脱炭素社会の実現に向け、集合住宅を中心に電気自動車の充電設備を設置・運用しているユアスタンド株式会社。同社はスマートフォンアプリなどで収集した個人情報を適切に管理するため、2023年7月にISO27001（情報セキュリティマネジメントシステム／以下、ISMS）認証を取得しました。今回、ISMS認証取得の背景と効果などについて、取締役CFO 進藤 亮佑氏、開発部 プロダクトマネージャー髙原 豪介氏にお話を伺いました。

集合住宅・戸建て・オフィスなどに電気自動車（以下、EV）用の充電設備を設置し、クリーンな移動で社会の変革を目指すモビリティ・ソリューション・カンパニーです。現在、2050年脱炭素社会の実現に向けて、国も自治体も積極的に取り組んでいます。そのなかで、日本政府は2020年に「カーボンニュートラル宣言」を発表。温室効果ガスの削減を目指すべく、ガソリン車やディーゼル車の廃止に向けた第1段階として、将来的に新車販売をすべてEVにするという目標が掲げられました。そこで当社は創業以来、「クリーンな暮らしを誰もが当たり前に享受できる社会を創っていきたい」という想いから充電インフラを整備し続け、その充電インフラを運用するための技術を開発しています。

しかし、EVが普及しているとは言い難い状況です。理由はいくつかありますが、もっとも大きな理由のひとつには充電インフラ不足が挙げられると思います。この充電インフラは、高速道路のサービスエリアやパーキングエリアなどの経路充電、宿泊施設や商業施設などの目的地充電、そして自宅や職場といった基礎充電の3つに大別できますが、EVはガソリン車の給油と比べてエネルギーの補給に要する時間が長いことから、海外の先行事例を見ておりますと、EVの普及には、最も身近な基礎充電の拡充がキーになってくると当社は考えています。

当社は集合住宅・戸建て・オフィスなど、基礎充電の設置を全国で展開しており、特に集合住宅向けのEV充電設備の設置に強みを有しております。集合住宅の場合、国や自治体の補助金を活用することで、低コストでの設置が可能となります。また、利用者向けにスマートな予約と充電時間に応じた正確な課金を行う専用スマートフォンアプリも用意しております。集合住宅でEV用の充電設備の導入・運用でお困りの方は、ぜひユアスタンドにお問い合わせください。

弊社では、専用スマートフォンアプリなどを通じた個人情報の登録・管理の際の情報セキュリティの高度化が急務となっていました。具体的には、社内における情報セキュリティ体制の構築です。社会的責任をともなう個人情報の取り扱いにおいて、事業を継続していくには万が一にも情報漏えいは許されません。ステークホルダーへの説明責任もありますから、個人情報を適切に管理するには公の認証が必要だと考えていました。

もうひとつ、営業面でも情報セキュリティの構築が必要になっていました。自治体や官公庁などに基礎充電の設置事業を展開するとなると、入札の要件として情報セキュリティ認証取得の有無を問われることが多々あります。もちろん、大手企業も同様です。渡される情報セキュリティのチェックシートには、ほぼ例外なく認証取得の記入欄があります。円滑に事業を展開していくには、公の情報セキュリティ認証が欠かせないと考えるようになりました。

プラバシーマークも選択肢にありましたが、優先順位としては営業面からISMSの取得が上でした。なぜなら、自治体や官公庁、大手企業において、近年は世界的なISOのISMSを重視する傾向にあると感じていたからです。しかも、当社には外資のお客様やステークホルダーもいらっしゃいます。そうなると、ローカルなPマークよりも世界的に通用するISMSがベストの選択肢でした。

社内にISMSに詳しい人材はいませんでした。外部の専門家の方にご指導いただくのが確実という判断のもと、コンサルティング会社ありきで進めることにしました。

ネット検索などをもとに、数十社のコンサルティング会社をリストアップしました。そこからコストや実績などを要件にフィルタリングを行い、最終的には3～4社に絞って比較・検討。そのなかで、当社のニーズに合致していたオプティマ・ソリューションズを選定させていただきました。

