株式会社スプーン 様 – 顧客事例 –

レベルをワンランク上げてくれるLRMのコンサルティングで、ISMS運用を改善。業務の質の向上を実現するスタートラインに立つことができました

株式会社スプーンは、2007年のISMS/ISO27001の認証取得以来、業務の質の向上を目指し、全社を挙げてマネジメントシステムの運用に取り組んできました。そんなスプーン社がLRMにISMS/ISO27001運用改善のコンサルティングを依頼したのはなぜか。情報セキュリティ担当役員・渡辺伸一朗氏、ISMS事務局・小野敬子氏、同じく渡邉究氏の3名に、経緯と成果についてお話しいただきました。

(株式会社スプーンについて)

株式会社スプーンは、CMなどの広告映像を中心に手掛ける映像制作のプロデューサーカンパニーである。「人のこころに届く映像を、わくわくしながら創る」を制作方針に掲げ、外部スタッフを適材適所にコーディネートしながら、数々の名作CMを世に送り続ける。
近年の代表作に『サントリー金麦』『資生堂UNO』などがある。他に、松尾スズキ脚本・監督『クワイエットルームにようこそ』(2008年)、ロックバンドTHE YELLOW MONKEYのツアードキュメント『パンドラ ザ・イエローモンキー』などの劇場用映画の制作実績も多数。
本社;東京都渋谷区、設立;1988年、従業員数;42名。

LRMのコンサルティングサービス・ISMS/ISO27001運用改善コースを依頼

— LRMへの依頼内容を教えてください。

弊社は2013年5月、LRMに、ISMS/ISO27001(以下ISMS)のコンサルティングサービス「ISMS運用改善コース」を依頼しました。
LRMの関与で、もともと煩雑だった規定が大幅に改訂されてシンプルなものとなり、本来目指していた業務改善のためのPDCAサイクルを回すためのスタートラインに立つことが出来ました。また、同時にISMS規格2013年版への対応を済ませることが出来ました。

2013年12月に認証の更新審査を終え、年明けから新しいISMSの運用が本格的にスタートしました。

ISMSを取得した理由とこれまでの取り組み

情報セキュリティに対する意識を高めることで業務の質の向上を目指しています

情報セキュリティに対する意識を高めることで業務の質の向上を目指しています
(ISMS事務局・小野敬子氏)

— 御社がもともとISMS認証を取得した理由を教えていただけますか。

弊社がISMS認証を取得した理由は、業務の質の向上です。取得したのは2007年です。
弊社は発売前の新商品を扱うことがあるので、以前から情報の取り扱いには注意を払っていましたが、ISMSを構築することで、より業務の質を高めたいと考えました。また、大手広告代理店をはじめとする取引先との取引を、将来にわたって維持するためには、ISMS認証の取得が必要になるという経営的な判断もありました。

— 認証取得後のISMSの運用状況を教えて下さい。

弊社はISMS認証を取得した当時から、社員の情報セキュリティに対する意識を高めて取り組むことで、業務の精度が上がっていくような好循環を目指してきました。例えばISMSには「クリアデスク・クリアスクリーン方針」というものがありますが、これは仕事を円滑に進める上では大切な習慣です。

私たち事務局は、そういったことを情報セキュリティのためにやるのではなく、自分の業務のためにやっているということを常に忘れないように指導しています。
推進体制としては、事務局の他、毎年メンバーを入れ替えて活動する情報セキュリティ委員会を設けています。
入れ替わりで全社員が委員を経験することによって、単に認証を維持するだけではないという意識を全社的に共有しています。

— 情報セキュリティ委員会の活動内容を教えて下さい。

情報セキュリティ委員会のメンバーは7名前後です。メンバーは、様々な意識レベルの社員が揃うように、前年度の委員と事務局が話し合って選出します。
委員会は、更新審査に向けて事務局が設定したタスクと大まかなスケジュールに沿って、毎年スローガンを決めて作業を進めて行きます。委員会が担うのは、社内への意識浸透、重点目標の喚起、日常業務の中で発生する問題・課題の吸い上げなどです。毎年、委員会のメンバーが主体となって強化項目のチェックシートを作ったり、ヒヤリハット事例の吸い上げを行ったりしています。

ただ、このように時間も労力もかけて運用をしている割には、「ISMSが本当に業務の質の向上に繋がっているのか」という疑問が社員の間に生じ、年々、モチベーションを維持できなくなっていました。

本来の目的を実現できている実感が持てず根本的な改善に着手

自分たちの使いやすいように変えて良いということを教えてもらいました

自分たちの使いやすいように変えて良いということを教えてもらいました
(ISMS事務局・渡邉究氏)

— そのような疑問が生じたのは何故ですか。

弊社は、認証を維持しつつ、より効果的に業務の質の向上を実現することを目指していました。しかし実際は、ISMSの規定を守ることで、業務が滞ったり、煩わしいと感じることが多くありました。それが疑問に繋がっていきました。

