ローカライゼーション」と「外国人目線」を軸として、Webサイトの外国語対応や訪日外国人向けポータルサイトを活用したプロモーションなどを提供しているエクスポート・ジャパン株式会社。同社はさらに多くの公的機関から案件を獲得することを目指し、2010年2月にプライバシーマーク(以下、Pマーク)、2021年にISO27001(情報セキュリティマネジメントシステム/以下、ISMS)認証を取得しました。今回、ISMS認証の取得にあたり、オプティマ・ソリューションズのコンサルティングを利用した経緯と、ISMS認証取得の背景と効果、特にISMSとPマークの両方を所有する効果について、代表取締役/CEO 高岡 謙二様、経営支援部 伊奈様にお話しを伺いました。
――PマークとISMSを取得するに至った背景をお聞かせください。
当社は2010年2月にPマークを取得しています。取得の理由は、既存クライアントからの要請でした。ISMSも選択肢にありましたが、取得までの作業が困難という話を聞いてPマークを選択しました。当時はPマークの方がトレンドだったように思います。まずは「Pマークは持っておくべき」という風潮がありました。
ISMSは2021年1月に取得の取り組みをスタートさせ、同年10月に取得しました。ISMSを取得した理由は、公的機関の案件比率が大きく高まってきたことが挙げられます。Pマークを取得した頃の当社の公的機関比率は2割程度でしたが、現在は8割まで上昇しています。公的機関の案件は、情報セキュリティに関する意識が非常にセンシティブです。
特に当社は海外向けに情報を発信する業務を請け負う会社ですから、Pマークはもちろん、国際認証であるISMSを求められる機会が急増してきました。もう少し具体的に言うと、公的機関は入札になるため、公示の際、ISMS取得が要件となるケースが増えてきたということです。ISMSを取得していなければ入札に参加できないわけですから、取得せざるを得ませんでした。
――オプティマ・ソリューションズとは、Pマーク取得後からお付き合いされていると伺っています。
はい。実はPマークは別のコンサルタントの方からサポートいただいて取得しましたが、処々の事情で運用のサポートまでは関われないとのことで、その際に紹介いただいたのがオプティマ・ソリューションズでした。
それ以来、10年以上にわたり、Pマークに関してはオプティマ・ソリューションズのサポートのもと、運用と更新を続けてきました。
――ISMSの取得にあたって、コンサルティング会社の比較・検討はされましたか。
基本的にはオプティマ・ソリューションズの一択でした。これまでのお付き合いのなかで、少しでも不安があれば、コンサルティング会社の変更を真剣に考えていたと思いますが、そうした不安が垣間見えたことは一度もありませんでした。
併走するスタイルでのコンサルティング業務や、継続的な更新サポートに好感を持っていましたし、さまざまな手続きや業務の進め方、スケジューリング、連絡の素早さ、時間の正確さなど、とにかくオペレーションがしっかりしている印象がありました。常々、当社も見習いたいオペレーションだと思っていましたので、迷うことはありませんでした。
もちろん、今回のISMS認証取得にあたっては、他にもいくつかのコンサルティング会社から見積りをもらい、サービスや価格の比較検討を行いました。ざっと確認し、他社と比較としてサービスはより上位で、価格も大差ないことが分かりました。
――オプティマ・ソリューションズの各種セミナーにも参加されています。
これまで以下のセミナーに参加させていただきました。
<参加履歴(伊奈氏)>
2020年3月 Pマーク担当者勉強会
2020年5月 在宅勤務に関する勉強会
2020年10月 ISMS認証取得セミナー
2021年7月 Pマーク/ISMS担当者勉強会
2021年10月 Pマーク担当者勉強会
毎回、講師の方のお話は非常に勉強になりました。グループに分かれて行うディスカッションも有意義な時間でした。他社の運用状況なども伺えるので、情報セキュリティにおける仕組みづくりの参考になります。こうしたセミナーを通じ、オプティマ・ソリューションズの情報セキュリティへの真摯な取り組みに共感したのも、ISMS取得のコンサルティングをお願いした理由のひとつです。
――ISMSの取得範囲を教えてください。
当社としては、部門限定ではなく、全社一括でISMS認証を取得しました。その理由は、部門の垣根がないシームレスな社風をそのまま残しておきたかったからです。今でこそ、新設された経営支援部がPマークの運用と更新を主幹するようになったものの、それ以前は特に主幹部門を決めず、現場の制作部門が主体となり、Pマーク取得から運用まで行っていました。
