建築建材の販売から、住宅・マンションの供給販売まで幅広く事業を展開しているナイスグループは、2013年からISO27001(情報セキュリティマネジメントシステム/以下、ISMS)に取り組み、適用範囲を拡大しながらグループ全体の情報セキュリティの水準アップを実現してきました。ナイスグループの情報システムを一括して管理するナイスコンピュータシステム株式会社は、オプティマ・ソリューションズと共同し、このISMSの取り組みの中心的存在を果たしてきました。今回はナイスグループとしてのISMS認証取得の背景と拡大の意図、そしてオプティマ・ソリューションズのコンサルティングなどについて、ナイスコンピュータシステム株式会社 管理本部 取締役 本部長 佐々木 徹氏(当時)、同部 課長 大木 順子氏にお話しを伺いました。
――これまでにナイスグループで取得したISMSの適用範囲を教えてください。
2013年12月にISMSの初回登録を行って以来、これまでナイス株式会社の本社、我々ナイスコンピュータシステムのほか、さまざまな部門、グループ会社まで認証の範囲を拡大してきました。具体的には以下の表の通りです。
――ナイスグループがISMSを取得するに至ったきっかけをお聞かせください。
ナイス株式会社・住宅事業本部が行っているマンション分譲事業において、情報セキュリティの必要性が高まったことが最初のきっかけです。マンションの分譲の販売現場の多くは、仮設の販売センターを建設し、お客様にモデルルームを内覧していただいて、マンションの仕様を把握していただきます。内覧においては、お客様の貴重な個人情報やアンケート情報をお預かりすることになるため、万が一の情報漏えいは絶対に許されません。そのため、当時からシンクライアント形式の端末を導入しており、ローカルにデータは置いていませんでした。
ただし、お客様の情報は紙媒体でも保管しており、万が一盗難されてしまうようでは、大きな問題になります。そこで、システム的な対応だけでは不十分であり、やはり現場で働く人たちの情報セキュリティに対する意識を変えて高める必要があると考え、ISMSの取得に至りました。
――ナイスグループでは、なぜPマークではなくISMSを選択されたのでしょうか。
ひとつは、ナイス株式会社の事業内容と事業規模が影響しています。BtoB事業中心の建築資材事業が売り上げ規模の約3/4を占めており、今回のスコープとして考える住宅事業の割合は全体の約1/4となります。Pマーク取得は全社単位での取得となるため、当初、マンション分譲事業など、一部の部署を対象として情報セキュリティの強化を図りたかった当社グループとしては、部署単位での取得が可能なISMSがこちらの要望とマッチしていました。その後、住宅事業の他の部門やグループ会社に必要に応じてISMSの対象範囲を広げることもできました。
――ナイスグループのISMS取得にあたって、ナイスコンピュータシステムはどのような役割を担っているのでしょうか。
当社はナイスグループの情報システム部門という位置付けです。そのため、ISMS取得の当初から事務局の役割を担っています。ナイスコンピュータシステム自体も、ナイスのマンション事業部での取得と同時にISMSを取得しました。
――事務局の活動範囲を教えてください。
ISMSの適用範囲を決定し、その部署におけるISMSを構築し、審査機関による審査に向けた準備のほか、適用範囲となる部門やグループ会社とのコンセンサスやドキュメント作成なども行っています。今では、ナイス本社の管理部門とISMS事務局を組織しており、適用範囲の部門、グループ会社からも1~2名ずつ担当者を選していただき運営しています。そういう意味では、部門やグループ会社を超えてこのほか動く存在が事務局と言えます。
――ISMSの適用範囲を拡大し続けている理由をお聞かせください。
ISMSは部門単位で取得できるので、運用していく過程で「次はこの部門でも取得してはどうか」と検討を進めることができます。これを毎年繰り返していくことで、現在のように多くの部門、グループ会社で取得するに至りました。
――現在、オプティマ・ソリューションズに依頼している業務を教えてください。