そのような状況が生まれた原因は、マネジメントシステムが煩雑かつ弊社の業務内容と乖離していたからです。難解な文章で書かれた規定書類が12種類もあって管理するのが大変だった上に、明らかに製造業向けの項目が存在するなど、規定が弊社の映像制作の業務とシンクロしていませんでした。審査のためだけに書類を整えるという辻褄合わせのようなことをしなければならず、本末転倒な状況が続いていました。

— ISMS認証の新規取得の際はコンサルタントのサポートは受けましたか。

ISMS認証の新規取得は、LRMとは別のコンサルタントのサポートを受けて行いました。そのコンサルタントは制作フローを理解しようと頑張ってくれましたが、弊社の業務は特殊なためか、カバーしきれなかったのだと思います。
一方で私たち自身、ISMSに対する理解が足りなかったため、コンサルタントに言われることに疑問を持たずに作業を進めてしまいました。自分たちの業務に合わせて規定をアレンジして良いということも知りませんでした。

それが、私たちの業務と乖離した煩雑なマネジメントシステムになってしまった理由だと考えています。

— しかし6年間、運用し続けて更新審査も通過して来ました。運用改善に着手したきっかけはありましたか。

私たちは、認証を維持しつつ、本来の目的を実現できている実感が持てませんでした。そこで、根本からやり直す必要を感じ、本格的な運用改善に着手しました。

ISMSを運用しているという意識は、6年間続けたことで社内に定着した部分もありました。しかし、現状のISMSが業務の質の向上という本来の目的を実現できるものなのか、そうではないとすれば何かが不足しているのか、それとももっとシンプルにして良いのかといった判断ができませんでした。規定書に書いてあることは、ISMSの規格上絶対に守らなければいけないものだろうと思い込んでいましたが、一方では無駄が多いという感覚もありました。「規定書にあるからやっている」という感覚が強くなっていたため、社内からはビジネス上必要な認証と割り切って、負担の少ない運用体制に変えれば良いのではないか、という意見も出ていました。

しかし業務を進める上で、自分たちが抱えているリスクをきちんと理解して、適切に対応することが重要であることに変わりはありません。事務局としては、ISMSを自分たちに身近なシステムに変えることが出来れば、業務の質の向上には繋がるはずだと考えていました。そこで本格的にやり直そうと決め、改めてリサーチする中で、LRMの運用改善サポートにたどり着きました。運用改善のサポートを行っている会社は何社かあり、各社の担当者と会いましたが、弊社の課題にはLRMが最もフィットしていました。

12種類あった規定書類を3種類に集約

— 運用改善コンサルティングでは、これまで主にどのような作業をしましたか。

これまでは2013年12月の更新審査に向けて、12種類あった規定書類をシンプルにまとめていく作業を中心に行いました。その中ですぐに変えられるルールは変えて、表現を平易に直し、同時に新しいISMSの規格(2013年版)に対応させました。

— 12種類あった規定書をシンプルにまとめるというのは具体的にはどういうことでしょうか。

もともとあった12種類の規定書というのは、必要以上に細分化されたものでした。例えば入退館規定1つとっても内部監査でチェックしきれないぐらいに細分化されていました。そこで対象に応じて委員会メンバー用の規程書、システム管理者用の規程書、全社員が読まなければいけない日常業務に関係する規程書の3つに集約しました。
集約したことで、マネジメントシステムの骨子が明確になりました。

— 規定書を集約する作業というのはどんな風に進みましたか。

情報資産の種類とそれぞれのリスク、それに対してどんな対応をしているか、今後はどうしたいか、といったことを、幸松さんが委員会のメンバーにヒアリングしながらまとめて行きました。その場で決まらないことは、委員会が会社に持ち帰って社内で相談しながら決めました。

— 規定書類を集約した後の作業内容を教えて下さい。

規定書をまとめる作業は5月から8月にかけて行いました。9月以降は、それまでなかったルールの相談をしました。Macやスマートフォン、個人所有PC、ハードディスクの取り扱いルールなどです。PCの持ち出し、メールの転送など、何となくやっていたことがクリアになり、システムを見直すきっかけにもなりました。これも、幸松さんのヒアリングに答える形で進みました。
そして12月に更新審査を終え、現在(2014年2月上旬)は、審査の指摘事項の中で、規定書に反映できる項目を検討するとともに、今年1年の活動のプランニングをしているところです。

ISMSに対する理解が進み、スタート地点に立つことが出来た

LRMのコンサルティングが始まってから、現場の会話が変わって来ました

LRMのコンサルティングが始まってから、現場の会話が変わって来ました
(情報セキュリティ担当役員・
渡辺伸一朗氏)

— LRMのコンサルティングサービス・ISMS用改善コースを導入した成果をお話し下さい。

私たちのISMSに対する理解が進んだことが大きな成果だと考えています。
私たちは「ISMSは、自分たちの業務内容や業務フローに合わせて柔軟にアレンジできる」ものだと、初めて知りました。

