弊社では、専用スマートフォンアプリなどを通じた個人情報の登録・管理の際の情報セキュリティの高度化が急務となっていました。具体的には、社内における情報セキュリティ体制の構築です。社会的責任をともなう個人情報の取り扱いにおいて、事業を継続していくには万が一にも情報漏えいは許されません。ステークホルダーへの説明責任もありますから、個人情報を適切に管理するには公の認証が必要だと考えていました。
もうひとつ、営業面でも情報セキュリティの構築が必要になっていました。自治体や官公庁などに基礎充電の設置事業を展開するとなると、入札の要件として情報セキュリティ認証取得の有無を問われることが多々あります。もちろん、大手企業も同様です。渡される情報セキュリティのチェックシートには、ほぼ例外なく認証取得の記入欄があります。円滑に事業を展開していくには、公の情報セキュリティ認証が欠かせないと考えるようになりました。
プライバシーマーク(Pマーク)の取得は検討されましたか。
プラバシーマークも選択肢にありましたが、優先順位としては営業面からISMSの取得が上でした。なぜなら、自治体や官公庁、大手企業において、近年は世界的なISOのISMSを重視する傾向にあると感じていたからです。しかも、当社には外資のお客様やステークホルダーもいらっしゃいます。そうなると、ローカルなPマークよりも世界的に通用するISMSがベストの選択肢でした。
社内にISMSに詳しい人材はいませんでした。外部の専門家の方にご指導いただくのが確実という判断のもと、コンサルティング会社ありきで進めることにしました。
ネット検索などをもとに、数十社のコンサルティング会社をリストアップしました。そこからコストや実績などを要件にフィルタリングを行い、最終的には3~4社に絞って比較・検討。そのなかで、当社のニーズに合致していたオプティマ・ソリューションズを選定させていただきました。
先ほどのニーズについて、具体的に教えていただけますでしょうか。
ハンズオンでお願いするパターンもあるかと思いますが、当社の場合は社内に事務局を立ち上げて、自分たちでISMSを運用する体制を構築したいと考えていました。そこでコンサルティング会社にお願いしたかったのは、ISMSを運用するにあたってのマネジメントです。ISMSの年間スケジュールに基づき、運用が正しい方向に向かっているかを外部の目から逐次チェックしていただくスタイルを重視していました。取得にあたってのドキュメント作成もすべてお任せするのではなく、雛形をいただいて自分たちで中身を埋めてフィードバックをいただく形。簡単にいえば、自走をサポートしてくれるコンサルティング会社を求め、それがオプティマ・ソリューションズでした。加えて、ホームページに掲載されていた事例件数も、オプティマ・ソリューションズにお願いするポイントになりました。
コンサルティング会社の比較・検討を開始したのは2022年4月頃からです。実際に事務局を立ち上げ、オプティマ・ソリューションズのコンサルティングのもとISMSの取得に向けて動き出したのは2023年2月。その後、無事7月にISMSを取得することができました。
事務局に関しては、進藤が管理者という立場から、事業全体に関わる判断や審査対応などに携わりました。現場は髙原がリーダーとなり、オプティマ・ソリューションズや部門の各担当者とやり取りをしながらドキュメントに落とし込んでいきました。
当社の新子安事務所および、100%子会社のジャパンチャージソリューションズ株式会社で取得しました。ジャパンチャージソリューションズ株式会社は、充電設備の導入にともなう設計・導入工事を行う会社です。
社内の情報資産全体を棚卸ししてリスクのアセスメントを行い、さらに対策も考える必要があったため、取り組み全体に苦労しました。まずは約2週間に1回ほどの割合で行っていたオプティマ・ソリューションズとのオンライン定例会でコンサルティングを受けつつ、ドキュメントのフォーマットを整備。社内に対しては説明をして同意を得ながら、ときには事務局主導で進めていきました、オプティマ・ソリューションズからは「ISMSの取得はPDCAのPの部分。Dを回していくためにはPをしっかり構築しなければなりません」と常日頃から言われていたため、とにかくPDCAサイクルを念頭に取り組みました。
子会社のジャパンチャージソリューションズ株式会社も対象でしたが、実質的にはひとつの会社として動いているところもあるため、多くのドキュメントを共有することができました。ですから、対象範囲についてはそれほど苦労していません。
ISMS取得後、運用するなかで変わってきたことはありますか。
社内で「ISMSの観点ではどうですか?」といった相談が数件ありました。着々と浸透していると感じています。また、事務局としては日々セキュリティの担保について考えるようになりました。例えば、社内における顧客情報の取り扱いについては、内部監査でご指摘いただいた「顧客情報へのアクセス制限」「画面キャプチャーの禁止」などを取り入れつつ、見直しを進めているところです。
BCP(Business Continuity Planning:事業継続計画)の重要性も認識するようになりました。自然災害のような外部的要因は致し方ないとしても、そういったときのことを想定した危機管理対策は必須。早々に進めなければならないと考えています。同時に企業を悩ますサイバー攻撃についても熟慮する必要があります。防御する仕組みに加え、仮に侵入されたとしても被害を最小限に留める対策が欠かせません。ほか、こうしたセキュリティの担保については、これからもオプティマ・ソリューションズと二人三脚で推進していくつもりです。
オプティマ・ソリューションズからいただいた教育テキストのフォーマットを、当社用にアレンジして活用しています。ただし、教育テキストを見るだけでは知識としてインプットされているかどうか分かりませんから、定期的にテストを実施。習熟度のトラッキングを通じて、情報セキュリティの啓蒙を行っています。
オプティマ・ソリューションズに対する評価をお願いします。
当社が自走するにあたり、PDCAサイクルを回すというところは非常に重要なポイントでした。ここのアドバイスをいただけたのは、さまざまなご支援のなかでも本当に助かりました。来年には1回目のサーベランスがありますから、まずはその時までどれだけ形になっているかが次のフェーズだと考えています。引き続き、オプティマ・ソリューションズの支援に期待しています。
今後、EVの普及が進むにつれ、基礎充電インフラの重要性も高まっていくものと思われます。当社としては、ISMSのPDCAサイクルを上手く活用しながら、お客様に不安を与えないインフラビジネスの仕組みを構築していく必要があると考えています。そのためには、オプティマ・ソリューションズのコンサルティングが欠かせません。お手数をおかけしますが、これからもよろしくお願いします。
ユアスタンド株式会社について
2018年3月設立。「移動をもっとクリーンに」をミッションに、マンションを中心にEVの充電設備を導入し、自社開発のスマートフォンアプリなどによる運用に取り組んでいる。