グループ全体に関わるISMS適用範囲と更新のコンサルティング、そして教育のサポート、さらに当社で運用しているPマークの運用と更新のサポートをお願いしています。ISMSは10年間、Pマークは15年間の運用実績に基づく長年のノウハウがありますので、社内コンセンサスやドキュメント作成などの実務については事務局で回せています。毎月一回定例で会議を行って、年間のマネジメントシステム運用を推進していく中で、オプティマ・ソリューションズ様には、最新の情報セキュリティに関する情報や審査の動向を教えていただいたり、法律や規格の変更など最新情報を主に頼っている状態です。
――オプティマ・ソリューションズのコンサルティングのなかで評価している部分を教えてください。
当社ご担当のコンサルタントの生方さんには、毎回の定例会議への出席の他に、特に教育面で多大なご尽力をいただいています。また、情報セキュリティに関するちょっとした事でも気軽にご相談にのっていただけます。先日は新規の適用範囲で監査に主眼を置いた研修を行っていただきました。生方さんのような知識も経験もある外部の方に入っていただくと、社員の真剣度が変わってきます。プロの方の話だと理解度も深まりますので、今後も続けていきたいと考えています。
――ここまでISMSの適用範囲を拡大し続けてこられた秘訣はどこにありますか。
やはり、長く続けてノウハウを蓄積することだと思います。それによって、運用の仕方もブラッシュアップすることができます。例えば、以前は事務局がISMSの中心でしたが、3年ほど前からISMS適用範囲の部門、グループの代表者に集まっていただき、ISMSの意識を高める会議を実施するようになりました。これにより、情報セキュリティに対する意識がグループ全体でワンランク高まったと感じています。また、事務局のメンバーを数年間隔で入れ替えて、ISMSを理解する人材を増やしていく試みも模索しています。
――実際に情報セキュリティは根付いていると感じますか。
住宅事業本部の各店舗では、十分根付いていると感じています。整理整頓はもちろん、鍵の施錠、パソコンの電源管理、さらに机上に重要な書類を放置したまま離席しないクリアデスクなどが徹底されています。さらに、情報セキュリティの意識を持った現場スタッフが他の現場に異動することで、周りにも伝達できているようです。
その他の各部門やグループ会社においても、意識は根付いていると思います。ただ、目に見えるものではないので、定量的効果を測るのは難しいですね。ヒヤリハットの事例がなくなってきている状況から判断すると、目に見えないところで情報漏えいを防いでいるのかもしれません。どちらにしても、やらなければゼロですから、やることによってプラスになっていると判断しています。
――情報セキュリティへの取り組みについて、今後の展開をお聞かせください。
今年は住宅関係の他のエリアの営業所をISMSの適用範囲に含める予定です。これまでも手掛けてきた住宅事業なので作業としてはゼロベースではありませんが、さまざまなアセスメント系の書類はイチから作る必要があるため、業務負担に関しては多少の不安もあります。しかし、現在の事務局はISMSを通じてナイスグループ全体に情報セキュリティの意識を根付かせていくのがミッションです。
さらに、個人情報の取り扱い強化も視野に入れています。ナイス株式会社に関していえば、ISMSのアドオン規格として位置付けられているプライバシー情報マネジメントシステムISO 270701(PIMS)を取得することで強化できると考えています。もっと本格的に個人情報を扱っているグループ会社の場合は、Pマークの取得も選択肢の一つだと思っています。我々としては、運用や更新が営業現場の負担にならないように工夫しながら、個人情報保護と情報セキュリティの双方の強度を高めていくのが理想です。
――最後、オプティマ・ソリューションズへの期待をお願いします。
これからも俯瞰した立場で総合的なアドバイスをいただけると助かります。引き続き、よろしくお願いいたします。
――担当コンサルタントより
<コンサルタント 生方淳一(うぶかた じゅんいち)>
私がオプティマ・ソリューションズの名刺を持って初めて担当したのがナイスさんです。あれからもう10年近くなります。当初は、とりあえず毎月集まりましょう的な定例会でしたが、全適用範囲を巻き込んだセキュリティ委員の任命、毎月の定例委員会のネタ作り、自主的な教育教材の開発などを通して確実にPDCAをまわせる体制が構築されてきました。
また、沢山の情報セキュリティのプロが育ってきていると感じています。とはいえ、ナイスさんのISMSはサグラダ・ファミリアよろしく、毎年少しずつ、着実に適用範囲を広げていくため、”たぶん” まだまだ長いお付き合いになりそうです。これからも一緒に勉強させていただこうと思います。