プライバシーマーク・ISMSの取得コンサルを行い、使いやすく有効活用可能なルールにするオプティマ・ソリューションズ

シタテル様(衣服およびライフスタイル製品生産のプラットフォームサービス、ISMS取得)


衣服・ライフスタイルに産業のサプライチェーンを変革するプラットフォーム「sitateru CLOUD(以下、シタテル クラウド)」を展開するシタテル株式会社。同社はサービスの安全性を高めるため、会社の情報セキュリティのベースとして2022年2月にISO27001(情報セキュリティマネジメントシステム/以下、ISMS)認証を取得しました。今回、そのISMS認証取得の背景と効果などについて、執行役員VPoE 茨木辰也氏(当時)にお話しを伺いました。

――ISMSを取得するに至った背景・きっかけをお聞かせください。
衣服・ライフスタイル製品生産のプラットフォームであるシタテル クラウドが、数多くのお客様が利用するクラウドシステムに成長したのが背景にあります。シタテル クラウド自体はパブリッククラウドを利用し提供していますので、昨今の標準的なセキュリティ基準に従って開発・運用・保守を行っています。しかし、データ管理、セキュリティの担保を明文化したセキュリティポリシーはありませんでした。既存のお客様はもちろん、これからシタテル クラウドをご利用されるお客様にも安心していただけるように我々自身、会社のベースとなる情報セキュリティの枠組みが必要だと常々感じていました。

さらに商談を進めるなかで、お客様からセキュリティレベルを問われるケースが増えてきていました。当社のセキュリティへの取り組みをお話しすると、理解は得られますが、やはり分かりやすい指標は必要だと感じていました。特に大手企業になれば、ISMSもしくはプライバシーマーク(以下、Pマーク)の取得は必須要件。そこで今回のISMSの取得にいたりました。

――コンサルティング会社の導入は決めていたのでしょうか。
ISMSの取得にあたって右も左も分からないため、コンサルティング会社の力は必要だと思っていました。

――コンサルティング会社の比較・検討はされたのでしょうか。
コンサルティング会社の検索はしましたが、信頼している企業からオプティマ・ソリューションズを紹介していただいたので、コンサルティング依頼に迷いはありませんでした。

――Pマークの取得は検討されたなかったのでしょうか。
情報セキュリティの範囲を考えたとき、個人情報に特化したPマークよりも会社全体の情報資産が対象範囲のISMSの方が当社に合っていると思っていました。この件については、最初の面談でオプティマ・ソリューションズにも相談させていただきました。それぞれのカバー範囲を分かりやすくご説明いただき、そのうえでオプティマ・ソリューションズのおすすめもISMSでした。おかげさまで、迷いなくISMSの取得に取り組むことができました。

――ISMSを得するまでの進捗状況をお聞かせください。
オプティマ・ソリューションズには2021年4月に依頼しました。ISMSを取得したのは2022年2月です。約11カ月で取得することができました。取得にあたっては、情報システムの担当で、一般的なセキュリティの知見もある程度持ち合わせているということでCTOが担当し、必要に応じて各部門の担当者に協力をお願いするスタイルで進めていきました。

とはいえ、オプティマ・ソリューションズのさまざまなアドバイス、分かりやすいドキュントのテンプレートなくしては、この期間でISMSを取得することはできなかったと思います。大変感謝しています。

――ISMSを取得するにあたって大変だったことはありましたか。
守らなければならない情報資産が「社内のどこにあるのか」をひとつずつ洗い出し、そして「それをどう管理するのか」を決めていく作業が大変でした。例えば、ドアにロックを付けるという事案だけでも、「運用も含めてどう管理していくか」ということをリスクのレベルから関連付けて明文化する必要がありました。何度思い返しても大変な作業でしたが、同時に学びの多い取り組みだったと思っています。

――ISMS取得の取り組みを通じ、実際にセキュリティを強化したところはありますか。
多くのところでセキュリティ強化を行いましたが、主だったものは以下の点です。

<サービスのセキュリティ強化>
ISMSで規定されているわけではありませんが、我々自身でISMSの意図をくみ取り、シタテル クラウドにメール認証機能を実装しました。シタテル クラウドを利用していただく際、これまでは最初にメールアドレスとパスワードを入力してユーザー登録を行っていました。ISMS取得後はメールアドレスの入力だけに変更し、メールアドレス宛に当社から認証URLを記載したメールをお送りし、メールアドレスの存在確認を行うプロセスを加えました。これにより、本人確認および、なりすましの防止が可能になりました。また、登録したメールアドレスの正しさが確保されるため、間違ったアドレスを登録してしまい、お客様がその後利用できないという事態を防ぐことにもつながりました。

<社内サービスのセキュリティ強化>
例えば、Wi-Fiなどに接続するIDやパスワードなどの管理プロセスにおいて、これまでは退職者の対応など厳格には配慮できていませんでした。そこで、今回のISMS取得をきっかけに社内で利用するあらゆるサービスのIDやパスワードの管理を強化しました。

