プラスワン・マーケティング株式会社 様 – 顧客事例 –

ISMSは企業文化を根付かせる重要プロセスであると理解しました。基本から懇切丁寧に教えていただきLRMには非常に感謝しています。

『FREETEL』を展開するプラスワン・マーケティング株式会社は、LRMにISMS/ISO27001認証新規取得コンサルティングを依頼し、2016年11月に審査を終えました。事業拡大に伴い会社が急激に変化する中での認証取得を、新規認証取得プロジェクトマネージャーを務めた執行役員 内部監査室 野村晴彦氏に振り返っていただきました。


(プラスワン・マーケティング株式会社について)

『FREETEL』ブランドでMVNO、スマートフォン製造・販売、モバイルアプリケーション開発・販売の3本柱で事業を展開。MVNO事業者としての特徴は、第一に同一ブランドでオリジナルのスマートフォン端末を開発・販売している点、第二に独立系のスタートアップである点が挙げられる。契約期間に縛りをかけない従量制の課金体系を取り入れるなど、既存のモバイル通信業界の常識を破るサービスを展開するとともに、端末はハイエンドからローエンド、さらにフィーチャーフォンまで幅広い品揃えをし、MVNO事業者としてもSIMフリー携帯端末メーカーとしても国内トップクラスのポジションを確立している。2015年9月にはグローバル展開も本格化し、北米、ヨーロッパ、アジアなど9か国に進出。今後に向けては、“第4のキャリア”を目指し、ショップ展開を本格化する計画を打ち出している。
設立;2012年10月。従業員数;約250名(2016年12月現在)。本社;東京都港区。

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社はLRMに、ISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。コンサルティングは幸松さんの担当で2015年10月からスタートし、2016年11月に審査を終えました。
私自身、ISMSの取得や運用に携わった経験はなかったため、基本的なところから手取り足取り教えていただき、非常に感謝しております。

ISMS/ISO27001認証新規取得の3つの目的

「ISMSはきちんとした企業なら導入していて当たり前のプロセスであると理解しました」

「ISMSはきちんとした企業なら
導入していて当たり前の
プロセスであると理解しました」
(執行役員 内部監査室・野村晴彦氏)

– ISMS認証取得の理由をお話ください。

ISMS認証取得には、以下3点の目的がありました。

(1)規模の拡大に伴う業務プロセスの整備
弊社は2012年に創業したスタートアップ企業です。2014年までは約20名の会社でした。各サービスの本格化に向けて2015年1月、オフィスを現在のビルに移転して増員を図り、2年間で約250名にまで拡大しました。

その間、様々なバックボーンを持った人材が入社したため、業務遂行上の意識レベルに個人差が生まれました。個人差を埋めるために統合的な業務プロセスを整理する目的がありました。

(2)従業員の意識向上
通信会社はお客様の個人情報や決済情報を日常的に扱います。また弊社は端末やアプリケーションの開発に伴う機密情報などを保有しています。これらの情報漏えいを防止するには、従業員の意識レベルを一定以上に保つ必要があります。ISMSを取得して全社的な取り組みとすることで、社員の意識向上を図りました。

(3)対外的信用力の強化
弊社がサービスを本格化した2015年当時、MVNOは業界そのものが社会に認知されていませんでした。第三者機関が定める規格に基づいた業務プロセスを確立することで、ユーザーだけではなく、パートナー企業や流通業界にも、安心してお付き合いいただける企業であると認知していただきたいという思いがありました。

LRM選定の決め手は通信会社のコンサルティング経験

– コンサルティング会社の選定においては、LRM以外に比較した会社はありましたか。

他に2社比較検討し、実績を重視してLRMを選定しました。特に通信会社のコンサルティング経験があったことが決め手です。弊社の事業に対してより早く理解していただけると考えました。

コンセンサスが得にくい時はトップの判断でLRMのアドバイスを採用

– ISMS認証取得プロジェクトはスムーズに進行しましたか。

実は会社の変化がプロジェクト開始時の計画以上に急激だったため、途中でルール構築を一部やり直しました。2016年5月頃です。

その時点である程度まで、細かいルールを決める作業を行っていましたが、その間部署が増えたり、新規事業が始まったり、社内の体制が大きく変化しました。それにより実際の運用に合わない項目が出てきたため、ISMS認証取得プロジェクトの体制を組みなおし、改めてルールを構築しなおしました。

その際、内部監査室という私の立場が、ISMS認証取得に最も近いという会社の判断から、プロジェクトマネージャーを務めることになりました。

– ルール構築の過程で苦労した点はありますか。

最も苦労したのは社内のコンセンサスを得ることです。これまで社内には様々な部分で複数のルールが併存していました。例えば業務で使用するメールソフトは、人それぞれの判断でインストールして使用していました。しかし、人数が増えると管理体制が煩雑になります。そこで統一することにしましたが、何を選択しても誰かが必ず不満を持つことになります。中には、そんなに面倒なことを決める必要があるのかという声もありました。そこで落としどころを見つけるのに苦慮しました。

