株式会社Francfrancが展開するインテリアショップFrancfranc(フランフラン)は家具やインテリア雑貨などデザインされた商品と自由なスタイリングで、多彩な空間づくりとライフスタイルを提案しています。今回、ECサイトの販売強化と他社との協業を目的に、2021年1月にISO27001(情報セキュリティマネジメントシステム/以下、ISMS)の認証を取得しました。そのISMS取得にあたり、オプティマ・ソリューションズのコンサルティングを利用した背景と効果について、販売本部(当時) 横井 晋二氏、WEB・EC部 メディア企画課 山下 優歌氏に詳しくお聞きしました。(取材はリモート会議形式で実施いたしました)
――ISMS認証を取得するに至った背景・きっかけをお聞かせください。
端的に言うとEC(電子商取引)の強化が背景です。これまで当社の売り上げの約8割は店舗での小売りが占めていましたが、購買状況の推移を鑑みると今後はECの売り上げが伸びてくるのは必然でした。新型コロナの感染拡大の関係もあり、実際にECサイトの売り上げは非常に伸びており、自ずとDX(デジタルトランスフォーメーション)への取り組みも加速化していきました。当然ながら情報セキュリティの強化も推進していく必要があると考えていました。
そういったことからISMSもしくはPマークの取得に向けて動き出してはいたものの、火急を要する事案ではなかったため、ゆっくりと検討している状態でした。ところが、2020年9月に、ある企業様との協業の話が持ち上がり、状況が一変しました。その企業様から、顧客情報を連携・共有するうえで、ISMSもしくはPマークの取得が必要と求められたのです。
ISMSもしくはPマークの取得は火急を要する事案に変わりました。取得にあたってのリミットは約半年後の2021年2月末でした。
現場に直結したWEB・EC部ストアマネジメント課が主幹して、認証の取得を目指していくこととなり、フォローとして販売本部(当時)が入ることになりました。この体制で事務局を立ち上げ、あらためて取得に向けたプロジェクトをスタートしました。
――当初からコンサルティング会社を入れる予定でしたか。
事務局といっても、本格的に情報セキュリティに携わったことがある経験者はいません。取得を推進できるリソースが乏しい状況では、約半年での取得はあまりにも無謀でした。そこで、もちろんコンサルティング会社に声をかけさせていただきました。
――ISMSを選んだ理由をお聞かせください。
Pマークの場合、制度として全社取得を求めていますので、会社全体が適用範囲となります。そうなると、国内130ほどある店舗も含めて取り組む必要がありますが、物理的な時間や手間を考えると選択しにくいと言わざるを得ません。そこで今回は、EC事業に絞って取得するのが得策という結論に達し、ISMSを選択しました。取得の範囲は主幹のWEB・EC部、情報システム部 本社システム課とCRM課(2021年12月からWEB・EC部 WEBプロモーション課)です。
――コンサルティング会社は比較・検討されましたか。
オプティマ・ソリューションズ様を含め、3社のコンサルティング会社をピックアップさせていただきました。その3社は総合的なコンサルティング会社、セキュリティ関係に強いコンサルティング会社、ISMSとPマーク取得に特化したオプティマ・ソリューションズ様という内訳で、三者三様バランスよくピックアップしたと思っています。それぞれのコンサルティング会社に直接アポイントを取り、当社に足を運んでいただいてお話を伺い、見積りも出してもらいました。
――オプティマ・ソリューションズを選定した理由をお聞かせください。
3社をしっかり比較・検討させていただき、以下の3つをポイントにオプティマ・ソリューションズ様をコンサルティング会社に選定させていただきました。
<ISMSの取得に特化している>
オプティマ・ソリューションズ様をピックアップさせていただいた理由でもある、ISMSの取得に特化している点は大きなポイントでした。実際にお話を伺うなかで、ノウハウや高い知見を感じ取ることができました。
<当社のことを考えたコンサルティングが期待できる>
面談のなかで、我々のことをしっかり理解いただいたのがオプティマ・ソリューションズ様でした。「情報セキュリティの知識がないこと」「なるべく短期間で取得したいこと」も、もっとも理解していたと感じます。無知な質問を投げかけた際、丁寧に分かりやすく答えていただけた点にも好感を持ちました。
<フレキシブルな対応が期待できる>
オプティマ・ソリューションズ様は杓子定規ではなく、フレキシブルな対応が期待できました。決められたプロセスにそって取得することを推奨するコンサルティング会社もありましたが、それはそれで企業のポリシーとして理解できます。ただ、知識や時間がない我々はそれを求めていません。我々が求めたのは最短の取得を前提にし、状況に応じたフレキシブルな対応です。その点、オプティマ・ソリューションズ様は、どうすれば設定した期限までに取得できるのか、さまざまな提案がありました。コンサルタントの生方さんの熱意あるお話も印象的で、「我々が必要としているところへ的確に提案できる」スタンスに、オプティマ・ソリューションズ様ならコンサルティングを任せられると思いました。
――取得までの進捗をお聞かせください。
2020年9月、オプティマ・ソリューションズ様にコンサルティングを依頼してからは、スピーディーに進みました。事務局としては、ドキュメント作成とリスクアセスメントなどの細かいところと、社内調整や審査に向けた準備などの役割分担を決めてプロジェクトを推進。11月に一次審査、1月に二次審査を受けて、当初の予定より早い、2021年1月末にISMSの認証を取得することができました。
――半年という短期間で取得できた理由をお聞かせください。
大きくは以下の2つが要因だと考えています。
