SAKURA Links株式会社様 – 顧客事例 –

LRMは、ISMS認証を取得する企業がどんなことで悩み、つまづくか、そしてどうすれば前に進められるかを理解しているコンサルティング会社です。かゆいところに手が届く、期待通りのサポートでした

越境ECプラットフォームの運営事業を手掛けるSAKURA Links株式会社は、LRMにコンサルティングを依頼し、ISMS/ISO27001認証の新規取得に取り組みました。本格的なサービス提供に向け会社全体が慌ただしい中での取り組みについて、物流・CS本部 本部長(兼)管理本部・小田周作氏、管理本部 財務・経理部(兼)物流・管理部・上原朋子氏にお話しを伺いました。

(SAKURA Links株式会社について)

中国国営企業の中国中信集団有限公司グループ(以下、CITIC)と資本業務提携し共同開発した越境ECプラットフォーム『J-motenus』の開発・運営を行う。ECシステムの開発から運用、サイト運営、カスタマーサポートまで一手に担う。CITICグループが運営する中国国内ECプラットフォーム『中信e家』の会員や金融顧客といった中国の富裕層向けに日本の商品を幅広く販売していく。2017年3月より試験的な運用がスタートし、国内有名百貨店との提携により主に食品の販売を行っている。CITICグループが抱える富裕層を見込み客として確保しているため、ユーザーの顔が見える点が、不特定多数をターゲットとする競合サイトとの大きな差別要因であり、出店企業を集める上での優位性となっている。2017年中の本格稼働を目指す。伊藤忠グループの100%出資子会社。
設立;2016年12月。従業員数;約20名(2017年10月現在)。本社;東京都港区。

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

2017年内の本格稼働を目指し、テスト運用中の越境ECサイト『J-motenus』。現在は国内百貨店と連携し日本の食品を中心に販売している。

2017年内の本格稼働を目指し、テスト運用中の
越境ECサイト『J-motenus』。現在は国内百貨店
と連携し日本の食品を中心に販売している。

— LRMへのご依頼内容をお話し下さい。

SAKURA Links株式会社は、2017年3月、LRMにISMS/ISO27001
(以下、ISMS)認証新規取得コンサルティングを依頼しました。

LRMの担当者・幸松さんのサポートを受けて、3月から認証取得に向けた準備を始め、5月末に第1段階審査、6月下旬に第2段階審査を受けて、
7月に認証を取得しました。

体制作りと信用力強化に向けISMS/ISO27001認証を取得

— ISMS認証を取得した理由お話し下さい。

弊社がISMS認証を取得した理由は以下の2点です。

(1)社内の体制作り
弊社はECプラットフォームを運営しているので、今後サービスが本格稼働すれば大量の個人情報を扱うことになります。伊藤忠のグループ企業として内部統制に取り組むためにも、第三者機関の認証取得が必要であると判断しました。

(2)対外的な信用力の強化
弊社が運営する越境ECプラットフォームの出店者は大手百貨店を始めとする大手企業がメインとなる予定です。
今後取引を拡大するにあたってはISMS認証やプライバシーマークの有無が問われるようになることが予測されます。
またパートナーである中国のCITICに対してもしっかり体制作りをしていることを客観的に示す材料が必要です。

以上の2点によりISMS認証取得を決めました。プライバシーマークも検討しましたが、将来的には中国以外の地域にも拡大するという目標があるため、国際規格ISO27001に基づいたISMS認証を取得しました。

– ISMS認証取得を決めたのはいつですか。

ISMS認証を取得することを決めたのは、2017年3月です。越境ECサイトのテスト運用スタートと同時期です。
その段階でSAKURA Linksに在籍する社員は不在で、伊藤忠本体の社員を中心にチームを組んでプロジェクトを動かしている状況でしたが、本格稼働に向けてISMS認証取得が必要になることは明確だったので、すぐに取り組み始めました。

– ISMS認証を取得するにあたり、期限は定めていましたか。

大手百貨店の出店が決まっていたので、可能な限り早く取得したいと考えていました。LRMから最短のスケジュールをご提示いただき、7月取得を目標にしました。

かゆいところに手が届くサポートに期待してLRMと契約

「LRMは社内の事情を汲んでサポートしていただけることが期待できました」(物流・CS本部 本部長(兼)管理本部・小田周作氏)

「LRMは社内の事情を汲んで
サポートしていただけること
が期待できました」
(物流・CS本部 本部長(兼)
管理本部・小田周作氏)

