は統一されておらず、書類の数も膨大な量に及びます。非常に複雑な構造の中で業務を行っていることが心配の種でした。

しかし、たまたま弊社が契約しているOA機器のリース会社に相談してみると、コンサルティング会社がサポートしてくれるから大丈夫と言われ、一度会ってみることにしました。その時に紹介していただいたのがLRMです。

建設業の業務知識を持つコンサルタントに背中を押され取り組みをスタート

— LRMの印象はいかがでしたか。

最初にお会いしたのは、営業担当の間野さんです。対応もきちんとされていて、ご来社いただいてお話しを伺った際も会社としての体制がしっかりしているという印象を持ちました。その上で吉村さんが来られて詳しい話を伺ったことで、さらに背中を押していただけたように感じました。

— それは何故でしょうか。

吉村さんが建設業の業務知識をお持ちだったことが理由です。行政書士の資格保有者である吉村さんは、建設業の行政手続に関しても経験と知識をお持ちでした。また建設業界そのものがISMS認証を取得している会社が少ないので、取得すれば強みにもなるとおっしゃっていました。このようなお話しを通して、前向きな姿勢でISMS認証取得に取り組めるようになりました。結果としてもISMS認証取得に取り組んで非常に良かったと思っています。

ISMS/ISO27001認証取得が労使間の軋轢を避けてルール作りを進める機会に

「ISMS認証取得の取り組みを通じて経営者と従業員の意識を揃えることが出来ました」(代表取締役・山口政幸氏)

「ISMS認証取得の取り組みを通じて経営者と従業員の意識を揃えることが出来ました」
(代表取締役・山口政幸氏)

— ISMS認証取得に取り組んで良かったとおっしゃいましたが、その理由をお聞かせ下さい。

今回の取り組みを通して、社内体制が確立できたことが最も大きな理由です。
LRMが用意したマニュアルのひな形に照らし合わせて弊社の管理体制をチェックしてみると、解決すべき課題が沢山あることに気づきました。その課題に向き合いながら、社内ルールを明確に定め環境を整備したことで、全社員で情報セキュリティに対する認識を統一することができました。

— 「解決すべき課題」とは具体的にはどのようなことですか。

特に我々が気になったのが、【課題1】 PCの個人利用の許容範囲【課題2】 経理・人事情報を管理するPCのモニターの向き【課題3】 施工スタッフの意識レベルの3つです。【課題1】と【課題2】はオフィス内の環境整備に関わる課題です。

【課題1】 PCの個人利用の許容範囲

実はこの件は、ISMS認証取得を検討する以前から弊社の課題の1つでした。弊社が業務にPCやインターネットを導入したのは10年以上も前のことです。当時はPCの利用について特別なルールは設けていませんでした。休憩時間に私用でネットサーフィンすることも問題はないという認識でした。

ところが近年、コンピュータウィルスが侵入しPCが使えなくなるというインシデントが時々発生するようになりました。そのたびにお金を払って復旧し、従業員に注意喚起をしていましたが、誰も特別なことをしたつもりはなく、感染源を特定することもできないので、何に注意すれば良いのかを明確に示すことは出来ませんでした。
PCの個人利用を制限することも検討はしましたが、長年許可していたことを突然禁止することは至難の業です。
どこまでを許容して良いかわかりませんし、従業員に「疑われている」と受け取られることで、円滑だった関係性に亀裂が入ってしまうことを恐れました。せめて何かあった時に原因を特定できるようクライアントPCの運用管理ソフト『SKYSEA Client View』を導入しましたが、それを導入していることを公開することもできず、根本的な解決策にはなりませんでした。

このようなジレンマを抱えていたところにISMS認証を取得することになりました。ISMS認証を取得するにはこの問題を解決することを避けるわけにはいきません。そこで従業員にISMS認証を取得する旨を伝え、対策を打つことにしました。

【課題2】 経理・人事情報を管理するPCのモニターの向き

経理業務や人事情報の管理は1台のPCで行っています。これまではそのPCの画面の向きが、担当者以外のスタッフからも見えるような机の配置になっていました。
LRMと一緒にISMS認証取得の準備を進める中で、改めて経理情報や人事情報の重要性とリスクを認識しなおしました。

