ISO NEXT
株式会社いつも コーポレート本部 コーポ―レート部 総務法務グループ グループマネージャー 藤井 大輔氏、同グループ 宍戸 絵美子氏に、スリーエーコンサルティングのコンサルティングを利用しながらプライバシーマーク(以下、Pマーク)およびISO27001(情報セキュリティマネジメントシステム/以下、ISMS)を運用している状況について詳しく伺いました。
2007年2月創業以降、D2C・ECマーケティング、ECブランドのM&A・成長支援におけるリーディング企業として数多くのEコマース企業を支援。ECビジネスのコンサルティングからプロモーション、ウェブサイト制作・運用、カスタマーサポート・物流代行、海外販売、D2C・ECブランドのM&A・成長支援、EC人材育成までを総合的に支援し続けている。コスメ、日用品、食品、アパレル、ヘルスケア、サービスなど業種・業態を問わず多くの実績を誇る。契約案件数11,000件以上(2022年9月末時点/延べ実績)、資本金:7億3772万円、従業員数:290名(アルバイト含む※2022年9月末時点)
PマークとISMSの取得プロセスを教えてください。
スリーエーコンサルティングの支援のもと、2013年6月にPマーク、2016年5月にISMSを取得していました。以来、社内の事務局を設置し、スリーエーコンサルティングと一緒にPマークとISMSの運用と更新を続けてきました。
取得当時の担当ではないため、取得理由については定かではありませんが、ECのマーケティング&運用代行という当社のコア事業を鑑みると、顧客から安心して任せてもらえる体制づくりは大前提となります。ガバナンスを強化するためにも、公に認知された情報セキュリティにおけるルールに基づいた管理体制が必要だったと考えます。
取得から現在までスリーエーコンサルティングとお付き合いされているということでしょうか。
当社もコンサルティング業に携わっていますから、プロ目線での重要性は十分に理解しています。情報漏えいを防ぐためにも、PマークやISMSは適正に運用されているかどうか、専門的な立場でのアドバイスは何よりも欠かせないと思っています。
ほかにも、監査の専門的な知識やPマークとISMSの運用するための年間スケジュール管理など、スリーエーコンサルティングには情報セキュリティのさまざまな面でご支援いただいております。
運用にあたって、事務局を設置されていると伺っています。
コーポレート本部と情報システム部門から選出された数名が中心となり、社内に対する情報セキュリティの周知や教育を行いながら、PマークとISMSの運用と更新に携わるのが事務局の役目となります。
我々が事務局に入ったのは約1年前で、前任者の異動や退職にともなうものでしたが、社内の体制が変わる時期と重なったため、着任と同時に事務局のフェーズも変わりました。
どのように社内体制が変わったのでしょうか。
2020年12月に東京証券取引所マザーズへ上場したことで、今まで以上にガバナンスの強化を求められるようになりました。とはいえ、事務局の経験がないうえに、これまでの流れなども把握していません。まずは、すぐにスリーエーコンサルティングに相談させていただきました。
ガバナンスの強化を推進することで何か変わったことはありますか。
もともとスリーエーコンサルティングには、既存パッケージのなかで当社のコンサルティングをお願いしていましたが、当社が求めるガバナンス強化と照らし合わせると、それでは足りないことが分かりました。
そこで、あらためて当社向けにコンサルティング内容をカスタマイズしていただきました。現在は事務局とスリーエーコンサルティングとの二人三脚の体制で情報セキュリティの再構築に挑んでいます。
情報セキュリティの再構築で具体的に何を実施されたのでしょうか。
目標に掲げたのは、情報セキュリティのフレームを最適化することです。特にISMSに関しては全社で取得して以降、事業の拡大とともに部門が増えたらそのまま増築という感じで、ISMS本来の3年に1回の更新とは別に認証のつくり直しを毎年の維持審査ごとに行っていました。
そうなると、増築の繰り返しですから、どうしてもフレームの形がいびつになってしまいます。それを根本から見直して情報セキュリティのフレームを最適化しようというのが今回の取り組みになります。フレームを最適化できれば、ガバナンスは自ずと強化されていくと考えました。具体的に行ったのは以下の通りです。
<スリーエーコンサルティングとの密な連携>
これまで事務局とスリーエーコンサルティングの打ち合わせは、オンラインで2カ月に1回でした。それでは情報共有にタイムラグが発生してしまうため、打ち合わせは毎月に変更。緊急の事案が発生した場合はその都度というスタイルにしました。具体的な施策ではありませんが、こういったところからの変更は以下の施策を実施するうえで大きなポイントになりました。
<部門ごとの現状把握>
部門ごとにヒアリングを実施し、具体的な業務内容および部内で有している情報の確認を行いました。
<ドキュメントの精査>
部門ごとのヒアリング結果を現状のドキュメントに落とし込むと、やはり形は大きく変わっていました。このままではPDCAを回すことが難しいため、あらためてドキュメントの精査を実施。8割ほどは精査を終えましたから、次年度からは情報セキュリティのフレームの最適化効果が少しずつ発揮されていくと期待しています。
<実体験に基づいた研修>
これまで研修は別のコンサルティング会社にお願いしていましたが、今回から研修も含めてスリーエーコンサルティングに一本化。先日も全員参加でスリーエーコンサルティングにオンラインでの研修を行っていただきました。その研修は、経験豊富なスリーエーコンサルティングのコンサルタントの実体験や、事実ベースに基づいた事例が中心だったため、当社の若い社員からは「分かりやすい」と好評でした。Pマークの第何条・何項といってもピンときませんから、何よりも実例が大事というのが分かりました。最近は新人研修においても、スリーエーコンサルティングに作成していただいた研修動画の参照を義務付けています。
今回の再構築で大変だったところはありますか。
各部門にヒアリングを実施したところ、想像よりも扱っている情報量が多いことに驚きました。例えば、業務委託先の協力企業はかなり増加していました。また、ドキュメントが適正に更新されていないところがあったため、情報の紐づけが分断されている箇所がいくつかありました。それらを精査して正しく紐づける作業が大変でしたね。
情報セキュリティにおける今後の展開をお聞かせください。
情報セキュリティのフレーム最適化による効果は、もう少し後からだと考えています。まずは何か新しいことをやるというよりも、日々の業務のなかで情報セキュリティのフレームを遵守し、定着させていくことが先決。
社員が増えても、情報漏えいや情報漏えいにつながる事故などが起きないように現場を統制してかなければなりません。幸いにも当社の場合、クレドで情報セキュリティについて言及するなど、会社全体で意識の紐づけを行っていますから、自ずと情報セキュリティの認識は高まっていくと期待しています。
最後、スリーエーコンサルティングに一言お願いします。
スリーエーコンサルティングは事務局における大事なキーパーソンなのは間違いありません。実際、当社の社員の一人のような働き方をしていいただき、大変感謝しています。
我々の知識がスリーエーコンサルティングに追いついていないのが難点ですが、そこはチーム体制で乗り切っていければと思っています。これからも引き続き、よろしくお願いいたします。