– コンサルティング会社選定の経緯をお話しください。

ISMS認証の取得を決めた後、グループ内で情報収集し、グループ会社と何らかの取引があるコンサルティング会社を3社ほどピックアップしました。LRMはその中の1社です。

– コンサルティング会社を選定する上で重視したポイントを教えて下さい。

いかに認証取得企業の立場に立ったサポートをしていただけるかを最重要視しました。

弊社は設立間もない会社で、ISMSに対する知識がありません。しかも小規模で全員が常に忙しいため、ISMS認証取得に割ける時間は限られています。ISMS事務局は3名ですが、各自、本来の業務と兼任しています。そのような社内の事情を汲んでサポートしていただけるコンサルティング会社を選びました。LRMを紹介してくれたグループ会社の評価を聞いて、LRMはその条件を満たしていると感じました。

– 実際にLRMと会って話をした際に感じたご印象をお話し下さい。

「顧客のかゆいところに手が届くサポート」が期待できると感じました。ISMS認証取得までの流れを具体的に示していただいた際に、認証を取得する企業がどんなことで悩み、躓くかをよく理解されている上に、限られたリソースと時間の中でいかに負担を減らして取得へ導いていくか、明確にイメージできていると感じました。

ISMS事務局の中心メンバーは営業出身者です。営業活動では、お客様に足りない要素を把握して、こうしてあげれば前に進められるというイメージを描くことが大変重要です。LRMのコンサルティング方針にも共通点があるように感じました。ECパッケージの開発会社など、弊社と近しい業界の実績もあるというお話しも伺い、安心して依頼することが出来ました。

LRM以外の会社はいずれも大手コンサルティング会社でしたが、実際に話を聞いても、LRMのようなきめ細かいサポートは期待できませんでした。またコンサルティング料金もサポート内容に比べて高いと感じました。

マネジメントシステム構築の経緯

「今後も継続してサポートしていただけるよう運用保守サービスを契約しました」(管理本部 財務・経理部兼)
物流・管理部・上原朋子氏)

「今後も継続してサポートして
いただけるよう運用保守
サービスを契約しました」
(管理本部 財務・経理部(兼)
物流・管理部・上原朋子氏)

– ISMS認証の取得期限は、決めていましたか。

ISMS認証取得の準備期間は3月から5月までの3か月間です。実質的な時間をおおまかに見積もると、40時間から50時間となります。

LRMとの打ち合わせ回数は10回ぐらいです。1回の時間は基本的に2時間で、緊急に来ていただいた時は1時間ぐらいの時もありました。LRMとの打ち合わせ以外に、社内のメンバーで話し合ってルールを決めたり、社内の整備をしたりするのにも同じぐらいの時間がかかっています。

– ISMS認証取得に向けたマネジメントシステムの構築はどのように行いましたか。

LRMが用意するひな形をベースにマネジメントシステム構築を行いました。LRMにひな形の項目ごとに説明をしていただいた上で、サンプルを示していただき、それをもとに社内でルールを検討し、文書に反映しました。そして幸松さんにチェックしてもらって、改善すべき点があれば改善するという流れで完成させました。

– 対面での打ち合わせ以外にも、連絡を取り合うことはありましたか。

社内でルールを決める際にわからないことがあった時に、メールと電話で連絡し、相談しました。電話での説明が難しい時は、緊急に来ていただいて打ち合わせすることもありました。

– 決めるのが難しかったルールには例えばどのようなものがありましたか。

ルール決めの中で特に困ったのは外注先の管理です。ECシステムの開発・運用は外部のシステム開発会社に委託していますが、業務は弊社内で常駐して行ってもらっています。しかし開発業務に使うPCは委託先の所有です。このような状況で、弊社が定めたルールをどこまで適用すれば良いか悩みました。

LRMに相談して決めたルールは、作業に使うPCに弊社が指定したウィルス対策ソフトをインストールしてもらい、アップデート状況を定期的にチェックするというものです。LRMにはお勧めのウィルス対策ソフトなども教えていただきました。

– 他にISMSのマネジメントシステム構築を進める過程で取り入れたルール、または整備したことはありましたか。

Microsoft Share Pointの権限分け、雇用契約書の整理、健康診断の手続きなど、ISMSとは直接関係はありませんが、ISMSのルールを決める中で幸松さんに指摘されて取り組んだことがいくつかあります。

