株式会社スタイル・エッジ様 – 顧客事例 –

ビジネスライクではない、寄り添ってくれるようなサポートは期待通り。LRMのおかげで構築したルールを浸透させる体制を築くことが出来ました。

グループ会社のシナジーを活かし、全国でも珍しい士業・師業に特化したコンサルティング事業を展開する株式会社スタイル・エッジ。急激に事業規模が拡大する中、グループ全体の情報セキュリティ体制を整備するため、LRMのサポートを受けながらISMS/ISO27001認証を取得しました。取り組みの目的と成果、LRMに対するご評価などを、ISMS事務局の皆さんに伺いました。

(株式会社スタイル・エッジについて)

弁護士や司法書士、税理士、医師などの士業・師業に特化し、現場主義、成果主義に基づいたハンズオン型総合コンサルティング事業を展開。コンサルティング事業部、マーケティング事業部、システム事業部の3事業部に加え、営業支援・教育、人材派遣を担う株式会社スタイル・エッジCAREER、スタイル・エッジ社が提供する業務システムのサポート業務を担う株式会社スタイル・エッジLABO、士業事務所に持ち込まれる不動産関連の課題解決を支援する株式会社スタイル・エッジREALTYといったグループ会社のシナジーを活かし、事務所運営や経営におけるあらゆる課題を法令順守のもとワンストップで解決する。士業・師業や各種専門家と一般生活者の間の垣根を取り除き、士業・師業が持つ専門知識や特殊技術を、誰もが利用しやすいものとすることを事業目的とする。この他、2017年9月には株式会社スタイル・エッジMEDICALを設立し、予防医学を通じた企業の健康経営支援事業もスタートさせている。
設立;2008年6月。代表取締役;金弘厚雄。グループ従業員数;約170名(2019年3月時点)。本社;東京都渋谷区。

ISMS/ISO27001認証新規取得コンサルティングをLRMに依頼

— LRMへのご依頼内容をお話し下さい。

弊社は、2018年5月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
LRMの大谷さん、村田さんのサポートのもと、5月から準備をスタートし、12月にISMS認証を取得しました。

— ISMS認証の適用範囲をお話し下さい。

適用範囲は、一部の拠点を除くグループ全体としました。拠点としては東京本社、福岡支社を範囲としました。
東京本社では、グループ全社がワンフロアで業務を行っており、福岡支社では弊社とスタイル・エッジREALTYが業務を行っています。

情報セキュリティ体制を整備するためにISMS/ISO27001認証を取得

「1年間お付き合いができると思い、LRMに依頼しました」(システム事業部 セクションマネージャー・長田唯世氏)

「1年間お付き合いができると思い、LRMに依頼しました」
(システム事業部 セクション
マネージャー・長田唯世氏)

— ISMS認証を取得した理由をお話下さい。

弊社がISMS認証を取得した目的は、社内の業務環境を整備するためです。事業が成長し組織も拡大する中、それに相応しいセキュリティ体制を整える必要が生まれていました。経営企画室として、何とかしなければという話をしていた時に、グループ内で使用していた顧客管理システムを外販する計画が持ち上がり、そのためには外部向けにISMS認証が必要という話になりました。経営企画室の中で話が出た時は認証ありきの話ではありませんでしたが、ISMSのフレームワークを使えば、セキュリティ体制を整備することにもつながると考え、グループ全体で取得することになりました。

— 御社の事業は、セキュリティ事故が起きるリスクは高いのですか。

高いという認識を持っています。お客様の士業事務所では非常にクリティカルな情報を扱っています。例えば弁護士事務所の場合、借金の返済に困って相談に来られている方々がデータベース化されています。それは違法な貸金業者などにとっては有用な顧客リストとなり得るものです。
特にスタイル・エッジCAREERのコンサルタントは、クライアント先に常駐し、現場と一体となった支援をしていますので、取り扱いを間違えば流出してしまうリスクがあります。

こういったリスクに対処するため、個人情報の取り扱いルールを作り、リスク管理委員会を組織して、弊社なりの取り組みはしていましたが、それでは実態と見合った対策が取れなくなっていました。

