株式会社星光様 – 顧客事例 –

ISMSの構築には従来の業務手順に潜む問題を顕在化させる必要があります。しっかりしたコンサルタントが関与しなければ目標は達成できません。LRMはその役割を十分に果たしてくれました

株式会社星光は、医療系クラウドサービスの営業先からのニーズに応え、ISMS/ISO27001認証新規取得に取り組みました。サポートを受ける相手には、取引先であるサーバー会社からの紹介により、LRMをご選定いただきました。認証取得に至るまでの経緯やLRMのコンサルティングに対するご評価などについて、代表取締役社長・岡村忠明氏、ネット事業部 部長・岩谷英一氏にお話を伺いました。

(株式会社星光について)

医療系クラウドサービスを提供している会社。2001年、「お医者さんはどこ?」を基本コンセプトとして病院検索サイト『医者どこ.net』を開設するとともに、インターネット診療予約システム『医者どこ予約』を販売開始。さらに2012年には地域医療連携予約システム『e連携』の販売を開始している。患者と街の診療所を結ぶ『医者どこ予約』に対し、『e連携』は診療所と地域の基幹病院を結ぶ。厚生労働省が主導する地域医療連携推進に伴い、今後は『e連携』のビジネスを加速させる考えである。10年以上に渡る『医者どこ予約』の運用で培ったユーザービリティの高さを武器に、トップシェアを狙う。他に公共交通機関などに設置するサインシステムの開発事業と広告代理事業を展開。
創業から70年以上の歴史を持つ老舗企業である。
創業;1947年8月。従業員数;約40名。本社;大阪市天王寺区。

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社は、2016年11月、LRMにISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。LRMの担当者は吉村さんです。吉村さんと一緒に準備を進め、2017年6月、認証取得が完了しました。

ISMS/ISO27001認証取得の理由

— ISMS認証取得の理由をお話し下さい。

弊社がISMS認証を取得した理由は、ネット事業部で提供している『e連携』のお客様のニーズに応えるためです。

『e連携』の販売対象は、地域の中核病院(総合病院、基幹病院、公立病院)です。中核病院との取引では、『医者どこ予約』の販売対象である診療所と比べて高いレベルの情報セキュリティ対策が要求されます。

『e連携』はクラウド上に、診察を受けるにあたっての主訴情報を含む患者さんの個人情報を保持するシステムです。
病院との商談では情報セキュリティに対する取り組みが問われます。そのためにもISMS認証取得が不可欠であると考えました。

– ISMS認証の適用範囲を教えて下さい。

今回は新規取得なので『e連携』を担うネット事業部のみに限定しました。情報セキュリティは、ネット事業部に関わらず全社的に意識すべき課題ですが、弊社が手掛ける3つの事業はサービス内容や事業環境など事情が大きく異なるため、統一したルールを設けることは困難であると判断しました。まずは、ネット事業部での成果を見て、将来的に拡大を検討したいと考えています。

(経営者の視点)

「ISMS認証取得が仕組み作りのきっかけになると考えました」(代表取締役社長・岡村忠明氏)

「ISMS認証取得が仕組み作り
のきっかけになると考えました」
(代表取締役社長・岡村忠明氏)

ネット事業部は4名の組織です。リソースが潤沢ではないので、仕組み作りがなかなか進まず、情報セキュリティに関しても、必要が生じたときに、その場その場で判断して対応してきました。

経営者の立場からすると、そのような状況には不安がありました。『e連携』のお客様からISMS認証の取得を求められ、現場からISMSを取得したいという声が上がった際には、単に認証を取得するだけではなく、実効性のある仕組み作りに繋げられるチャンスだと考えました。

弊社はISMSに先駆けて、ISO9001を取得しましたが、その浸透に時間がかかりました。最大の要因は、その取り組みがトップダウンであったことだと考えています。「ISO9001とは何か」「なぜ必要なのか」といった基本を理解させることから始める必要がありました。

それに対し今回のISMS認証取得は、事業部の現場から上がってきた取り組みのため、着手がしやすかったです。
経営者が前線に立って取り組んでもワークフローに沿った仕組みは作れません。運用に関しても当事者が関わって作った仕組みなら、理解できるし、高い意識を持って取り組めると感じました。ISMS認証取得の声が現場から上がってきたことは非常に嬉しく感じました。