ハンズオンでお願いするパターンもあるかと思いますが、当社の場合は社内に事務局を立ち上げて、自分たちでISMSを運用する体制を構築したいと考えていました。そこでコンサルティング会社にお願いしたかったのは、ISMSを運用するにあたってのマネジメントです。ISMSの年間スケジュールに基づき、運用が正しい方向に向かっているかを外部の目から逐次チェックしていただくスタイルを重視していました。取得にあたってのドキュメント作成もすべてお任せするのではなく、雛形をいただいて自分たちで中身を埋めてフィードバックをいただく形。簡単にいえば、自走をサポートしてくれるコンサルティング会社を求め、それがオプティマ・ソリューションズでした。加えて、ホームページに掲載されていた事例件数も、オプティマ・ソリューションズにお願いするポイントになりました。

コンサルティング会社の比較・検討を開始したのは2022年4月頃からです。実際に事務局を立ち上げ、オプティマ・ソリューションズのコンサルティングのもとISMSの取得に向けて動き出したのは2023年2月。その後、無事7月にISMSを取得することができました。

事務局に関しては、進藤が管理者という立場から、事業全体に関わる判断や審査対応などに携わりました。現場は髙原がリーダーとなり、オプティマ・ソリューションズや部門の各担当者とやり取りをしながらドキュメントに落とし込んでいきました。

当社の新子安事務所および、100％子会社のジャパンチャージソリューションズ株式会社で取得しました。ジャパンチャージソリューションズ株式会社は、充電設備の導入にともなう設計・導入工事を行う会社です。

社内の情報資産全体を棚卸ししてリスクのアセスメントを行い、さらに対策も考える必要があったため、取り組み全体に苦労しました。まずは約2週間に1回ほどの割合で行っていたオプティマ・ソリューションズとのオンライン定例会でコンサルティングを受けつつ、ドキュメントのフォーマットを整備。社内に対しては説明をして同意を得ながら、ときには事務局主導で進めていきました、オプティマ・ソリューションズからは「ISMSの取得はPDCAのPの部分。Dを回していくためにはPをしっかり構築しなければなりません」と常日頃から言われていたため、とにかくPDCAサイクルを念頭に取り組みました。

子会社のジャパンチャージソリューションズ株式会社も対象でしたが、実質的にはひとつの会社として動いているところもあるため、多くのドキュメントを共有することができました。ですから、対象範囲についてはそれほど苦労していません。

社内で「ISMSの観点ではどうですか？」といった相談が数件ありました。着々と浸透していると感じています。また、事務局としては日々セキュリティの担保について考えるようになりました。例えば、社内における顧客情報の取り扱いについては、内部監査でご指摘いただいた「顧客情報へのアクセス制限」「画面キャプチャーの禁止」などを取り入れつつ、見直しを進めているところです。

BCP（Business Continuity Planning：事業継続計画）の重要性も認識するようになりました。自然災害のような外部的要因は致し方ないとしても、そういったときのことを想定した危機管理対策は必須。早々に進めなければならないと考えています。同時に企業を悩ますサイバー攻撃についても熟慮する必要があります。防御する仕組みに加え、仮に侵入されたとしても被害を最小限に留める対策が欠かせません。ほか、こうしたセキュリティの担保については、これからもオプティマ・ソリューションズと二人三脚で推進していくつもりです。

オプティマ・ソリューションズからいただいた教育テキストのフォーマットを、当社用にアレンジして活用しています。ただし、教育テキストを見るだけでは知識としてインプットされているかどうか分かりませんから、定期的にテストを実施。習熟度のトラッキングを通じて、情報セキュリティの啓蒙を行っています。

当社が自走するにあたり、PDCAサイクルを回すというところは非常に重要なポイントでした。ここのアドバイスをいただけたのは、さまざまなご支援のなかでも本当に助かりました。来年には1回目のサーベランスがありますから、まずはその時までどれだけ形になっているかが次のフェーズだと考えています。引き続き、オプティマ・ソリューションズの支援に期待しています。

今後、EVの普及が進むにつれ、基礎充電インフラの重要性も高まっていくものと思われます。当社としては、ISMSのPDCAサイクルを上手く活用しながら、お客様に不安を与えないインフラビジネスの仕組みを構築していく必要があると考えています。そのためには、オプティマ・ソリューションズのコンサルティングが欠かせません。お手数をおかけしますが、これからもよろしくお願いします。

ユアスタンド株式会社について

2018年3月設立。「移動をもっとクリーンに」をミッションに、マンションを中心にEVの充電設備を導入し、自社開発のスマートフォンアプリなどによる運用に取り組んでいる。