— リスク管理委員会とはどのような役割を担う組織ですか。

リスク管理委員会は、個人情報漏洩事故を防ぐための啓蒙活動を主目的とする組織です。個人情報の取り扱いルールを作成したのと同時期に組織されました。

— それはいつ頃ですか。

2015年です。弊社は2013年から急激に組織が拡大し始めました。そこでそろそろ統一ルールを作った方が良いだろうということになり、Pマーク取得の話が出ました。ただ当時はPマーク取得が出来る体制が整っていないという判断のもと、ひとまずはルール作りだけしようということになりました。そこで自分達なりのルールを構築し、リスク管理委員会を立ち上げ、グループウェアやチャットなどを使用し、「業務でLINEを使ってはダメ」といった注意喚起や、ウイルスメールが来た時はアラートを出すなどの活動は行っていました。

ただ、ルールを徹底させる仕組み作りには至らず、そのうち事業規模もどんどん大きくなってきたため追いつかなくなっていました。

— 今回取得したのがPマークではなくISMS認証だった理由をお話し下さい。

Pマークは守る対象が個人情報に限定されていますので、全体的にセキュリティを強化するならISMSが相応しいと考えました。またISMSは、基本的には自分達でルールを決めてPDCAを回しながら改善し続けることが前提のマネジメントシステムなので、社内状況や社会環境の変化に応じて見直すということがしやすいため、変化の激しい今の時代に合致していると考えました。

— ISMS認証取得の期限は定めていましたか。

厳密な期限はありませんでしたが、最長約1年間の取り組みで考えていました。構想に上がっていた顧客管理システムのリリースを2019年夏に予定していましたので、それまでに間に合えば良いと思っていたのです。

ただ、ISMSに関しては知識がありませんし、コストもかかることなので取得できなかったでは済みません。確実に取得したいと考え、コンサルティング会社の選定からスタートしました。

コンサルティング会社選定の決め手は相性の良さ

— コンサルティング会社選定の経緯をお話し下さい。

インターネット検索でピックアップした会社に資料請求をし、その中から何社かと実際にお会いして話を聞き、最も印象が良いLRMに依頼しました。

— どのような点で印象が良いと感じましたか。

最初に話を聞いた時に来られたのは営業の藤居さんですが、私たちと同じ目線で、寄り添っていただける印象がありました。契約する前に、実際の担当者として大谷さんともお会いしましたが、その印象が変わることはありませんでした。私たちとの相性が良いと感じ、LRMに決めました。

その一方で、LRM以外のコンサルティング会社とお会いしても、同じ目線でご支援いただけるイメージがわきませんでした。1年間ぐらいの長期的な取り組みになると考えていましたので、途中で険悪な関係になることは避けたいと思いました。LRMは話していて気持ち良いですし、一緒にやっていけるという感覚がありました。

— 実際に取り組んで行く上でリクエストされたことはございましたか。

今回の取り組みはISMS認証を取得することそのものよりも情報セキュリティの体制作りが目的だという話はしました。以前自分達で作ったルールにもこだわらず、ゼロからしっかりしたルールを作って社内に浸透させたいと考えていました。

ただ具体的に何をすれば良いのかはわかりませんので、まずはフレームワークを教えていただいて、そこに弊社のルールを織り交ぜて土台を作り、PDCAを回しながら自分達のルールとして最適化して行くことが理想でした。今回の取り組みでその目的は達成できたと考えています。

「ミスをなくすためには現場の運用も変えるべき」という考えでルールを構築

「いかにリスクを受容するかを決めることも大切だとLRMに教えていただきました」(システム事業部 エンジニア・手塚奈々絵氏)

「いかにリスクを受容するかを決めることも大切だとLRMに教えていただきました」
(システム事業部 エンジニア・
手塚奈々絵氏)

— 今回、情報セキュリティのルールを構築したことで、現場の運用が変わったところはありましたか。

ありました。今回のISMS認証取得に向けた取り組みの中では、現場の運用を変えることでミスがなくなるのであれば変えるべきだという考えでルール構築を行っています。

例えばスタイル・エッジCAREERの業務ではショートメールを頻繁に使っているのですが、誤送信を防ぐために必ずダブルチェックをすることにしました。また、仮に誤送信があったとしても影響を最小限にとどめるため、本文中に個人情報を含めないルールにしました。