――オプティマ・ソリューションズのコンサルティングに対する評価をお聞かせください。
東京と熊本の双方に一度ご訪問していただきましたが、基本的にはオンライン中心のコンサルティングでした。必要なものを適切なタイミングで揃えてもらえるなど、ポイントを押さえたサポートが印象的でしたね。急なお願いでご迷惑をかけたこともありましたが、いつも快く答えていただきました。無事に取得でき、本当に感謝しています。

――今回、全社的にISMSを取得されていますが、運用するにあたって東京と熊本に拠点があることに難しさなどはありませんか。
あります。例えば、東京は営業部門、熊本は開発部門といった具合に拠点ごとに役割分担がされていれば、部門ごとにISMSの運用方法を策定するだけですから、そこまで難しさは感じなかったかもしれません。しかし、当社の場合、東京と熊本、拠点ごとの機能分割はありませんし、今後もその予定はありません。つまり、今後はいかに現在の業務体制にISMSを適合させていくかが焦点になってくると考えています。

――東京と熊本に拠点があることの難しさについて、具体例などはありますか。
<郵便物は情報資産として定義>
本社は熊本と言いつつ、書類への捺印作業などの管理業務は東京で行っていました。その際、お客様によっては、お気遣いから秘密保持契約(NDA)などの書類を熊本に送付していただくケースがありました。そうなると、熊本から東京に郵送で書類を送付し東京で署名・捺印。そして、お客様宛に郵送というフローになります。ちなみに書類の原本の保管場所も東京になります。
この件に関しては、わずかな日数でも熊本を経由すると、情報資産として定義しておく必要があるとご指摘を受けました。あらためて、東京と熊本に跨る業務の定義は難しいと感じました。

――上場の準備を進めていると伺っていますが、そのなかでISMSの取得は意味がありましたか。
いつと決めているわけではありませんが、スタートアップ企業としては、常に上場に向けた取り組みは進めています。その取り組みのなかで、ISMSの取得は大きな意味がありました。実際、監査法人からは「ISMSを取得できればそこでカバーできる範囲があるため、ショートカットできるところもある」というお話しをいただいています。

上場も大事ですが、当社にとって何より大切なのはISMSの取得によって「お客様に安心を提供できること」だと思っています。冒頭でも申し上げた通り、大手企業になればなるほど、必ず情報セキュリティへの取り組みは問われます。そういったとき自信を持って「ISMSを取得しています」と言えれば、お客様に安心していただけるのではないかと考えています。

――ISMS取得後の運用状況についてお聞かせください。
ISMSの規定に従い、代表取締役をトップに据えたセキュリティ委員会を発足させました。私が委員長に就任し、管理部長などがメンバーとなって委員会を運営しています。今後はISMSの年次に沿った計画の遂行と、日々の情報セキュリティの課題に取り組んでいくつもりです。

ほか、大きなところでは初回審査でご指摘を受けた部分の改善に取り組んでいくつもりです。特に紙ベースの書類管理にご指摘がありましたので、半年~1年ぐらいかけて改善し、精度向上に務めていく予定です。また、その取り組みを通じて各部門と連携を図りつつ、ISMSを基盤とした情報セキュリティの知識を各部門に落としていければと考えています。

――最後、オプティマ・ソリューションズへの期待をお願いします。
まずは、セキュリティ委員会が中心となって日々の運用を続けていきたいと考えています。そのなかで壁にぶつかることも出てくると思います。現実的には更新の問題もあります。その際には、オプティマ・ソリューションズにお声掛けさせていただきたいと思います。場合によっては、情報セキュリティの強化を図りたいと考えているお客様にご紹介させていただくかもしれません。どちらにしても、オプティマ・ソリューションズとは長くお付き合いできればと思っています。引き続きよろしくお願いします。

シタテル株式会社/プロフィール
衣服およびライフスタイル製品生産のプラットフォームサービスを提供。生活者のライフスタイルの急速な変化に伴う課題や環境問題に対し、衣服を中心に「ひと・しくみ・テクノロジー」により形成された、新しいプラットフォームを構築している。アパレル産業のサプライチェーンに関わる全ての人々が、場所に依存することなく、円滑にコミュニケーションを取り、スムーズに事業を行える環境を提供する。

シタテルはプラットフォームを通じて、これまで極めて閉鎖的だった業界をオープンにすることを掲げている。また、長きに渡りアパレル産業の課題とされている環境問題についても、受注生産販売型の仕組みを通じ、アパレル事業者全般を広く支援する。その基盤となるシタテルのサプライチェーンネットワークには、現在国内を中心とした約1,700社の縫製工場・生地メーカー等と、約22,700社のブランドや企業が登録している。(2022年3月時点)

所在地 :本社 〒862-0956 熊本県熊本市中央区水前寺公園28-23 2階
東京支社 〒105-0001東京都港区虎ノ門1-2−11 ザ・パークレックス虎ノ門 2F
主な事業内容 :インターネットによる衣服およびライフスタイル製品生産のプラットフォーム事業
URL :https://sitateru.co.jp/ コーポレートサイト

  • 東京都港区西新橋1-18-6
    クロスオフィス内幸町5階
  • 大阪市北区梅田1-11-4-923
    大阪駅前第4ビル9階
  • 愛知県名古屋市中区
    栄5丁目26-39 GS栄ビル3階
  • メール問い合わせ
  • Pマーク
  • ISMS