弊社は2016年12月に設立され、2017年4月、グループ会社からの出向者がメインとなって会社づくりが始まったところです。コンサルティングがスタートした時点では、SAKURA Linksのプロパー社員がほとんどいなかったので、人事情報の管理や福利厚生などに関する仕組みが整備されていませんでした。
ISMSのルール構築中に幸松さんから指摘を受けて整備しました。Microsoft Share Pointは社内での情報共有に活用していますが、人事情報を全員が見れる状態になっていたので、権限を分けました。

– 海外向けのサービスを展開しているという点で、特に整備すべきことはありましたか。

関連法令台帳に中国の法令を揃えました。

弊社が提供するサービスは中国の消費者向けですが、プラットフォーム自体は開発から運用まで全て国内で完結しています。従って関連法令台帳に記載される法令は国内の法令が中心です。
しかしサービスの対象が中国の消費者であることは間違いないので、中国の法令も関連してくる可能性はあります。
いずれにしても関連法令と言われて、何が関連している法令なのかを判断することは、我々にとって簡単ではなかったので、幸松さんに手伝ってもらって整備しました。

関連法令台帳は、ISMSだけではなく内部統制でも必要なので助かりました。

eラーニング『Seculio』と内部監査員代行を活用して審査準備は万端に

– マネジメントシステムの構築が一通り終わった後は、従業員教育ですね。

従業員教育はLRMが提供するeラーニングシステム『Seculio』を活用して実施しました。
『Seculio』で実施した内容はISMS研修です。テキストを読み、テストを受けて、「ISMSとは何か」を学びました。
今回は従業員だけではなく、常駐されているパートナー会社の方々にも受けてもらいました。

「教材を作る必要がなく、実施状況が自動的に記録されます。
『Seculio』は管理者にとって非常に便利なeラーニングシステムです」

– eラーニングシステム『Seculio』を活用されたご感想をお話し下さい。

eラーニングシステム『Seculio』を活用した従業員教育は、管理者として非常に助かりました。自分たちで教材を作る必要がありませんし、一人ひとりの実施状況やテスト結果が自動的に記録され可視化されます。もし研修を受けていない、理解が出来ていない、などの問題があっても、その問題を容易に把握して、スピーディに改善へとつなげていくことが可能です。

弊社は情報を扱う企業なので、 ISMSとは何かという基本的な理解は、従業員全員に求められます。情報セキュリティ事故が起きてしまった時、しっかり取り組みが出来ていないことがわかれば、会社の存続自体が危ぶまれます。
そしてその影響は、グループ会社全体にも及びます。認証取得以前の問題として、一人ひとりがそのような意識を持たなければいけません。そのスタート地点に全員が立つために、eラーニングの活用は有効でした。

– 内部監査はどうされましたか。

内部監査は、LRMに内部監査員を代行してもらって実施しました。

社内の人間同士では普段の関係性を断ち切ることは難しいので、しっかりチェック機能を働かせることが困難です。
伊藤忠グループのガバナンスで親会社の監査が入る時も、外部の専門家に客観的な視点でチェックしてもらえば、社内でやるよりも高く評価されます。

– 内部監査の成果をお話し下さい。

審査前に問題点をしっかりと洗い出し、是正することが出来ました。頭で理解することと行動に落とし込むことは異なります。会社の中にいると見慣れた景色になっていて気が付かないこともあります。足元に書類が山積みになっていたり、パスワードがPC画面に貼ってあったり、内部監査を代行してもらったことで見つかった問題がいくつかありました。

このような問題点が見つかることは、その問題の直接的な是正につながるだけではありません。各所属長に内部監査の結果をシェアしてもらうことで、社内の危機意識を高める効果もありました。情報セキュリティの取り組みは、業務に追われていると後回しになりがちです。しかし一方では、誰もがその重要性を理解しています。特に、部門長にとっては第三者の視点で問題を指摘された事実を軽視するわけにはいきません。内部監査で問題が見つかったことで、社内における危機意識はより高まりました。

– 審査はいかがでしたか。

事前に幸松さんから審査の流れを伺っていたため、心構えも含めてしっかり準備ができました。審査と言えば重箱の隅をつつくように欠点探しをされる印象がありました。しかし幸松さんから事前に、ISMSの審査は「認証取得のためにどうすべきかを審査員と話し合う機会」だと伺ったことで、気構えることなく臨むことが出来ました。

