株式会社ヤマダホールディングス グループITDX本部、戦略企画部IT統制課課長齊藤哲氏に、ISO27001(情報セキュリティマネジメントシステム:ISMS)の運用・更新をスリーエーコンサルティングに依頼した背景と、現在の状況について話を伺いました。
家電販売をコア事業にナショナルチェーンとして、年商1兆円を超える企業グループのホールディングス会社。デンキセグメント、住建セグメント、金融セグメント、環境セグメント、その他セグメントの5つのセグメントにおいて主体的な事業活動を促すとともに、経営の管理・監督と業務の執行を分離することでグループ全体の経営効率・ガバナンスを高め、さらなる企業価値向上を目指していく。
本社 :〒370-0841 群馬県高崎市栄町1番1号
資本金:711億円
ISMSの取得理由をお聞かせください。
まず、最初にISMSを取得したのは2005年で、前任者が担当して取得しました。きっかけは取引先からの要望でした。当社は数多くのメーカー様と取引し、その商品を店舗で販売している関係上、やはりセキュリティ対策が問われてきます。そこで公的な認証を取得し、その枠組みのなかでセキュリティ統制を強化し運用していく仕組みづくりするのが得策と考え、ISMSの取得に至りました。当初はプライバシーマーク(Pマーク)も候補でしたが、Pマークはセキュリティの範囲が個人情報に特化しているのが難点。より広い範囲でセキュリティ統制を構築できるISMSの方が、当社が求めるセキュリティ対策には合致していました。
取得の範囲を教えてください。
ヤマダホールディングスではなく、ヤマダ電機(当時名称)で取得した2005年当時は、システムを管轄するシステム事業部、入札に関連してセキュリティの枠組みが必要な法人事業部、そしてインターネット事業部の3事業部が取得しています。そのなかで、システム事業部の場合はシステム運用の部門、開発を行っている部門、EC系の開発を行っている部門に範囲を細分化して取得しました。
ISMSを取得して約20年が経過していますが、ISMSの認証範囲は広がっていますか。
現在は持ち株会社のヤマダホールディングスの下に、数多くのグループ会社がいる状況ですから、グループ会社を含めた部門単位の認証範囲は40弱まで広がっています。
ISMSの認証範囲はグループ会社個々ではなく、ヤマダホールディングスの管轄のもと、共通の認証番号で広げています。一部門でも落としてしまうと、すべての認証がなくなってしまうリスクがあるため、個々のグループ会社でISMSを取得する選択肢もありますが、その場合、グループ会社個々の運用体制となりますから、セキュリティ統制の一体感が生まれません。全社一丸となり、共通のベクトルでISMSを運用することで一体感が生れ、より強固なセキュリティ統制が構築できると考えています。
ちなみに現在の運用体制は、ヤマダホールディングスの事務局の下に、グループ会社の部門ごとに担当を置き、トップダウン方式でセキュリティ統制を構築していく仕組みにしています。
スリーエーコンサルティングとの取引はいつからになりますか。
3年前に当社からお声がけし、それ以降、ISMSの運用・更新のコンサルティングをスリーエーコンサルティングにお願いしています。
スリーエーコンサルティングの取引が始まった背景をお聞かせください。
2005年のISMS取得は、信頼できる協力会社の支援を得ながら取得しました。その後、私が担当するようになってからは、前述の通り、認証範囲が拡大していきました。とくにグループ会社が増えてからは認証範囲の拡大が加速化。運用が追いつかなくなっている状況を認識するようになりました。もちろん、協力会社の支援はありましたが、専門家ではないため、どうしても限界はあります。そこで、知り合いから紹介してもらったISOおよびプライバシーマーク取得・運用・更新の専門家であるスリーエーコンサルティングに相談した次第です。
スリーエーコンサルティングが入ったことで運用体制は変わりましたか
大きく変わりました。今まで足りなかったところが補完されたと感じています。とくに変わったのは、年間を通じてISMSの運用を計画的に遂行できるようになったことです。
具体的にはグループ会社ごとに月一回の定例ミーティングを開催。例えば、5月は情報資産の洗い出し、6月は規定の見直し、7月は教育といった具合に年間スケジュールのテーマに沿った事案のレクチャーを受け、それをグループ会社に持ち帰って実行に移します。やるべきことが常に明確なのは本当に大きな進歩で、今やスリーエーコンサルティングなしでのISMS運用は考えられません。
スリーエーコンサルティングに対する評価をお聞かせください。
私としては100点満点です。本当のことをいうと、手探り状態のなか、どんな会社か分からないところと長く取引するのはリスクがあると思い、当初はスリーエーコンサルティングとの取引は1年ほどで辞めるつもりでした。ところが、当社を担当していただいているコンサルタントの吉岡さんが優秀で、何にも代えがたい存在になってしまいました。
実際、要望に対してのレスポンスが素早く、的確な回答も素晴らしいの一言。例えば、グループ会社のある規定を作成したいという要望を出した場合、他社の事例を挙げながらすぐに草案が出てきます。今ではグループ会社からの信頼も厚く、我々としてはこれ以上ないコンサルティング会社だと思っています。
ISMSにおける今後の展開をお聞かせください。
ISMSの認証はグループ全域に行きわたっているわけではありません。これからも、少しずつ必要に応じて認証範囲を拡大していく予定で、2024年度に関しては金融部門と保険部門でISMS認証を取得するつもりです。また、ISMS認証の有無に関わらず、全社的にISMSの枠組みに準拠する体制づくりも推進していきます。
最後にスリーエーコンサルティングに対する今後の期待や要望などがございましたら、お聞かせください。
現状のままサポートいただければ当社は満足です。ただ、今後も認証範囲が拡大していくことを考えると、これ以上、吉岡さんに負荷をかけるのは申し訳ないという気持ちがあります。負荷を軽減する意味でも、複数コンサルタントのチーム体制で取り組んでいただけると、当社としても安心できます。引き続き、今後ともよろしくお願いいたします。