企業が取り組む脱炭素・カーボンニュートラルなどの課題解決を支援するコンサルティングサービスを展開している株式会社タンソーマンGX。

同社は顧客情報を扱うクラウドツール「タンソチェック」のリリースを機に、会社設立時から重要視してきた情報セキュリティの体制をさらに強化するため、2024年12月にISO27001（情報セキュリティマネジメントシステム／以下、ISMS）認証を取得しました。今回、ISMS認証取得の背景と効果などについて、代表取締役 福元 惇二氏、管理本部 高橋 詩織氏にお話を伺いました。

福元氏：当社は企業が持続的な成長を実現するための脱炭素・カーボンニュートラルに着目し、グリーンファイナンス支援などを通じて、企業が直面する多様な社会課題を包括的かつ実践的にサポートするンサルティングを展開しています。当社のサービスにより、企業は従来の経営支援では見落とされがちな社会・環境の視点を経営戦略に組み込むことができ、持続可能性と収益性の両立が可能になります。

具体的には、CO2排出量算定およびエネルギーの見える化から経費削減につなげていくサポートからスタートし、地球温暖化対策などの環境への取り組みを行う際の資金調達、グリーンファイナンスを支援してまいります。さらに、資金調達後の「分析→問題発見→対策→報告→分析」のサイクルも支援。持続可能な未来を見据えた幅広いコンサルティングサービスを提供しています。

また、中堅・中小企業様向けには、CO2排出量を簡単に算出できるクラウドツール「タンソチェック」を提供しています。「CO2算定のツールは導入費用が高すぎる」「高額なコンサルタントに無駄な費用は払えない」「取引先からCO2算定を要請されたが対応できない」などの際は、タンソチェックの活用をおすすめします。環境省で公表されている国内の係数だけでなく、国際算出基準のGHGプロトコルに準拠した排出計算を実装し、TCFDやSBT認定取得に準拠したCO2算定報告を誰でも簡単に作成することができます。

当社は脱炭素をはじめとする環境対策だけでなく、教育・貧困・地域活性化など多岐にわたる社会課題の解決を目指し、未来に必要とされる革新的なソリューションを開発・提供していくことを使命と考えています。さらなるサービス向上に努めてまいりますので、より一層のご支援、お引立てを賜りますようお願い申し上げます。

福元氏：以前に勤務していた金融機関では、ガバナンスや個人情報の取り扱いなどについて厳しく指導されてきました。会社設立時には、私のなかに形成されていたガバナンスや個人情報に対する基礎的概念をもとに、当初から情報セキュリティに関する独自のポリシーを策定し、運用していました。もちろん、ISMSの取得も頭にはありましたが、まずは会社を軌道に乗せることを優先してきた格好です。

ISMS取得の話が具体化したのは、2023年にクラウドツールのタンソチェックをリリースした直後からです。一定の情報セキュリティレベルを保ちながらサービスを提供する仕組みを構築しなければならないこと、顧客情報を扱うクラウドツールであることなどを総合的に考えると、ISMSを取得することが当社も顧客も安心できるのではないかと判断したのです。そこで、2024年からISMSを取得する取り組みがスタートしました。

福元氏：社内にISMS取得の知識を持つ人材がいなかったこと、必ず取得することを重要視していたため、当初からコンサルタントの支援は必須だと考えていました。

福元氏：当社はBtoBの会社ですから、情報セキュリティのフレームを整えることが先決だと考え、まずはISMSの取得を選択しました。もちろん、Pマークも必要だと考えていますので、将来的には取得したいと思っています。

福元氏：Webサイトの検索や知り合いからの紹介などで、4社のコンサルティング会社をピックアップし比較・検討しました。最終的にはコストを要件に2社をピックアップして集中的に検討し、最後に残ったのがオプティマ・ソリューションズでした。

2社を比較・検討した際、コンサルティング内容やサポートについては、両社とも素晴らしいと感じました。唯一、異なったのは契約の期間です。1社は4年間契約だったのに対し、オプティマ・ソリューションズは20カ月。正直、4年は長いと思いました。オプティマ・ソリューションズの20カ月は、取得と一年目のサーベイランス審査までが約20カ月に相当すると考えることができますから、理想的な契約期間といえます。サーベイランス審査が終わった後、再契約するか、自走するか選べる点を評価し、今回はオプティマ・ソリューションズにお願いさせていただきました。