【課題3】 施工スタッフの意識レベル

施工現場の図面や指示書といった資料は全て紙文書で受け取ります。そしてそれらの資料は必ず現場に持って行きます。資料には元請け企業の社名が入っているので、社外で紛失してしまうことは避けなければいけません。
昨今は情報漏洩事故が社会問題になることもあるため、弊社としてもリスクとして認識し朝礼の時間を使って資料をなくさない、施設の施錠は忘れない、といった注意喚起はしていました。

ただ弊社の取引先はいずれも情報セキュリティに対しては厳しい大手企業ばかりです。これまで取引先から指摘を受けたことはありませんが、その取引先と同じ意識レベルで従業員教育が出来ているかどうかは自信がありませんでした。行動としては出来ていても、なぜその行動が必要かまでは意識していなかったと思います。そのためスタッフ全員の情報セキュリティ意識を、取引先の要求水準を満たせるようレベルアップする必要があると感じました。

社内体制の課題解決に向けた対策

— それぞれの課題を解決するために、どのような対策を取られましたか。

上記3つの課題について、以下のような対策を取りました。

【対策1】 従業員教育の強化

【課題1】と【課題3】の対策として、LRMに施工スタッフ向けと事務系のスタッフ向けの教育資料を作成していただき、それに基づいて朝礼だけではなく、従業員教育のための時間を別途取って話をしました。

オフィスに勤務する社員に対しては、PCがストップすることで業務が停止してしまうリスクを伝え、その上で『SKYSEA Client View』によるログ管理をしていることを公表するとともに、オフィスのレイアウト変更や意識改革に着手していくことを伝えました。ISMS認証取得という目的があったため、従業員の理解を得ることが出来ました。

施工スタッフに対しては、社外で資料を紛失することでどのようなリスクがあるのか、具体例を示して話をしました。元請けさんがテレビで謝っているところが流されることになるし、会社としての信用問題につながるから気をつけようという話をしました。

ISMS認証取得の取り組みは、労使間の軋轢を避けてルール作りを進め、社内の意識統一を図る良いきっかけとなりました。

【対策2】 PCの個人利用の制限

【課題1】に対する対策として、アクセス可能な領域を決め、会社のPCを使ったインターネット閲覧を規制しました。人為的なアクセスを禁止するだけではなく『SKYSEA Client View』に加え、新たにファイアウォール専用機器『FortiGate』を導入し、さらにインターネットプロバイダのアクセス制限を設定し、資材の注文などどうしても必要なWebサイト以外へのアクセスは出来ないようにしました。

【対策3】 事務所のレイアウト変更

【課題1】と【課題2】の対策として、事務所の机のレイアウトを変更しました。経理業務や人事情報を管理するPCのモニターは一般の社員から見えないように、逆に従業員が使用するPCの画面は人の視線に触れるような向きになるようオフィスのレイアウトを変えました。これまで従業員が使用するPCの画面は本人しか見えないようにオフィスの壁側を向いていたため、たとえ仕事中にインターネットを閲覧したり、個人的な作業をしたりしていてもわからない状態でした。それをオフィスの動線に向けて配置することで、誰かに見られているかもしれないという意識が生まれる状態にしました。

— 他に新しく定めたルールなどはありましたか。

これまで個人に任せていたPCのログインパスワードの作成ルールやスクリーンセーバーの設定ルールを決めました。
ログインパスワードは数字とアルファベットの組み合わせで8桁以上に、スクリーンセーバーはPCを操作しない状態が
5分続くとかかるよう設定を統一しました。またレイアウト変更に伴い、契約書や施工現場の図面、指示書などの文書類を保管するための鍵付きキャビネットを購入・設置しました。

「弊社の業務についてもよく理解していただき、スケジュールなども柔軟にご対応いただけたため非常にやりやすかったです」(右;山口氏)

「弊社の業務についてもよく理解していただき、スケジュールなども
柔軟にご対応いただけたため非常にやりやすかったです」
(右;山口氏)