審査の結果も軽微な指摘だけで済みました。次の審査に向けて改善に取り組んでいきます。

「内部監査を代行していただいたことで、社内危機意識がより高まりました」(右から;小田氏、上原氏)※左は弊社 幸松

「内部監査を代行していただいたことで、社内危機意識がより高まりました」
(右から;小田氏、上原氏)※左は弊社 幸松

意識しなくても安全に業務を回せる仕組み作りが課題

– ISMS認証取得全体を通して、最もご苦労されたことは何ですか。

苦労ではありませんが、ISMS事務局として終始心配していたことがありました。情報セキュリティの取り組みをいかに社内に浸透させられるかという問題です。

コンサルティングが始まった当初は、ISMSに関する知識がほとんどないので、認証取得に取り組むにあたって直面する問題をイメージすることができませんでした。しかし幸松さんと話をしながら、ルールを作るだけでは社内の体制作りにはならないということに気が付きました。決めたルールを形骸化させないためにも、社内に取り組みを浸透させる必要があります。

誰もが情報セキュリティ事故を防ぐ重要性は理解しています。しかしサービスの本格稼働に向けた動きと会社づくりが同時に進む中で、情報セキュリティの取り組みを浸透させることは非常に難しいと感じました。

そこで幸松さんにアドバイスをいただいて、社内の協力を取り付けるために各部門長を集めて会議を開いたり、個別に話をしたりして、繰り返しISMSの重要性を訴えました。その成果があり、忙しい中でもきちんと取り組まなければいけないという意識は社内で共有できるようになったと感じています。

– ISMSの重要性を訴えるためにどのような話をしましたか。

ISMSの取り組みは、事故が起きた時に社員自身を守るためのものだということです。個人情報漏洩などの重要なインシデントが発生すれば、場合によっては会社ごとなくなってしまう可能性もあります。特に弊社のパートナー会社は中国で最大の国営企業なので大きな問題に発展するでしょう。それを防ぐためにもISMSの取り組みは非常に重要であるという話をしました。

– 今後の取り組み課題をお話しください。

次の更新に向けた課題は、ISMS運用の基本動作を身に着けることです。ISMS事務局のメンバーを含め全員が常に忙しい会社なので、情報セキュリティの重要性を理解しながらも、実際に取り組むとなると優先順位が下がりがちです。
クリーンデスクやパスワードロック、離席時にPCをスリープ状態にするといったことも、つい忘れてしまいます。
それは意識しろと言ってもできるものではありませんので、当面は要所を押さえて訴え続けるしかありません。

その一方で、ISMS事務局としては、継続的にマネジメントシステムを見直し、現場がISMSを意識しなくても業務を安全に回せる仕組みを作っていくことが重要だと考えています。

「口で言うだけ」ではないLRMのコンサルティング

– LRMのコンサルティングを受けた感想をお話しください。

LRMのコンサルティングは、期待通り、かゆいところに手が届くサポートでした。しっかり信頼関係を築くことができ、依頼して良かったと考えています。

我々は、過去の経験上、コンサルタントは「口で言うだけ」という印象を強く持っていました。例えば台帳の整備などにしても「やっておいてください」と言われたところで、素人には何をどうして良いのかわかりません。LRMはその現実をよく理解しているので、可能な限り手間のかからない方法を提示してくれました。
ルール作りも我々自身が考えなければいけないことが沢山ありましたが、何もないところから考えさせるのではなく、考えるための基本的なフレームワークを用意していただきました。また、このルールがなぜ必要なのかもご説明いただいたので、本質を押さえた上で検討することが出来ました。さらに、ルール作りで困った時などに急に訪問を依頼した際も、弊社の都合に合わせて時間を割いていただきました。
LRMがいなければ、ISMS認証取得を実質3か月間という短期間で終えることはできなかったと考えています。

– LRMへのご期待をお話し下さい。

認証取得後、弊社はLRMと、運用保守サポート『情報セキュリティ倶楽部』、ならびにeラーニングシステム『Seculio』の契約をしました。今後も継続して、従業員教育や内部監査、関連法令台帳の整備などのサポートをしていただく他、ISMS運用で困った際の相談に乗っていただきたいと考えています。

SAKURA Links株式会社様、お忙しい中、有り難うございました。今後ともよろしくお願いいたします。

SAKURA Links株式会社様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。

※ 越境ECサイト『J-motenus』
※ 取材日時 2017年9月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される会社の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る