<社内規定が整備されていたこと>
すでに社内規定を整備していたことは大きな要因だったと思います。その規定をもとにすることで、認証取得に向けての作業を半減させることができました。
<オプティマ・ソリューションズのサポートがあったこと>
ISMSでもっとも大切なのはしっかりと社内の体制を整えて運用していくことですが、私たちは2021年2月末までに取得するという期限を設けていたため、まずはISMSを取得することに注力しました。そこで大きかったのはオプティマ・ソリューションズ様のサポートです。目安となるロードマップを作成した後は、状況に応じた柔軟な対応で取得までナビゲートしていただきました。
コンサルタントの生方さんに「まずはシンプルに最低限のところを作成していきましょう」とおっしゃっていただき、我々も迷うことなく進めることができました。いただいたテンプレートも分かりやすくシンプルなものでしたから、まとめる苦労は少なかったように思います。
――取得にあたって大変だったことはありましたか。
やはり事前知識が乏しかったので、どこまでの情報を範囲に含めるのかを把握するのが大変でした。また、さまざまなドキュメントを作成しなければならないことは分かるものの、どんなドキュメントなのか最初は想像もつきませんでした。これらはその都度、コンサルタントの生方さんに確認させていただき、クリアしていきました。
――取得後、その企業様との協業は進んでいますか。
おかげさまで、その企業様とは良い協業ができているとの報告を受けています。当社としては、実店舗のない地域での顧客獲得、ECサイトへの誘導というメリットがありますし、その企業様にとっても顧客の活性化など、今後も双方にメリットがある取り組みを推進できるのではないかと期待しています。
――ISMSを運用して社内で変わったところ感じますか。
「このメールのやり取りで、ここにパスワードが入っていますけど大丈夫ですか?」「パスワードでアラート出ましたけど、これって大丈夫ですか?」など、以前は思っていても口には出さなかった情報セキュリティに対する疑問点が社員から、こちらまで届くようになりました。こうした点を踏まえると、情報セキュリティへの意識は少なからず底上げできたと考えています。
――オプティマ・ソリューションズへの評価をお聞かせください。
当社のことを考えながら、常に最適解を求める姿勢と提案には本当に感謝しています。そのほか、以下の点でもオプティマ・ソリューションズ様を評価しています。
<対面による打ち合わせへの対応>
新型コロナの完全拡大が続く中ではありましたが、しっかりお話を伺って進めていきたいと思っていましたので、原則としてリモートではなく対面による打ち合わせをお願いしました。もちろん、しっかり感染対策は行っていましたが、当初は毎週のように足を運んでいただき、ご迷惑をおかけしたと思っています。こうした我々の要望に対し、快く対応していただいたことに感謝しています。
<情報セキュリティ教育のサポート>
教育に関しては、まずISMS取得に関わる主幹部門のメンバー数人に集まってもらい、生方さんに1時間程度、情報セキュリティに関する講義を行っていただきました。これにより、情報セキュリティの目線を合わせることができました。
さらに、講義の様子を動画にして主幹部門全員で共有。その後、アンケートを取り、情報セキュリティを理解できているかどうかの検証も行いました。生方さんの分かりやすい講義のおかげで主幹部門全体に情報セキュリティを浸透させることができましたので、今後は本社全体まで拡大できればと思っています。
――オプティマ・ソリューションズに対する期待などをお聞かせください。
社内規定があったとはいえ、内容の認識や情報共有という点ではレベルが低かったことが今回の取り組みを通じて分かりました。また、そうした社内規定とISMSのドキュメントを比較し、修正すべき点などを整理整頓できたことは非常に有益でした。
今後、オプティマ・ソリューションズ様にはISMSの運用面に関わる部分、そして先ほどの教育に関わる部分、さらに更新審査に関する部分のコンサルティングを引き続きお願いしていきたいと思っています。これからもよろしくお願いします。
――担当コンサルタントより
<コンサルタント 生方淳一(うぶかた じゅんいち)>
この度はISMS認証取得おめでとうございます。
Francfrancさんといえばお洒落なイメージがありますので、皆さん会社からISMS取得を指示されて、あまり乗り気ではないもののお集まりになっているのかなと、最初はそんなイメージを持っていました。(私もセンスの悪いおじさんがやってきたと笑われないように、ばっちりキメて乗り込みました)
実際お打ち合わせをしてみると、ISMSの取り組みにとても熱心で、会議が長引いたり、終わり間際までご質問いただいたり、私が持っていたイメージがどんどん変わっていきました。
「審査に落ちたらハダカで表参道を逆立ちして歩きますよ」という約束が実現しませんでしたね。(考えてみたら私は逆立ちできませんでした・笑)
こんな冗談が言えるほど、和気あいあいと楽しくコンサルをさせていただき、ありがとうございました。今後もしっかりとサポートさせていただきます。
株式会社Francfranc/プロフィール
1990年7月創業。「『VALUE by DESIGN』デザインによって毎日をより楽しく、より豊かに」をミッションに、インテリアショップFrancfranc(フランフラン)を中心としたインテリア・雑貨小売販売事業、コーディネートなどを展開。約130店の実店舗に加え、自社ECサイト、大手ショッピングモールなどを通じ、家具、インテリア雑貨など幅広いインテリアアイテムでライフスタイルを提案している、目指しているのは、商品という「物」ではなく、生活という「文化」を提案することで、新たなマーケットを創出し続ける企業。ライフスタイルを提案する唯一無二の企業に向かって、現在もまい進している。