LRMの文書作成サポートにより社内の負担が大幅に軽減

— ISMS認証取得に取り組まれたご感想をお話しください。

ISOの認証取得は大変だと思っていましたが、今回は思っていたより負担は軽かったと感じています。大きな要因はLRMの文書作成サポートです。ISMSの文書作成は未経験者が取り組むには非常にハードルが高い作業だと思います。
今回は最初にLRMのひな形をベースに弊社用のマニュアルをたたき台として作ってもらい、それをもとに吉村さんと一緒に読み合わせしながらブラッシュアップしていくことでスムーズに作成することが出来ました。

また、情報資産台帳や入退室記録様式などの作成やリスクの洗い出しといった作業を社内で進めるにあたっても、あらかじめ進め方をアドバイスしてもらいましたし、わからないことがあればメールや電話で気軽に問い合わせることが出来ました。問い合わせに対しては迅速かつ的確にフィードバックしていただけたため、日常業務に支障を来したり、
残業しなければならないほど時間を取られたりするようなことはありませんでした。

— 内部監査はどうされましたか。

LRMに内部監査員を代行していただいて、模擬審査を兼ねる形で2回実施しました。1回目は第1段階審査の前に実施し、資料をチェックしてもらいました。2回目は第2段階審査の前に実施しました。私たち経営陣に対するヒアリングや内勤スタッフのPCのチェックなどをしてもらい、ルールをきちんと遵守できているかどうかを確認してもらいました。

— 審査はいかがでしたか。

最終的には無事に終えることが出来ましたが、課題は残りました。社内のファイルサーバーやクラウド上のバックアップサーバーへの社外からのアクセスについて、吉村さんを含めた我々と審査員との間で考え方が分かれ、今回は審査員の指摘に合わせましたが、仕事はやりづらくなっているので次の維持審査に向け、別の対策を検討したいと考えています。

— ISMS認証の取得後、外部からの反応はありましたか。

今のところはありません。ただ今後情報セキュリティに関するアンケートに応える必要などが生じた場合には「ISMS認証を取得した」という一言でご理解いただけるようにはなりました。

業界ではまだISMS認証を取得している企業は少ない状況ですが、何か重大なインシデントがあれば業界全体がISMS認証を取得する方向へ動いていくはずです。社会全体が情報セキュリティに敏感になっている状況でもあり、先んじて取得していれば有利な点は多いはずです。今後、ISMS認証を維持していくのは大変だと思いますが、審査員の方にも吉村さんにも取ることがゴールではないと言われていますので、これからしっかり運用していきたいと考えています。

取り組みを発展させるために運用支援サポート『情報セキュリティ倶楽部』を契約

— LRMのコンサルティングはいかがでしたか。

非常にやりやすかったです。取り組みがスタートする前は本当に不安でしたが、吉村さんは弊社の業務内容をよく理解し、文書作成も出来るところは全て代行して下さいました。

また、弊社の都合に合わせて打ち合わせの方法やスケジュールを組んでいただいたため、我々のペースでISMS認証取得に向けた準備を進めることが出来ました。私は現場や営業に出ていることが多く、平日のオンタイムに定期的に時間を取ることが困難です。そこで打ち合わせは毎月1回、土曜日にしていただきました。LRMにとっても営業時間外でしたが柔軟に対応していただけたので助かりました。

またメールや電話でかなりこまめに連絡を取り、円滑にコミュニケーションが取れたので、本来の業務に支障を来すことなくスムーズに作業を進めることが出来ました。

— 最後にLRMへのご期待があればお話しください。

今回、LRMのサポートを受けてISMS認証を取得したことで、弊社が情報セキュリティに取り組むベースが出来ました。しかしこの取り組みを発展させていくには、外部の視点でしっかりチェックしていただける存在が必要です。
そこで弊社はISMS認証取得後、LRMのISMS運用支援サポート『情報セキュリティ倶楽部』を契約しました。

弊社は将来的にISO9001認証も取得する予定です。LRMには業務内容など弊社の実情をご理解いただいているので、
その際もサポートを依頼することになるでしょう。今後ともよろしくお願いいたします。

青葉工業株式会社様、お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。

青葉工業株式会社様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 取材日時 2018年4月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る