• facebook
  • twitter
  • rss

ISMS(ISO/IEC 27001 )とPマークの認証取得について

取得のきっかけ

永井(人事:モデレーター):今回は、今年取得したISMS(ISO/IEC27001)とPマークに関して、そのプロジェクトを実質すべてひとりでやった総務の三輪さんに話を聞いていこうと思います。

永井:そもそもいつ取得の話が始まったんでしたっけ?(笑)

三輪:取得に向けて動き出したのは認証取得から遡って1年程前でした。当時は設立から2年が経って、自動車の走行データをはじめとして、お客様の重要な情報を扱うことが増えてきた頃でもありました。

永井:そうでしたね。情報の取扱いに敏感なお客様のニーズに応えたいということで開始したんでしたよね。

三輪:そうですね。取得には手間も時間もかかると聞いていたので、なるべく組織が小さい段階から仕組みを整えておけば、組織が大きくなっても統制が図りやすいのではないかと考えて、取得に向けて動き出しました。

プロジェクト開始

文字通り書類に埋もれてる感が出ている三輪

永井:それで、どんな感じで進めていったんですか?

三輪:基本的には、社外のコンサルタント1人と私とで、取得に必要な規程、文書、ルールを作成して、適宜情報を持っているメンバーにヒアリングしながら完成させていったという感じでした。最終的には、それを情報セキュリティ管理者となる社長にレビューしてもらうといった形で進めました。

永井:なるほど。取得に向けて動き出す前はこれといったセキュリティに関するルールとかは特に明文化していなかったと思いますが、それは何か影響ありました?

三輪:そうですね、その頃は社員も10数名と少なかったこともあり、セキュリティについて明文化した文書とかほぼなかったですよね(笑)でも、それが逆にやりやすかったのかもしれないです。既存のものを現状と照らし合わせてひとつひとつ修正するより、ゼロベースで作っていくことができたので、そういう意味で個人的にはやりやすかったです。

取り組み内容について

こっちの角度からも、やはり埋もれてる感がある三輪

永井:今回はISMSとPマーク同時に取得したんですよね?具体的にはどんなスケジュールで進めていったんですか?

三輪:ざっとこんなスケジュールで進めていました。

<ISMSとPマークの同時取得のスケジュール>

2016年4月:コンサルティング会社選定開始

2016年6月:ISMS/Pマーク認証同時取得に向けたルール・文書作成、規程みなおし開始

2016年9月:ISMS審査機関選定&審査申込み

2017年1月:ISMS第一段階審査

2017年2月:ISMS第二段階審査

2017年3月:ISMS認証取得

2017年3月:Pマーク審査機関選定&審査申込み

2017年5月:Pマーク現地審査

2017年7月:Pマーク認証取得

永井:おお、あしかけ1年以上かけて取得した経緯があったんですね、長期に渡ってお疲れ様でした!

三輪:たしかにこうやって思い返すと1年以上ってかかってたんですね(笑)ただ、時間はかかったものの、あくまでも他の業務に支障が無いようにバランスを取りながら進めていたので、無理なくやれたという感覚はありますね。

永井:そうだったんですね。たしかに当時の状況だと他にも山ほど仕事もあったでしょうから、これだけやってるわけにいかなかったでしょうし。。。

三輪:ですね。月に1回くらいコンサルタントと打ち合わせをして、そこで発生したタスクを次回までに準備するという感じで進めていましたね。

永井:ちなみに、ISMSとPマーク、ちょっと内容的にもかぶるところがあるのかも(?)なんてちょっと思ったんですが、同時に取得するのって効率がよかったりするんですか?

三輪:ISMSは「情報セキュリティをマネジメントするしくみ」、Pマークは「個人情報をマネジメントするしくみ」なので、規格にも共通するところがあって、その部分はそれぞれ個別に文書を作る必要はないので、そういった意味では効率が良かったかもしれません。

ただ、Pマークの審査は規格通りにきっちり文書が作られているかが重視されるので、文書の中にISMSだけに必要な情報が盛り込まれていたりすると、「Pマークにおいては余計な情報」と見なされてしまうこともあるみたいです。そこは注意する必要がありました。

永井:なるほど。共通する部分は統合したものを用意できるけど、あまり規格に無いようなことを盛り込むとそれはそれでNGという、微妙なラインを意識しながら準備する必要があるんですね。面倒ですね(笑)。

三輪:そうなんです。それは実際は審査されてみないとわからない部分でもあったので、経験豊富なコンサルタントのアドバイスが重要だと感じましたね。

永井:他にどんな大変なこととかあったんですか?