– プライバシーマーク(以下、Pマーク)ではなく、ISMSを選んだ理由をお話し下さい。

第一の理由は、ISMSが弊社のニーズに適していると判断したからです。

弊社としては、当初からISMSとPマークの違いを明確に把握していたわけではありません。一般的に知名度が高いのは圧倒的にPマークですし、弊社内でもISMSに関しては漠然とした認識しかありませんでした。

弊社としては、何もない状況が少しでも前に進めば良いと考えていたので、取りやすい方を取るという考えもありました。しかし、LRMにISMSとPマークの違いを説明していただいて理解した上で、ISMSに決めました。
最終的にISMSを選んだ理由は次の2点です。

(1)ワークフローに沿ったマネジメントシステムが構築できる
マネジメントシステムの構築にあたり、PマークよりISMSの方が自由が利くことが最大の理由です。
Pマークはやらなければいけないことが決まっており、そのフレームワークに業務を合わせることが大変です。
ISMSは自社のワークフローに沿ったマネジメントシステムが構築できます。

(2)適用範囲を事業部単位に設定できる
ISMSは認証の適用範囲を、施設や事業の単位で設定できます。Pマークは法人単位でしか取得できません。
弊社は事業部ごとに事情が異なるため、現状では全社取得は困難です。ネット事業部以外の事業部では当事者意識を持たせることが難しいと考えました。
ISO9001の反省から、まずは必要を感じているネット事業部からスモールスタートした方がやりやすいと考えました。

取引先経営者の太鼓判がLRMとの契約を後押し

地域の診療所から中核病院への患者紹介が24時間365日可能なインタ―ネット予約システム『e連携』のWebサイト

地域の診療所から中核病院への患者紹介が
24時間365日可能なインタ―ネット予約
システム『e連携』のWebサイト

– コンサルティング会社選びはどのように行いましたか。

弊社が取引をしているホスティング会社からLRMを紹介していただき、依頼しました。弊社が取引しているホスティング会社は2社あります。両社ともLRMと取引があり両社から推薦されました。そのうちの1社は、社長自ら弊社を訪れて、認証取得の苦労話をしながらLRMを勧めてくれました。弊社と同じIT分野、しかも長年取引のある会社の経営者が推薦しているということが何よりも後押しとなりました。

第三者の声という意味では、LRMのWEBサイトに掲載されているお客様の声も参考になりました。

– 他のコンサルティング会社とは比較されましたか。

何社かの話を聞きましたが、コンサルティング会社の選定は難しいです。実際にコンサルティングを受けてみなければ良し悪しは判断できません。LRMの営業担当者の話も聞いて、最終的には取引先との信頼をベースにLRMに決めました。

– ご推薦の理由として挙げられていたポイントはありましたか。

(1)マニュアルのボリュームの少なさ
最も強い動機となったのは、LRMのサポートを受けて作成するマニュアルは薄くなるということです。ISO9001は分厚いマニュアルも社内に浸透しにくい理由の1つでした。マニュアルのボリュームが多いと、内容が把握しづらいという弊害があります。マニュアルが薄ければ読み通すことが容易であり、チェックもしやすいと考えました。

(2)認証取得企業の実態を反映したマネジメントシステム
認証取得企業の実態に即したマネジメントシステムを構築してくれるということを聞いて安心しました。
長年独自の判断、独自のルールで対処してきた状況を是正したいという弊社のニーズが満たせると考えました。

マネジメントシステムの構築とISMS/ISO27001認証取得までの経緯

「取引先の経営者からの推薦が強力な後押しとなりました」(ネット事業部 部長・岩谷英一氏)

「取引先の経営者からの推薦
が強力な後押しとなりました」
(ネット事業部 部長・岩谷英一氏)

– ISMS認証の取得期限は、決めていましたか。

スケジュールとしては、2017年春頃までにマネジメントシステムの大枠を決めたいと考えていました。4月には一通り決まって、従業員教育も済ませることが出来たため、ほぼ予定通りに進行しました。

– コンサルティングが始まる際、ご心配されていたことはありましたか。

弊社の業務フローに沿ったマネジメントシステムを構築するには、我々の業務と取得の理由を、コンサルタントにしっかり理解してもらうことが重要であると考えていました。

そこで、コンサルティングがスタートした直後は、ネット事業部の業務について集中的に話をしました。この段階で躓いてしまうと、我々としてもモチベーションが下がり、前向きに取り組むことが出来なかったでしょう。吉村さんはITの知識があるため業務への理解が非常に早く、しっかりと弊社の業務を把握してもらった上でマネジメントシステムの構築に進むことが出来ました。