こうした垣根がないところは今も変わっていません。逆に、制作におけるテストの際、異なるブラウザーでの表示確認など、一般ユーザーの知識があればできるところには管理部門も駆り出されます。現在でもシームレスな社風は当社の大事なカラーでもあり、ISMSを全社単位で取得するのは自然でした。
――現在のISMSの運用体制をお聞かせください。
ISMS文書の作成や修正、更新といった事務的な手続きは経営支援部が中心に行っています。システム的な情報セキュリティについては現場のSEの協力を仰ぎながら、枠組みとしてはチーム体制で運用するようにしています。前述した通り、シームレスな社風ですので、こうした体制に問題はありません。
そもそもPマークを10年以上運用しており、全社員年1回はかならず情報セキュリティの教育を受けていますから、社内には情報セキュリティの意識はかなり浸透しています。こうした点も、ISMSの運用体制に良い影響を与えていると思います。
――コロナ下における教育体制についてお聞かせください。
そもそも当社は東京と大阪にオフィスが分かれていますし、さらに今はコロナの影響で、ほぼ全員がリモートワークの状況です。今回のISMS取得にあたっての全社員教育についても、オプティマ・ソリューションズに用意していただいたeラーニングを使って実施しました。1カ月の期間を設け、eラーニングを受講してもらったあとに確認テストを受けてもらうスタイルです。
昨年は初めてのISMS教育だったこともあり、実際に話を聞いてもらった方が理解は深まると考えて、コンサルタントの渡邊さんにセミナーを開催していただきました。今後の教育に関してはeラーニングも活用しながら、ISMSとPマークを分けずに一緒に行っていくつもりです。
――PマークとISMSを運用して、両者の違いは感じますか。
Pマークは規定の通り、教科書的な運用をしていくとスムーズにいくという印象を受けています。きっちり決まっているからこそ分かりやすい半面、柔軟性や融通性は弱いかなと思います。
一方で、ISMSは社内の状況に合わせて変更できるところが多く、自由度が高いと感じます。ISMSでは「社内に〇〇書類あると便利だよね」という感じでフレキシブルに新たな書類を作っていくことが可能ですが、Pマークの場合には、比較的厳しく規格に従うことが求められます。
――両方を持つことに意味はあると思いますか。
当社の事業では、個人情報を取り扱う場面が少ないとはいえ、社内に対する情報セキュリティの浸透という意味でPマークは大きな意味を持ちました。ISMSは国際的な情報セキュリティの認証規格であること、そして企業の業務情報を守るという意味で当社の事業内容にあっていると感じました。どちらにしても、企業の業務内容に左右される部分はありますが、当社の場合はISMSとPマークの両方を取得したことで、公的機関や取引会社との仕事を進めやすくなりました。
これから情報セキュリティの認証の取得を目指す企業の皆様も、最終的にはISMSとPマークの両方を取得するのが理想だと思います。まずはどちらか一方という場合は、現在の業務状況に合った認証の取得がおすすめですね。次の段階で、ISMSとPマークの両方を取得すれば、業務の幅も広がると思います。
――外国人社員が多いと伺っていますが、情報セキュリティの周知や意識の違いに困ることはないですか。
一部に日本語ができない外国人社員がいますので、そういった人には資料や教育研修テストの英語バージョンを用意しています。ただ、言語の問題だけで、意識的なところでの差は特に感じていません。そこはむしろ日本人と外国人というカテゴライズではなく、個人差の部分だと思います。情報セキュリティにすごく几帳面に対応する社員もいれば、結構ルーズな社員もいます。それは日本人でも同じで、外国人だからどうこうではありません。
――オプティマ・ソリューションズへの評価をお聞かせください。
ISMS取得の際はPマークと異なる部分が少なからずあったため、本当にオプティマ・ソリューションズのお世話になりました。いろいろ一から手とリ足とりの作業でしたね。ISMS取得後も、いつも丁寧に対応していただています。手が届かないところをしっかりフォローしていただいている印象です。
――オプティマ・ソリューションズへの期待をお願いします。
案件獲得のためにPマークやISMSが必要だったとはいえ、今は人とシステムの両方に情報セキュリティの意識や対策が求められる時代ですから、取得して本当に良かったと思っています。そして、取得して分かったのは、ISMSの取得は入り口に過ぎないこと。大事なのは、日々の運用だというのを実感しています。取得して終わりにならないように、常に「情報を守るために何が必要なのか」を考えてブラッシュアップしていくつもりです。
オプティマ・ソリューションズには、特に当社と同じような規模の企業の取り組み事例やノウハウの共有などに期待しています。これからも当社に伴走していただけると幸いです。今後もよろしくお願いいたします。