— グループウェアやチャットをご利用されているとのことでしたが、クラウドサービスのご利用に関する制限などは設けましたか。

クラウドサービスの利用に関する検討はしましたが、現段階ではアカウント管理表を作成したのみです。これからルールを検討するということになっています。

クラウドサービスは、お客様がご利用になられているツールを使うという形で、どんどん増えて来たという経緯があります。例えばコミュミケーションツールはLINE、Skype、Chatwork、Slackなどを使っていますし、ストレージはGoogleDrive、OneDrive、Box、Dropboxなどを使っており、グループ内で統一が出来ていない状況です。

今回、LRMからツールをバラバラにしていると管理が煩雑になるため良くないというご指摘をいただきましたが、統一するとクライアントにも影響が及びますので、現実問題として難しい状況です。そこで本来どうあるべきかを考え直して、使う上でのルールを決めていこうということになりました。

— アカウント管理表はなぜ必要なのですか。

どの部署がどのようなツールを使っているかを把握して管理するためです。これまで他の部署で使っていることを知らずに新規で契約してしまうということが起きていましたが、それを防ぐことも出来ます。また、今使用しているものだけではなく、過去にどこかの部署が使ったことがあるツールの履歴も残しています。履歴が残っていれば、仮に別の部署で導入を検討することになった際の参考にすることが出来ます。もしそのツールの使い勝手が悪くて解約したという話なら、導入をやめるという判断も出来ます。そうすることで失敗する可能性を小さくできますし、少しずつでも統一していけるのではないかと考えています。

— そうなると、これが使いたいという場合は申請しなければいけなくなるわけですか。

そうですね。ただ現状では申請するというルールはまだ運用段階に至っていません。申請制にするには許可するか否かの判断基準を明確にする必要がありますので、現在検討中です。

— そのような申請フローを、現場の方々は受け入れてくれるのですか。

使用するツールの申請に限らずルールの浸透は根気強く取り組むべき課題です。今回の取り組みでは、スタイル・エッジグループとしてのルールを明文化できたことはもちろんですが、その作ったルールをグループ全体に浸透させる体制作りが出来たということが重要だったと考えています。

情報セキュリティルールを全グループ会社に浸透させる仕組み

— 情報セキュリティルールを浸透させる体制とはどのような体制ですか。

まず、ISMSでは毎年、セキュリティ教育やテストを実施することが義務づけられていますので、その要求に沿って構築したルールをしっかり教育する場を作り、テストを行うようにしました。またルールを浸透させる組織として、リスク管理委員会を再構築しました。

— 教育はどのようなことをされているのですか。

基本的にはLRMの情報セキュリティ支援サービス『Seculio』を使用して実施しています。今回の新規取得に向けた取り組みでは、LRMの大谷さんに講師を務めていただいて集合研修を実施し、私たちが作ったマニュアルを周知していただきました。全グループ社員を3つぐらいのチームに分け、それぞれ約1時間かけてレクチャーし、その上で『Seculio』を使ったテストを実施しました。

— リスク管理委員会はどのような体制にされたのですか。

これまでは全社で2名ぐらいでしたが、今後は各部署に1名か2名のリスク管理委員を立てることにしました。そこをハブにして各部署の従業員にルールを周知し啓蒙する仕組みとしています。各部署に委員を立てたのは各部署の意見を集めるためでもあります。ISMS事務局はシステム事業部と経営企画室のメンバーだけですが、そこだけでは見えてこないところがあります。情報セキュリティの意識やルールを浸透させるためにも各部署の声を聞き、連携しながら活動を推進していきたいと考えています。

— リスク管理委員会を通じた啓蒙活動について、具体例をお話しいただけますか。

グループウェア上で毎月1回か2回、『リスク管理委員通信』を配信しています。「こういうウイルスが流行っているから気をつけましょう」といった情報を提供することで注意喚起しています。大切なことは各自の意識を高めることです。そのためには常に言い続ける必要があります。そのような地道な積み重ねが意識定着につながって行くものと考えています。

— 現状における浸透度はいかがですか。

一部、成果が表れているところもあります。例えば、事故が起きた際に報告してもらう『事故チャット』と名付けたフローです。

このフローは具体的には、まず事故が発生したらチャットで報告してもらいます。報告が上がったら別途時間を設け、その事故が発生した部署のリスク管理委員とISMS事務局でミーティングを行います。そこで事故の内容を把握し、原因を特定し、それを予防するための対策を決めます。さらにそこで決めた対策を実際に実施してもらい、半年ごとに経過観察を行います。

