プライバシーマーク・ISMSの取得コンサルを行い、使いやすく有効活用可能なルールにするオプティマ・ソリューションズ

自動処理様(IT全般のインフラおよびシステムの設計・開発・運用、ISMS取得)

中央官庁や多くの自治体で採用されている意見募集プラットフォーム「IDEABOX(アイデアボックス)」を開発し、独立系システムエンジニアリング企業として目覚ましい活躍をしている株式会社自動処理。同社は取引先の要求に応えるため、そして製品のクラウドサービス化を推進するため、情報セキュリティのISO27001(情報セキュリティマネジメントシステム/以下、ISMS)認証を2022年4月に取得しました。今回、そのISMS認証取得の背景と効果などについて、代表取締役社長 高木 祐介氏にお話しを伺いました。

――ISMSを取得するに至ったきっかけ・背景をお聞かせください。
当社が、意見募集プラットフォーム「IDEABOX(アイデアボックス)」を手掛けてから、もう12年になりますが、2021年11月に、ある自治体でのIDEABOX導入の話の中で、公的な情報セキュリティ認証取得の有無を問われたのがきっかけでした。

当社の売り上げの約半分は、政府や自治体からの案件ですから、過去にも情報セキュリティ体制の証明を問われることはありました。その際はパートナー企業と協力し、個人情報保護の体制を証明する書類を提出して、入札やプロポーザルに参加する資格を得ていました。

ただ毎回、案件ごとに書類を作成して提出するのは、さすがに面倒だなあと思っていました。しかも、今回の自治体からは公的な情報セキュリティ認証の有無に言及。今後の業務のことを考えると、情報セキュリティ認証の有無で入札やプロポーザルの足切りにされるのは避けたいと思い、ISMSの取得を決断しました。

以前は受託開発がメインだったため、納品したシステムはお客様側での管理となり、直接お客様の個人情報に触れることはありませんでした。しかし、IDEABOXのように、自社製品をクラウドサービスとして展開する場合には、当社が個人情報をはじめとするさまざまな情報を取り扱うことになります。

つまり、お客様に安心して当社製品を利用していただくためには、ISMSやPマークといった情報セキュリティ認証の取得が必須ということであり、よいきっかけをいただけたなと思いました。

――なぜPマークではなく、ISMSを取得されたのですか。
会社勤めをしていたとき、Pマーク取得の担当になったことがありました。当時はコンサルタントにお願いせず、私がメインになって取り組んだこともあって非常に大変な思いをした記憶があります。

当時、Pマークは資料にそってドキュメントを作成していくと、落としどころが分からず、際限なく良いものする方向にいってしまう印象がありました。さらに、Pマークは厳格なルールが設定されており、達成目標が厳しいと感じました。また、法改正に応じて都度ルールが変わっていくため、Pマークの運用には常に改定の手間がつきまといます。

その点、ISMSにおいては、情報セキュリティにおけるルールの厳格さの設定はその会社に任されています。最初は比較的緩くスタートしたとしても、ISMSを継続的に運用していくなかで、PDCAを回して精度を向上させていけば許されるという印象でした。また、IDEABOXで扱う個人情報は今のところメールアドレスのみです。個人情報の範囲が広いPマークで管理するのは過剰過ぎると思い、今回はISMSを取得することにしました。

――コンサルティング会社の利用は考えていましたか。
もちろん、そのつもりでした。先ほどもお話しさせていただきましたが、コンサルタントなしでのPマーク取得は非常に苦労しましたから、コンサルティング会社のサポートは必須だと考えていました。

――コンサルティング会社の比較・検討はされましたか。
今回は、最初からオプティマ・ソリューションズに決めていました。オプティマ・ソリューションズの中社長とは、あるイベントで知り合って以来、SNSなどを通じて長くお付き合いさせていただいています。中社長は信用できる方と存じ上げていましたから、迷いなくオプティマ・ソリューションズに依頼しました。

実は2014年にも情報セキュリティ認証の取得を試みたことがあり、その際にはオプティマ・ソリューションズを含め、数社のコンサルティング会社で比較・検討したことがありました。当時は、情報セキュリティ認証がなくても十分な売り上げが見込めると判断したため、取得の取り組みには至りませんでしたが、今回、その時の検討結果に基づいて、オプティマ・ソリューションズにしようと考えた次第です。

――オプティマ・ソリューションズを選定した理由をお聞かせください。
大きくは以下の2点で、オプティマ・ソリューションズにお願いしようと決めていました。

<リーズナブルな価格>
社員数名の小さな会社ですから、コンサルティング会社にかけられる費用は限られています。高いコンサルティング会社はたくさんありましたが、安価でお願いできるコンサルティング会社は限られます。そのひとつがオプティマ・ソリューションズでした。

<要所を押さえたコンサルティング>
取得に向けて取り組むとなった場合、メインで携わるのは私です。当然、社長業にも携わる必要があるため、割ける時間は限りがあります。そうなると、過度なことを要求されても応えることができません。私が望んだのでは、無駄に時間かけない要所を押さえたコンサルティングで、どうすれば最短で取得というゴールにたどり着けるかということです。それを具体的に示してくれたのがオプティマ・ソリューションズでした。

――ISMS取得までの進捗状況をお聞かせください。
2021年11月、オプティマ・ソリューションズにコンサルティングを依頼してISMS取得への取り組みが始まりました。コンサルタントとしてアサインされた大塚さんとの打ち合わせは、コロナ禍ということもあってリモートとメールのみで実施。大塚さんの要所を押さえたコンサルティングもあって、2022月4月にISMSの認証を取得することができました。