– マネジメントシステムの構築はどのように進みましたか。

LRMが作成したひな形をベースに、マネジメントシステムの構築を行いました。月に1回か2回ぐらいの頻度で吉村さんと打ち合わせを行って、1つずつルールを決めていきました。

マネジメントシステムの構築は、弊社がどのような業務手順を踏んでいるかということを明確にして文書に落とし込んでいく作業です。例えば外部へ委託している開発業務の工程管理や委託先との契約書の取り交わし、USBなどの外部メディアの取り扱い、ノートパソコンの保管や外出先での使い方など、弊社が普段どのような手順で業務を行っているかを、文書に反映していきました。

吉村さんのヒアリングに我々が回答する形で進めるのですが、中には明確に定めていなかったことや、そもそもやっていないこともありました。その際は決められなかったことを宿題として、社内で話し合って決めました。社内で決めたことは、次の打ち合わせで吉村さんに確認していただきました。

ただしISO27001というISMSの規格があるため、全てを私たちの都合で決めるわけにはいきません。私たちが普段やっていることや、話し合って決めたことを、ISMSのフレームワークから外れていないかどうかを吉村さんに判断してもらって、見直す点があれば、アドバイスをいただきながら決めていきました。

– 例えばどのような点が是正の対象となりましたか。

例えば外注先の管理方法がありました。弊社はサービスのシステム構築を外注で賄っていますが、発注先との情報共有やプロジェクト管理などは、担当者個人の判断で行っていました。そのような管理方法を改善するために、吉村さんにいくつかの参考例を提示してもらって、会社の現状を踏まえた上でどれが一番落としどころとして妥当かを検討して決めました。

「コンサルタントのITに関する知識の豊富さがスムーズな認証取得につながりました」(代表取締役社長・岡村忠明氏)

「コンサルタントのITに関する
知識の豊富さがスムーズな
認証取得につながりました」
(代表取締役社長・岡村忠明氏)

– 社内の管理や業務などに関して新たに適用したルールはありませんか。

社内の管理や業務に関して、新たに適用したルールは以下の通りです。

(1)PCやデータファイルの取り扱いルール
まず、 PCのログインパスワードのルールを決めました。英数字と記号を混ぜた8桁以上に統一し、定期的に変更していきます。また、メールの添付ファイル暗号化、データを社外へ持ち出す際に使うUSBのパスワードロック、ノートPCのBIOSのパスワードロックといったルールを適用しました。
セキュリティソフトの統一、ソフトウェアの管理は従来から行っていたので変更はありません。

(2)ファイルサーバーの整理
弊社はもともと、クラウドストレージサービス『DropBox』と社内サーバーの共有フォルダーを使っていました。
どちらにどのような種類のデータを置くかは個人の判断に任せていましたが、実態としては全て『DropBox』に置かれている状態でした。クラウドは家からでも外出先からでもアクセスできるので便利ですが、会社としては社外に持ち出してほしくないファイルもあります。そこでデータを仕訳けした上で、ストレージの使い分けをルール化しました。

(3)紙の文書類の整理
弊社は機密情報に関しては、基本的に紙で保管することがありません。患者の個人情報はクラウド上に存在しています。ただし一時的なメモ書きが社内に存在することはあり得ます。そういうものは用が済んだらシュレッダーにかけて廃棄するというルールを適用しました。また、これまでにオフィスに残っていた不要なドキュメント類は廃棄しました。

– ハード面で整備されたことはありますか。

ネット事業部の事務所の出入口を施錠するようにしました。またキャビネットにも施錠するようにしました。
もともとネット事業部の部屋は閉じた空間になっているため好都合でした。
その他、社内LAN環境などは従来からしっかり整備していたため変更はありません。

– マネジメントシステムの構築が終わったのはいつ頃ですか。

マネジメントシステムの大枠が出来上がったのは4月中です。マネジメントシステムの構築が出来た段階で運用をスタートし、PDCAサイクルを回し始めました。

– 従業員教育はどのように行いましたか。

マネジメントシステムの構築が一通り終わった4月に実施しました。吉村さんに講師を務めていただきました。

– 内部監査はどうされましたか。

内部監査も、今回は吉村さんに内部監査員を代行していだいて、実施しました。
その後、マネジメントレビューを行い、審査を迎えました。審査結果は、軽微な指摘事項がいくつかありましたが、LRMのアドバイスを受けて是正し、2017年6月、無事に認証取得に至りました。