– コンセンサスが得にくい時の最終的な意思決定はどのような方法を取りましたか。

ルール決定における最終的な判断は、社長が下しました。その際の判断基準はLRMのアドバイスです。
弊社は起業間もない会社であることもあり、トップの発言には特に重みが生まれます。トップが否定的な発言をすれば、取り組み自体が崩壊します。ISMS認証取得プロジェクトでは、議論が停滞した際に「専門家がそう言うなら、その方が良いのではないか」と、社長がLRMの意見を尊重する意志を明確に示したことで議論が前に進みました。

– 組織が大きくなるとルール構築後の従業員教育も大変そうです。

ルール構築が終わる頃には従業員は約200名に増えていたので、全員に教育して一気に浸透させることはできません。テキストを配布しても、日常業務が忙しいのでなかなか読んでくれないでしょう。そこで、LRMのアドバイスに沿って、各部署の中堅社員を選抜し10回ほどに分けて勉強会を開催し、その上で全員に浸透させました。また、認証を受けるには理解度を確認する必要があるため、最後にeラーニングでテストを行いました。
テキストはLRMが作成したドラフト版をもとに弊社用にカスタマイズして完成させました。

ISMS/ISO27001は当たり前のことをきちんと行う企業文化を根付かせるためのプロセス

– ISMS認証取得前と後ではどのような点が変わりましたか。

ISMS認証取得の目的通り、それまでバラバラだった業務プロセスが統一されるとともに、文書に明文化されたことで、社員の意識が高まりました。

特に重要なことは承認手続きを明確に定めたことです。例えば従来は、ノートPCの持ち出しなども特にルールが決まっていませんでした。少人数の頃はそれでも済んでいましたが、大人数になると適切な管理が必要です。そこで管理者の承認が得なければ持ち出しができないようにするなど、承認手続きを明確に決めました。

また、事故報告を義務化しました。これまでサービス面で何かトラブルが生じた際の収束の仕方は、お客様にご納得いただければ社内でも解決したものと見なしていましたが、必ず事故報告を上げることにしました。
この他に、A情報、B情報、C情報と、重要度に応じて情報の区分けも行いました。

このような業務プロセスは、認証取得がなくてもいずれ決まったことかもしれませんが、ISMS認証取得がなければ、これほど早期に決めることは出来ませんでした。ISMS認証取得が事業体制の整備を進めるきっかけになりました。

– 従業員の方々の意識向上についてはいかがですか。

ドキュメントの整備や従業員教育によって、社内の情報の扱い方には敏感になりました。何かしようとした時に、「この手続きを踏まなければいけない」という意識は高まりました。

–  認証取得プロジェクトが一通り終わった現在、ISMSの重要性についてどのように考えておられますか。

私はLRMと半年間一緒にプロジェクトに取り組む中で、ISMSは「当たり前のことを丁寧にきちんとやる企業文化を根付かせるプロセス」だと感じました。ISMSというマネジメントシステムは、ある程度歴史があるしっかりした企業なら、当たり前のように整備していることなのでしょう。

私個人は、過去にISMS認証を取得した企業に在籍していたことがありますが、プロジェクトの外側の立場でした。そこで感じていたことは「ISMSは面倒くさい」ということです。しかし今回、自分がプロジェクトの中に入ってみると、非常に重要なプロセスであると感じました。そのため従業員教育の際には、ISMSは特別なプロセスはなく、当然やるべきことをあえてきちんと説明しているものなので協力してくださいというお願いをしました。

ISMS認証取得により、社内の体制整備が早期に実現しました

「ISMS認証取得により、社内の体制整備が早期に実現しました」(右;野村氏)

小さな疑問もしっかり受け止め、適切にアドバイス

– LRMのコンサルティングはいかがでしたか。

アドバイスが非常に適切でした。ISMSに関しては素人である我々の小さな疑問もしっかり受け止めた上で懇切丁寧にアドバイスをしてくれました。

ドキュメント作成でも助かりました。経験者の知人から、ISMS認証取得ではドキュメントを揃える作業が大変であると脅かされていましたが、今回はLRMがドラフト版を作ってくれました。それを弊社の実態に合わせて変えましたが、ドラフトの段階で「SIMカードの扱い」などが入っている点などには、通信会社の事情をよくご理解いただいている印象を持ちました。

幸松さんには内部監査でも、弊社の社員と一緒に内部監査員を分担してもらいました。LRMにサポートしていただいていなければ、ISMS認証取得プロジェクトはより長期化したと考えられます。

今後の課題とLRMへの期待

– 情報セキュリティに関する今後の課題があればお話しください。

ISMSは運用が重要です。新規取得の審査における指摘事項への対応が目下の課題です。引き続きLRMに相談しながら解決していきたいと考えています。
また、次はプライバシーマーク(以下、Pマーク)の取得も予定しています。Pマーク取得コンサルティングもLRMにお願いします。ISMS同様にほとんど知識がないためLRMにゼロから教えていただきたいと考えています。今後ともどうぞよろしくお願いいたします。

野村様

野村様、お忙しい中有り難うございました。

プラスワン・マーケティング株式会社様『FREETEL』のWebサイト
※ 取材日時 2016年12月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される会社の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る