この中で特に、まず報告を上げるという部分に関しては比較的定着してきました。

— 事故の報告はハードルが高そうですね。

はい。ですから事故を起こしたこと自体はマイナス評価にならないということを説明し続けています。まだまだ事故を報告したら怒られる、罰を受けると思っている人が多いのは事実です。再発しないための方策を一緒に考えるために必要なフローだということは継続的に訴え続けていかなければいけません。

— 今回の取り組みは、経営層にも影響はありましたか。

審査を迎える前に実施したマネジメントレビューを通して、ISMSの重要性についての理解は進んだと思っています。
経営者の視点では守りより攻めを優先するのはある意味仕方がありません。ただセキュリティの観点で見ると、判断を変えていただいた方が良いということもあります。ISMS認証取得を通じてルールを作ったことで、攻めと守りの両方をバランス良く考えていただける材料を提供できるようになりました。それも今回の取り組みの成果の1つです。

LRMのサポートで取り組みに対する現場の理解も前進

「リスク管理委員へのレビューにも出席していただきルール作りが前に進みました」(経営企画室 マネージャー・西川絵里嘉氏)

「リスク管理委員へのレビューにも出席していただきルール作りが前に進みました」
(経営企画室 マネージャー・
西川絵里嘉氏)

— そういったルール作り、体制作りは、どのような経緯で行われたのでしょうか。

LRMのリードに従い、サポートを受けながら作業を進めて行きました。

まずルール作りは、情報資産管理台帳の作成からスタートしましたが、そもそも何をしなければいけないのか、どのようなフォーマットでやるべきなのかといったところから、
実行段階まで適宜LRMに質問しながら進めて行きました。同時にリスクアセスメントを実施し、LRMにマニュアルの叩き台を作ってもらい、それを読み合わせしながら弊社の実態に合うよう修正を加えて行きました。

— そのルール作り、マニュアル作りはISMS事務局だけで行ったのですか。

まずISMS事務局がLRMのサポートを受けて何回か修正しながら草案を作りました。そしてリスク管理委員を招集してレビューを行い、各部門の声を聞きながら完成させました。

システム事業部と経営企画室の4名だけで決めてしまえば反発が生まれます。弊社には様々な部門がありますので、現場の意見や実用性を考慮する必要がありました。従って草案をレビューして、実際にこれで皆さんの現場は回りますか、回らなければどうすれば回るようになりますか、という話は丁寧にしていきました。そこは最も苦労したところです。

— やはり異論は出ましたか。

異論は出ましたし、強い抵抗もありました。レビューの場には何度かLRMのお2人にも来ていただいて交通整理していただきました。そもそもこの活動を何のためにやっているのかをご説明いただいて、「出来ないと言うだけではなく、
出来る方法を考えましょう」と促してもらって、結果的にリスク管理委員に納得してもらうシーンもありました。
LRMのサポートがあったおかげで、ルール作りが前に進んだだけではなく、取り組みに対するリスク管理委員の理解が深まりました。そしてそれが、ISMS事務局とリスク管理委員の連携体制が築かれる要因にもなりました。

「『Seculio』はISMSで要求されている従業員教育の全てを一括管理出来るのが便利。認証取得後も使っていきたいと考えています」

— 従業員教育に使った『Seculio』の使い勝手はいかがでしたか。

管理者にとってはISMSで定期的に実施することが要求されている情報セキュリティの従業員教育に関して、教材やテストの作成から実施まで全て一元管理出来る点が非常に便利でした。テストの履歴を確認することも出来ますし、受けていない従業員がいれば督促することも出来ます。

実施記録は現地審査の時も役立ちます。審査員から特定の従業員をランダムに指定して実施記録の提示を求められることがありました。その際に迅速に検索して提示することが出来ました。これを人力で管理するのは非常に面倒です。

— 内部監査はいかがでしたか。

内部監査はISMS事務局向けと現場向け、ともにLRMに内部監査員を代行していただいて実施しました。福岡支社も大谷さんに行っていただきました。

— ISMS事務局向けの内部監査ではどのような点が監査の対象になるのですか。

審査に必要な書類が揃っているかどうかと、構築したルールについて審査員から規格の言葉で質問された時に、それが何に該当するのかを探せるかどうかをチェックしていただきました。