ISMS/ISO27001認証取得の成果

–  ISMS認証を取得したことによる成果を実感されることはありますか。

これまで個人任せだった業務手順に対して、事業部全体の統一ルールを決めて、その手順に従って仕事をするようになったということが現時点における成果です。何かあった時のお客様に対する説明も、今回構築したマネジメントシステムがあれば、根拠のある話ができます。

– それによって可視化された変化はありましたか。

ISMS認証取得による変化は、何かトラブルが発生した時に初めて実感できるものではないかと考えています。
ISMS認証を取得したから、あるいはマネジメントシステムを構築したからといって、トラブルそのものが起きなくなるということではありません。むしろ、何かトラブルが発生した際に、その問題と向き合って、是正していくことが大切です。まだネット事業部の従業員自身、ISMSの運用に慣れていないため戸惑うことの方が多い状況です。
今後、運用し続けながらマネジメントシステムを見直し、改善を重ねる中で、社員の意識や行動が変化していくことを期待しています。

現在の社会では個人情報をはじめとする機密情報の管理に対する意識は非常に高まっています。
大量の個人情報漏洩事故が一度でも発生しただけで、中小企業は再起不能な大打撃を受けるでしょう。これまでもそのような危機感や不安は漠然と持っていました。その危機感に対し、今回、ISMS認証取得を通じてマネジメントシステム構築を行うことで、ある程度の安心に繋げられれば良いという想いも持っていました。
ISMSは、顧客のニーズに応えることや、社内の意識を高めることだけではなく、漠然とした危機感や不安を収めるための拠り所にもなるものではないかと考えています。

「私たちが期待した通りの情報セキュリティマネジメントシステムが構築できました」(左から;岡村氏、岩谷氏、ISMS事務局の皆さん)

「私たちが期待した通りの情報セキュリティマネジメントシステムが構築できました」
(左から;岡村氏、岩谷氏、ISMS事務局の皆さん)

LRMのコンサルティングにより業務に潜む問題を顕在化し検討することが出来た

– LRMのコンサルティングを受けたご感想をお話し下さい。

非常に信頼のできる仕事をしていただいたと感じています。特に、吉村さんが、ソフトウェア業界に対して精通していることで、我々が期待した通りの情報セキュリティマネジメントシステムの構築をスムーズに進めることができました。マニュアルも、コンパクトにまとまっていて、運用しやすいものになりました。

ISMS認証取得の直接の目的は、顧客ニーズに応えることでしたが、一方では、情報を守る仕組み作りにつなげたいという想いもありました。仕組み作りのためには従来の業務手順に潜む問題を顕在化させる必要があります。
コンサルタントにしっかり関与していただけなければ、その目的を達成することはできません。LRMの吉村さんは、
その役割をきちんと果たしてくれました。弊社の業務に対してしっかり理解をしていただいた上で、細かくチェックしていただいたことで、これまで注意していなかった部分にまで意識を及ばせて、しっかり議論することが出来ました。

また、吉村さんは、問題を顕在化させるだけではなく、顕在化した問題を解決するための引き出しもたくさん持っていると感じました。こちらの目的意識を的確に理解していただいた上で、的を射たアドバイスをいただけたと考えています。

今後の課題とLRMへの期待

– 情報セキュリティの取り組みに関して、今後の取り組み課題などがあればお話し下さい。

ISMSの運用を始めてまだ半年弱しか経っていないため言い切ることはできませんが、今後、LRMと一緒に構築したマネジメントシステムが機能して業務改善につながるという実感が持てれば、適用範囲の拡大も検討したいと考えています。そのためにも、まずはネット事業部でPDCAをしっかり回してノウハウを蓄積し、そこで得た成果を全社に還元できることが理想形です。

– 現段階で、LRMに期待することはありますか。

現段階では、ISMSの運用にどれぐらいの負担が社内にかかるのか明確にイメージできませんが、1つだけ言えることがあります。それは情報セキュリティに関する社会の動向について、我々が入手できる情報が限られているということです。特に、他社の失敗事例などは運用改善の参考になります。LRMはそのような事例を豊富に持っているため、運用保守サポートにも関心は持っています。今後、自社でどこまで運用できるかを見極めた上で、改めて検討していきたいと考えています。

株式会社星光様、お忙しい中、有り難うございました。

株式会社星光様、お忙しい中、有り難うございました。

※ 株式会社星光様の Webサイト
※ 取材日時 2017年9月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される会社の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る