弊社クライアントのシナラシステムズジャパン株式会社様が、
ISMS認証(ISO27001)を取得されました。
弊社のISMS認証取得サポートをご利用いただきました。
(担当コンサルタント:岡部洋一)
同社アドミニストレーション統括室 シニアマネージャー・大橋様、
同統括室 アソシエイト・相澤様からいただいたコメント:
まず、 シナラシステムズジャパンさんはどんな会社なんですか?
当社は位置情報マーケティングの会社です。
スマホユーザーの位置情報を利用して最適な広告を配信するサービスを企業に提供しています。
「たった今、新宿にいる人に広告を配信する」というようなことも可能ですが、
むしろ、過去の移動履歴を解析することで、
「この人は毎日通勤しているからビジネスマンだ」とか、
「この人は金曜日の夜によく繁華街にいる人だ」というような
その人の属性を深く知ることができます。
さらに、広告を配信した結果として、その対象者が実際に来店してくれたのかどうかの
効果測定も行えます。
どうしてISMSを取得しようと思われたんですか?
当社では、全国の何千万台のスマホから、一日に何回もデータを受け取っており、
膨大な量の位置情報を取り扱っています。
スマホユーザーと位置情報は、匿名化されて当社が個人情報を取得することはありませんが
やはりその取扱いについては、細心の注意を払う必要があると考えています。
大手のクライアントとの取引の際に、情報管理に関するアンケート調査があり、
そのたびに回答しています。そこにプライバシーマークやISMSのチェック欄があり、
認証を取得していれば回答が楽になるなとは思っていました。
しかし、今回ISMSを認証取得しようと考えたのは、それだけが理由ではなく、
自社として本当にしっかりとした情報管理をしておかないと事業継続が危うくなる
リスクがあると考えたからです。
それで、社長にISMS取得を提案しました。
一回は却下されましたが、個人情報、機密情報を含む情報の取り扱いの重要性を再考し
GOサインが出て、今回の取り組みが始まりました。
コンサル会社をどのようにして選びましたか?
ネットで検索して、三社から見積もりを取り寄せて比較検討しました。
値段が安いところはサポートが十分ではなさそうな印象を受けました。
また、認証取得はやってはいるものの、本業が別にあって、
他のものを売り込むための手段のような会社もあり、そこは敬遠しました。
やはりしっかりとサポートしてくれる会社を選びたいと思いました。
オプティマ・ソリューションズをお選びいただいた決め手はなんでしたか?
実は私(大橋さん)が、過去にいた別の会社で、
オプティマ・ソリューションズさんのコンサルを受けたことがあります。
その時に、しっかりサポートしていただいたことを覚えていまして、
今回もお願いしようと思いました。
どのような社内体制で取り組みましたか?
今回は全社で取得しましたので、
代表者が社長、管理者が私(大橋さん)、
監査は営業担当のダイレクターにお願いしました。
実務的には、総務、技術、営業、マーケティングの各部門のマネージャーを
部門責任者にして、実務担当者を一人ずつ出してもらって、
作業を進めました。
今回を機会に情報セキュリティ対策で強化したポイントを教えてください。
今回のISMSの取り組みにおいては、基本中の基本となりますが、
情報資産台帳に全ての情報を洗い出し、
情報ごとに責任者を決めてしっかり管理してもらえるようにしました。
また、その情報へのアクセスが必要なのは誰かを明確にして、
その人だけにアクセス権限を許可するようにしました。
クラウドサービスの選定や、その利用が必要なのは誰かということについても、
従来はその場その場で対応していましたが、これも同様に
管理者を決めて明確にしていきました。
ウイルス対策ソフトについて、今回を機会に集中管理できるものにしました。
万が一ウイルスに感染すると監視センターの人が
電話で教えてくれるというもので、気に入りましたので切り替えました。
日常的な取り組みとしては、
パートナー企業のセキュリティ委員会に参加させてもらって、
セキュリティに関する注意点や最新情報を知り、
それを社内にメルマガ形式で配信することで、定着を図っています。
最も苦労したことは何でしたか?
やはり、社内の協力を得ることには苦労しました。
もちろん社長のGOサインはもらっていましたが、
社員一人ひとりに手を動かしてもらうまで時間がかかりました。
少しずつ協力を促して、最終的には全社で進める体制ができたと思います。
審査を受けての印象を教えてください。
審査に向けて、しっかり準備していたとは言え、
当日の朝始まる前は、とても緊張していました。
実際に始まってみると、スムーズに進み、ホッとしました。
一次審査が1日で、二次審査が2日間。
二次審査の際には、各部署の担当者にも参加してもらいました。
担当者の意識づくりという観点からも意味があったと思います。
取得前に目標としたことは達成されましたか?
今回、ISMSに本気で取り組んできて、
最適なルール作りができたと思います。
当社の情報セキュリティの水準は間違いなく向上したと思います。
以前のような不安な状態ではなくなりました。
とは言え、スマホの紛失など、単純ミスがまだ全てなくなったわけではありません。
今後も、社内メルマガを継続したり、定期教育を行うなど、
しっかりと取り組んでいきたいと思っています。
会社全体の拠り所ができて、よかったと思います。
あとはこのルールを使って、PDCAを回していきます。
岡部のコンサルティングにはご満足いただけましたか?
岡部さんのコンサルティングは、的確で、経験に基づいた助言が大変助かりました。
他社事例も教えていただいて、参考になりました。
ありがとうございました。
プライバシーザムライが提唱している「本気のISMS」について、どう感じますか?
私たちは、まさにISMSに本気で取り組んできたのですが、
情報資産を明確にして、責任者を決めて、アクセス権限を整備してと、
当たり前のことを当たり前にやることで、
情報セキュリティ水準のアップを確かに実感できました。
もちろん審査も結構厳しいですから、手が抜けないですし、
逆にISMSを取っているのに何もやっていないというようなことでは、
何か問題が起こった時に大変叩かれることになると思いますから、
そういう意味でもしっかりやらないといけない。
ですから、ISMSに本気で取り組むことは確実に情報セキュリティアップに繋がると思いますし、
ISMSは制度としてうまくできていると思います。
これからISMSに取り組まれる方に何か助言はありますか?
ISMSというのは、水面下の努力というか、
何も問題が起きなければ、価値が見えにくいものかもしれません。
一見、日の目をみない役割のように思われるかも知れませんが、
実際には大変重要な任務だと思います。
ですから、めげずに続けてほしいと思います。
しっかりやれば、必ずその成果は実ります。
ISMSの取り組みは、会社への大きな貢献となります。
また、社員の生活を守ることにもなります。
経営者と一緒にやっていくことをオススメします。
オプティマ・ソリューションズの継続的なサポートの感想を教えてください。
御社の契約形態は、取得して終わりではなく、
取得後の運用も含まれていて、
担当コンサルタントの岡部さんが定期的に来ていただけるので大変助かってます。