――自社のISMSを自身で取り組んで取得したわけですが、その感想をお聞かせください。
これまでの経験の中で、業務内容を一番よく知っている社長が取り組めば、より早く取得できることが分かっていました。社員の場合、自分では判断できない箇所が多数ありますから、その都度、社長もしくは経営判断できる人に問い合わせなければなりません。数倍の時間はかかると思いました。

ISMSは確かにチェック項目が膨大ですが、小さな会社なら判断する箇所はそう多くありません。しかも、私は会社の業務すべてを把握しており、その場で判断できます、30人以下の小さな会社であれば、社長もしくは社長に近い人がISMSの取得に関わることをおすすめします。

――短期間で取得できた具体的な秘訣があれば教えてください。
私としては、予定より時間かかってしまったと考えています。なぜなら、今回の取り組み期間だった2~3月は当社にとって繁忙期。なかなかISMSに関わる時間を捻出できず、まったく関われない期間もありました。こうしたなかでも、オプティマ・ソリューションズはしびれを切らさず、多大なご協力をいただき感謝しています。

秘訣と言えるかどうか分かりませんが、あらためて考察すると以下が考えられます。

<テンプレートをそのまま活用>
会社の仕組みに合わせてドキュメントを作成するのではなく、オプティマ・ソリューションズのテンプレートに寄せていく形でドキュメントを作成していきました。自社の仕組みを優先すると、新しい業務が発生して余計な手間が増えかねません。その点、オプティマ・ソリューションズのテンプレートは、いわばデファクトスタンダード。ISMSのベストプラクティスをオプティマ・ソリューションズが提供してくれているわけですから、そのまま活用した方が効率的です。そのなかで、合わないところのみ自社向けに修正。結果、最小の工数で進めていくことができました。

<自社の運用に合わないところはカット>
通常、来客があった場合には、オフィスに入れるというフローが発生します。そうなると、来客者には来場記録の記載や入場カードを首にかけてもらうなどの物理的な対策、そして鍵の施錠といったところにも確認が要求されます。しかし、当社のオフィスは自宅兼事務所。そこまで手間をかけてしまうと人的リソースに乏しい当社としては大きな負担になります。そこで従来から行ってきたことですが、来客があった場合はオフィスに通さず、付近のコワーキングスペースやカフェなど、別途スペースをもうけて打ち合わせを行うという規定にしました。これなら、付随するセキュリティ対策は不要。ドキュメント作成においても、その部分を大幅にカットすることができます。

<スモールスタートで取得>
今回のISMSは会社全体で取得したわけではなく、IDEABOXの業務に関わる部分だけに適用範囲を絞って取得しました。いわゆるスモールスタートです。これにより、より早くISMSを取得することができたと思っています。スモールスタートとはいえ、外部から見ればISMSを取得していることに変わりはありません。もちろん、当社も堂々と「ISMSを取得しています」と言うことができます。

「小さく取ってそこから徐々に広げていく」という考えもありました。今のところ、実際にルールを適用して記録を作成しているのは適用範囲のみですが、運用して慣れてくれば広げるのは容易です。こうした運用が可能なのはISMSの大きな利点で、今さらながらISMSを選択してよかったと実感しています。

<システム面には十分なセキュリティ対策を実施済み>
小さな会社とはいえ、当社はIT企業ですからサーバーやネットワークといったシステムのセキュリティにおいては知見があり、すでに十分なセキュリティ対策を行っていました。例えば、バックアップに関してはローカルのNAS(Network Attached Storage)へのバックアップはもちろん、クラウドにもバックアップを行う二重三重の仕組みを構築済み。ログを監査する仕組みについても、ファイアウォールやルーターで構築していますから、脅威から攻撃があった場合にはいつでもログで確認できます、ドキュメント作成時の作業は、用語をあわせる程度でした。

――ISMS取得による業務面の効果をお聞かせください。
実は、きっかけとなった自治体の案件は流れてしまったのですが、代わりに大手企業と契約することができました。このとき、ISMS取得済みというのは、少なからずセールスポイントになったと思っています。今後もこうした案件が増えていき、スムーズに契約できるのではないかと期待しています。

――最後、オプティマ・ソリューションズへの期待をお聞かせください。
今回はコンサルタントにしか分からない部分を的確にご指南いただきました。豊富な経験と実績を知見として蓄積しているオプティマ・ソリューションズだからこそのサジ加減は、本当に素晴らしかったと思います。今後も更新などの際は、引き続きアドバイスをいただけますと幸いです。よろしくお願いいたします。

 

株式会社自動処理/プロフィール
中央官庁や自治体、大手企業などの顧客向けに、受託開発を提供している独立系システムエンジニアリング企業。政府や自治体内におけるITを用いた情報公開や、民間企業において公開された情報の利活用やビジネス化に関する支援、データ連携やAPI構築におけるシステムアーキテクチャの提案・コンサルティングなどの事業を展開。アイデアに対するコメントや投票を通じ、より発展した意見が集約される同社開発の意見募集プラットフォームIDEABOXは、中央官庁、自治体、大手企業など、多数の導入実績がある。ほか、どんなExcelファイルでも右左のクリック操作のみでデータを構造化し、単なるExcelファイルからデータに変換するツール、Excel Design Studioの特許も保有している。

所在地 〒104-0054 東京都中央区勝どき2-4-12
主な事業内容 IT全般のインフラおよびシステムの設計・開発・運用
URL https://automation.jp/

  • 東京都港区西新橋1-18-6
    クロスオフィス内幸町5階
  • 大阪市北区梅田1-11-4-923
    大阪駅前第4ビル9階
  • 愛知県名古屋市中区
    栄5丁目26-39 GS栄ビル3階
  • メール問い合わせ
  • Pマーク
  • ISMS