今回構築したルールは、ISMSの規格を意識せずに回せるようになっています。構築段階でも規格はほとんど意識していません。ISMSの規格は、専門用語がちりばめられていて、非常に難解です。それを理解して1から作るより、一旦規格を読み込んで理解した人が作ったものを吸収した方が、スピード感は良いですし、大きくはずれることはないと思いました。ただ、実際の審査では「第何条のここはどうなっていますか」といった、マニュアルに書かれたルールと規格の関連性を理解していないと答えられない質問もされます。その規格とルールの対照関係を、内部監査を通じて教えていただきました。

— 現場向けの内部監査はどんなところをチェックするのですか。

各現場で、そもそも決めたルールを理解しているか、きちんと守られているかをチェックしてもらいました。この段階で問題点を洗い出して、改善することが出来ましたので、それが審査を迎える準備にもなりました。

— 目的としていた体制整備の他、副次的に得られた成果などはございましたか。

ISMS事務局メンバーのセキュリティに対する興味が以前よりさらに強くなりました。ウイルスなどITシステム上のセキュリティだけではなく、リスク全体に対する関心が強まりました。例えば契約書に目を通した際にこの項目がなければ困るのではないかなど法務に対する興味も芽生えています。

また、LRMのコンサルティングを通して、ISMSは洗い出したリスクの1つ1つに必ず対応しなければいけないものではない、という気付きを得ることも出来ました。リスクは認識していてもすぐに対応出来ないこともあります。クラウドツールの統一が良い例です。リスクをどのように受容していくのかを明確にし、できる範囲で対応すれば良いということがわかりました。自分達で決めたルールを、自分達で運用する。ガチガチにルールを固めて行くことが決して良いとは限らない。それがISMSであるとLRMに教えていただきました。

「過去に経験したことがない情報セキュリティ関連の事象が発生した際相談できる存在がいれば心強いです」(奥左から;手塚氏、長田氏、西川氏)※手前右から弊社大谷・村田

「過去に経験したことがない情報セキュリティ関連の事象が発生した際相談できる存在がいれば心強いです」
(奥左から;手塚氏、長田氏、西川氏)※手前右から弊社大谷・村田

ビジネスライクではなく寄り添って付き合ってくれるLRMのコンサルティング

— LRMのコンサルティングは、いかがでしたか。

大谷さんと村田さんにはしっかりサポートをしていただきました。最初の印象通り、ビジネスライクな対応ではなく、寄り添ってお付き合いいただけたと思っています。

例えばISMSとは直接関係のないインシデントが発生した時も相談に乗っていただき、解決のヒントをいただきました。また、ルールの運用を開始して微調整して行くフェーズでも頻繁に質問させていただきましたが、その都度丁寧にご回答いただきました。特に第1段階審査以降、自分達で規格を読み込み、ルールと照らし合わせる作業に着手した際も、
頻繁にアドバイスをいただきました。自分達なりに興味を持ち、自ら考えて取り組み始めた中で感じた疑問を元に会話が出来たことで、さらに理解を深めることが出来ました。

予期せぬ事故に備え『情報セキュリティ倶楽部』を契約

— 今後の課題をお話し下さい。

今回のISMS認証取得の取り組みで、情報セキュリティに取り組む基盤は出来ました。今後はPDCAを回しながらルールをブラッシュアップするとともに、従業員教育もしっかり行いたいと考えています。同時に今年度の取り組みとして計画しているタスクにも取り組む必要があります。

— LRMに対するご期待がございましたら、お話し下さい。

ISMS認証取得後、『Seculio』と、運用改善サポート『情報セキュリティ倶楽部』のご提案をいただきまして、両方とも契約することを決めました。

— 『情報セキュリティ倶楽部』のご契約を決めた理由をお話し下さい。

まず、ISMS事務局メンバーへのさらなる教育が必要です。 また、予期せぬ事故が起きた際に、我々だけでは判断できないこともあると思いますので、第三者のご意見をいただきたいと思っています。私たちのクライアントには大手法律事務所などもございますので、場合によっては記者会見を開かなければいけない事態も起こりえます。そういった場合の相談相手としても期待しています。過去に経験したことがないような情報セキュリティ関連の事象が発生した時に相談させていただける存在があれば非常に心強いです。 さらに初めての維持審査も控えていますので、そのための準備もお手伝いいただきたいと考えています。

株式会社スタイル・エッジ様、お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。

株式会社スタイル・エッジ様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社スタイル・エッジ グループ様のWEBサイト
※ 取材日時 2019年3月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る