福元氏：2024年5月に比較・検討を行い、6月末にはオプティマ・ソリューションズに依頼させていただきました。7月からISMS取得に向けたプロジェクトがスタートし、10月には二次審査に到達、12月に無事取得することができました。

高橋氏：オプティマ・ソリューションズとは、主にメールとオンラインでやり取りをさせていただきました。日々の確認事項はメール、フェーズのポイントはオンラインで行っていく流れでした。オンラインの回数は決めていませんでしたが、私が担当になってからは週1回のペースで行っていたと思います。

なお、社員への教育については、オプティマ・ソリューションズに教育資料の作成をサポートいただき、10月にオンラインで実施しました。

福元氏：予想以上に苦労しました。具体的には以下の通りです。

＜シェアオフィスにおける作業範囲の設定＞

高橋氏：当社は占有スペースが設定されているシェアオフィスに入居していますが、ISMSの規定に照らし合わせると、作業範囲の設定が難しいところがありました。セキュリティ対象にする基本区域や、業者別の入室区域、社員の作業スペース範囲など、かなり細かく区分する必要がありました。もちろん、ISMSですから、自分たちで決めて自分たちで運用すればいいのですが、そもそもISMS自体の取り組みが初めてで分からないことが多過ぎました。

そこで、オプティマ・ソリューションズのアドバイスのもと、シーンごとに区域を設定していきました。例えば、機密情報を取り扱う作業については、不特定多数の方が出入りできるフリースペースではセキュリティ的に問題があると考え、会社の占有スペースもしくは個室ブースに限定しました。さらに、さまざまなシーンを想定した配置図も作成しています。

＜リモートワークの規定＞

高橋氏：当社は就業規則でリモートワークでの業務も可能にしていますが、これにもISMSが関わっていることが分かりました。実際、リモートワークは自宅やコワーキングスペース、カフェなどさまざま場所での作業が考えられるため、PCを置きっぱなしにしてトイレに立つといった何気ない行動が情報流出につながってしまうことを認識させられました。情報の流出を防ぐ規定が必要ということで、2回目の審査のときに新たな規定を設けるなど対応いたしました。

＜アカウントの整理整頓＞

高橋氏：社員のほかに、海外の子会社や業務委託のエンジニアの方がいます。その場合、重要だったのはアカウントの把握と整理です。思った以上に使用ツールとアカウント数が多くあまり整理されていなかったため、把握し選別していくアカウント棚卸作業が想像以上に大変でした。

＜最新の組織図が必須＞

福元氏：日々の業務が忙しいと、どうしても組織図の更新が遅れてしまうことがありました。ISMSでは組織図は常に最新でなければならないとのことで、この点は新たな発見として捉えています。

福元氏：先日、大手企業や自治体と仕事をする機会があったのですが、その際、どちらも情報セキュリティの状況を確認するチェックシートを提出しなければなりませんでした。そのなかに「ISMS認証を取得していますか？」という項目があり、今回は迷わずマルを付けることができました。取引先にISMSの取得を促されたことはありませんが、これから新規の取引先を獲得していくためには、情報セキュリティの対策に取り組んでいる姿勢を対外的に示せるISMSは必須だということをあらためて認識したところです。

福元氏：きめ細かく教えていただいた印象です。6カ月という短期間で取得できたこと自体、オプティマ・ソリューションズの支援あってこそだと思っています。本当にありがとうございました。

高橋氏：ISMS取得の取り組みは初めての経験だったため、本来であれば取得後のフォローに充てる時間を前倒しにして、取得の取り組みのなかで研修の時間に差し替えていただきました。おかげさまで、ISMSの知識をインプットしながら取得の取り組みにのぞむことができました。

福元氏：ISMSを取得した現在は、運用し続けることの大変さも理解できました。とくに社員に情報セキュリティの意識を根付かせ、習慣化させることは今後の大きなテーマだと考えています。また、オプティマ・ソリューションズとは初のサーベイランス審査となる2025年10月に向け、二人三脚で取り組んでいければ幸いです。今後とも引き続き、手厚いご支援をお願いします。