弊社クライアントの株式会社カオナビ様が、ISMS認証(ISO27001)を取得しました。
弊社のISMS認証取得サポートをご利用いただきました。(担当コンサルタント:石井)
同社・開発グループ 島 浩文様からいただいたコメント:
御社の事業内容について教えてください。
弊社は、クラウド人材管理ツール「カオナビ」を開発し、提供する会社です。多くの企業から、社員の皆さんの顔写真をはじめとする個人情報をお預かりする仕事なので、情報セキュリティには万全を期すことが課題です。
今回、Pマークに次いで、ISMS認証を取得することになった経緯を教えてください。
2012年にプライバシーマークを取得し、これで十分かなという考えもありました。しかし、カオナビの利用が広がるにつれ、セキュリティに関するより厳格な規約・運用ルールを求められることが増えてきました。そのため、個人情報を保護するだけでなく、システムの信頼性自体をアップさせるためにも、社内体制をきっちりと整えようということになり、ISMS認証を取得することにしました。
コンサル会社を弊社に決めていただくまでの経緯を教えてください。
オプティマさんとのお付き合いは、プライバシーマークを取得した時からです。当社とスピード感が合っていて、キツめのスケジュールでもこなしていただけるので、今回も御社にお願いしようと思いました。
どのような体制で取り組みましたか?
私を中心に社内を巻き込んで進めてきました。
作業にどのくらいの時間がかかりましたか?
社内体制を構築するまでの2ヶ月間くらいは週に1日くらいはISMSの作業に費やしていましたね。8時間×8週間=64時間+αというところです。
教育はどうやって実施しましたか?
教育資料を全員に配布し、小テストを回収する方法で実施しました。
今回を機会に新たに強化したセキュリティ対策はありますか?
今回のISMS認証取得をきっかけに、外部の専門会社にお願いして、当社システムへの侵入テストを実施してもらいました。これで見つかった脆弱性について、設定を変更するなどの対策を行いました。この侵入テストは、今後も定期的に実施していく予定です。
ISMS認証の審査の印象はいかがでしたか?
かなり細かい点までチェックされましたね。プライバシーマークの審査とは異なり、実務に基づく審査という印象を受けました。
一番時間がかかった作業は何でしたか?
リスクアセスメントですね。情報資産を洗いだした後、リスク評価をして、自社としてどの程度まで対策を打つべきか。ここは自分たちで考えて判断するしかありませんので、しっかり時間をかけて考えました。
ISMS認証を取得しての感想を教えてください。
お客様の反応はとてもよいものでした。PマークとISMS双方を保持していることで、お客様に安心感を感じていただけていると思います。
コンサルティングで良かったことを教えてください。
石井さんのコンサルティングは、ISMSの考え方をしっかりと解説していただけたところが良かったと思います。継続的な視点で見た時に何が大事なのか、ということです。ISMS認証は取得すれば終わりというものではありませんので、その意味での助言はとてもありがたく思いました。
これからISMS認証に取り組まれる方へひとことお願いします。
プライバシーマークも、ISMS認証も、取って終わりではなく、運用を継続することが本当に大事なことです。継続的な見直しを行うことで、コストと安全のバランスを取りながら、最適なセキュリティ体制を構築できると思います。