それまでは規定書に書いてあることは全て認証を維持するために必要なルールだと考えていました。コンサルティングの中で規定を一つ一つ見直す際、項目によっては幸松さんから「このルールは面倒くさいですけど、やりたいですか?」と聞かれた時、「自分たちの使いやすいように変えて良いのか」と、みんなショックを受けました。

ISMSの規格は、様々な業種を幅広くカバーすると謳っています。しかしCM制作には当てはまらないことの方が多いと感じていました。それをわざわざやることは、業務が煩雑になるだけでした。今後、業務フローが変わったとしても、ISMS認証を維持するためには、そのルールに従い続けなくてはいけないのかなと考えていましたが、幸松さんにもっと自分たちが使いやすいように改訂して良いと教えてもらって意識が変わりました。

— 「業務の質の向上」については、いかがでしょうか。

私たちは、この段階で、そこまでドラスティックに何かが変わるとは考えていません。
ただ、今回の取り組みが、ISMS運用の建て前と本音の距離が縮まるきっかけにはなりました。これまで煩わしいばかりだったISMSが、実は有効に使うことが出来るとわかったことで、委員会で交わされる会話も変わりました。
例えば外部の制作会社などと業務委託契約を結ぶ際に、ヒアリングするチェック項目があります。それを今後は見直した方が良いんじゃないかという話が出ています。自分たちが仕事を委託する相手として確認したいことはもっと別なことじゃないか、こういうことを聞いた方が良いんじゃないかという会話が自然に交わされるようになりました。
それが規定に合っているかどうかは幸松さんに聞かなければわかりませんが、「私たちはこうやりたいと思っているけど、これは規定にありますか」という、弊社の社員が主体となった議論がやっと出来るようになりました。

現段階ではまだスタート地点に立ったばかりです。規定書を3つに集約しましたが、それが業務の中で機能するかどうかを今後の運用の中で検証していかなければいけません。それは私たち自身がやっていかなければいけないことです。自社の業務により近づけられるという実感は持てたので、PDCAを回しながら、継続的に検証と修正を繰り返していきたいと考えています。

LRMはレベルをワンランク上げてくれるコンサルタント

— LRMへのご評価をお聞かせください。

LRMは、私たちの意識や取り組みのレベルをワンランク引き上げてくれるコンサルタントです。

幸松さんのコンサルティングは、クライアントと並列な立場で、クライアント自身の行動を促していくスタイルです。ルール1つ決める場合でも、業務を行う上で本当に必要なことは何だろうと私たち自身が主体的に考えて、意志を決定していくような議論に導いてくれます。そのスタイルは、弊社がもともと目指していた社員全員で意識的に取り組むという方針に合致しています。

全社員に何かを周知したい場合、事務局の立場からすれば「これやってね」と言った方がやり易いのは確かです。
コンサルタントがこう言っているからこうしてくださいと言った方が私たちは楽です。しかしそれでは、以前と状況は変わりません。私たち自身が、こっちを選べばこうなる、あっちを選べばこうなる、ということを真剣に考えて、社員に対してなぜそれが必要なのかをきちんと説明する必要があります。以前はそのための手がかりがなくて困っていましたが、今は違います。LRMが、そのための手がかりを提供し、議論をリードする役割を担っています。そういう意味で幸松さんは、私たちを楽にしてくれるコンサルタントではなく、私たちのレベルをワンランク上げてくれるコンサルタントだなと感じています。

業務の質の向上の実現に向けたスタートラインに立ったところ。これから新しいマネジメントシステムを評価して、精度を高めて行かなければいけません

業務の質の向上の実現に向けたスタートラインに立ったところ。
これから新しいマネジメントシステムを評価して、精度を高めて行かなければいけません
(左から;渡邉究氏、渡辺伸一朗氏、小野敬子氏 ※右は弊社幸松)

今後の予定とLRMへの期待

— 今後の予定とLRMへのご期待をお話し下さい。

LRMの運用改善コースの契約は1年間なので、2014年5月まで契約が残っている状況です。現在、委員会で、今年1年間のプランニングをしているところなので、決まったら幸松さんに見てもらって、契約が終了するまで実行計画を固めていきます。その上で、LRMとの今後の契約も検討します。

LRMのコンサルティングを通して社内の意識がレベルアップしたことで、「こうしたい」「こうした方が良いんじゃないか」という欲求が出てきています。今後はさらにクライアントからの要求なども増えてくると思います。そういった社内の欲求や、クライアントからの要求への対処方法を考える際には、規格との整合性が問題になると思いますので、今後LRMには、そういった相談に乗ってもらえればと考えています。

株式会社スプーン様、お忙しい中、有り難うございました。

株式会社スプーン様、お忙しい中、有り難うございました。

株式会社スプーンのWebサイト
※ 取材日時 2014年2月

  • 広告・マーケティング
  • 認証知識を基礎から学ぶ
  • 50名未満
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る