三輪:そうですね。ISOとかPマークの規格をうちのマニュアルに落とし込んでいく作業は時間もかかったし大変でしたね。純粋に規格通りにすると、ガチガチなルールを社員に強いることになってしまうこともあり、社員は仕事がやりづらく感じてしまいます。そこをバランス取りながら、規格をこう解釈して、こういうルールにすればそこまで負担にはならないんじゃないか?みたいなことを一つひとつ検討していくんです。

永井:それはたしかに大変そう。。。

三輪:さらに、完成したマニュアルを社員に浸透させなきゃいけないのが結構大変なことですよね。

永井:「各自目を通しておいてください」だけでは浸透しないですもんね(笑)それでちょっとした勉強会みたいなことをしていたんですね。

三輪:そうなんです。審査前にマニュアルを噛み砕いて説明しました。最近また社員も増えたので、定期的にやらないとですよね。

取得して変わったこと

ランチ中の談笑においてもPマークを意識する三輪

永井:ISMSとPマークを取得して、社内ルールができて諸々クリアになったり、セキュリティトレーニングをやったり、目に見えて変わったなと実感しているんですが、三輪さんはどう思ってます?

三輪:大きく変わったと思いますね。「これってISOの観点からするとどうなんですかね?」という会話が聞こえてきたりして、ちゃんと浸透してるんだなと感じましたね。迷ったときに相談されるようなことも増えましたし。「ルールではこうなってるけど、こういうケースではどうですか?」というような相談をされたりとか。

永井:僕もたしかに何か情報を扱うとき、「あれ?ルールはどうなってたかな」と考えるようになりましたからね。

三輪:これまではルールなかったですからね(笑)

永井:確かに。大きく変わりましたね(笑)

今後の取り組みについて

「PマークロゴのTシャツ作っちゃいましょうか!」と暴走する三輪

永井:ひとまず今年無事に初回認証取得できたわけですが、やはり取得して終わりではなくて、PDCAをうまく回しながら継続して取り組むことが大事なんですよね?

三輪:その通りだと思います。認証は取得できましたが、運用できていなければせっかく取得した意味がないので、多少手間のかかるルールもあったりしますが、大事な情報を扱っているという責任を忘れず、今後も取り組んでいける組織でありたいなと思います。

永井:そうですね。今回は組織が変われるいいきっかけになりましたよね。引き続き情報セキュリティに対する意識を高く持ち続けられる組織にしていきましょう。

最後に

「次はブロックチェーンを導入します」と意欲的な三輪

永井:最後に今 ISMSやPマークの取得を考えている企業に何か転ばぬ先の杖というか、これやっておくといいよ的なことって何かありますか?

三輪:取得する範囲や、企業の規模によって割けるリソースが違うので一概には言えませんが、ISMSにしろPマークにしろ、多くの文書を用意する必要があるので、これを一人で一から勉強して認証取得するというのは、かなり時間がかかるなと感じました。多少費用はかかりますが、経験豊富なコンサルタントの力を借りる事は取得への近道になると思います。

永井:たしかに。うちはISMSもPマークも両方取得していなかったので、そういった経験とかノウハウがなかったですもんね。

三輪:あとは、うちみたいなスタートアップの場合、取得するならやっぱり早めがオススメかなと。社内ルールがいろいろ出来上がってしまわないうちに取得に向けて動き出すことで、現状あるものと照らし合わせて変更・修正したりする作業を最小限に抑えられますし、「あ、これ必要だと思ってたんだよね」みたいなものを新規に取り入れられるので、情報セキュリティ関連で必要な規程やルールをまとめて一気に完成させる良い機会にもなると思います。

永井:それはいいですね!いずれ作ろうと思っていた文書もできて、かつそれがISMSやPマークの規格に沿ったものなら二度手間にならないですしね。なんか認証機関の回し者みたいになっちゃいましたけど(笑)

三輪:あと、プチお得情報があります。情報漏洩リスクに備えて保険に入っている企業も多いと思いますが、ISMSやPマークを取得していると保険料が下がったりするので、取得した後は保険見直しのチャンスです!私も回し者みたいになっちゃいましたけど(笑)

永井:それは知りませんでした。それだけISMSやPマークは認知度が高いってことですよね。今回は色々と聞かせていただきありがとうございました!

関連記事