これは、あるシステム開発会社がISMS認証を目指し、くじけそうになりながらも1年間頑張り続ける物語です。
登場する会社・人物の名称は仮称ですが、内容はほぼ事実に基づいたものとなっています。
これからISMS認証を目指す、あるいは目指そうと考えている経営者や担当者の参考になれば幸いです。
では、ISMS奮闘記の始まりです。
目次
- よし、ISMS認証を目指すぞ!
- 自社だけじゃ絶対ムリ!
- プロジェクト始動!
- やっぱり難しい!
1.よし、ISMS認証を目指すぞ!
「うちは顧客の個人情報を大量に扱うので、プライバシーマークを取得することにしたよ。棚橋さんもとった方がいいんじゃないの。」
2年ほど前、棚橋社長は知人の経営者からこんなことを告げられた。
棚橋定男は、千葉県八千代市島田台の住宅街に事務所を構える、島田台システム株式会社の社長(50歳)である。社員は20人。1915年の創業当時からIBM中堅企業向けの生産管理システム開発を中心に業績を重ね、2010年からはWindowsやLinuxなどのいわゆるオープン系システムの開発にも挑戦し、堅実な経営を続けている。
島田台システムは仕事柄、顧客の個人情報や機密情報を取り扱うことが多く、棚橋社長は情報セキュリティの大切さは十分に認識していた。そのため普段から社員に対して、
「お客様から預かった資料やデータは大切に扱えよ」
「メールやFaxは送り先を2度確認してから送れよ」
などと注意はしていたが、会社として情報セキュリティへ本腰を入れた取り組みはまだ行っていなかった。
棚橋社長は一週間ほぼ前にも、お付き合いのある顧客から、
「島田台システムさんはPマークかISMSはとってないの?」
と、聞かれたことを思い出した。
「そういえば、最近はPマークやISMS取得が取引条件に入っていることもあるな。少しPマークやISMS取得について調べてみるか。」
と思い立った。
調べてすぐにわかったことは、
「うちは情報セキュリティについてこんなに甘かったのか」
という発見だった。それなりに対応はしていると思い込んでいたものの、仕組みとしては何もなく、社員の自己判断に任せていることに気づいた。また、
- Pマークは個人情報が対象で、ISMSは情報資産全てが対象である
- ISMSは国際規格だが、Pマークは国内に適用される
- ISMSは部署を限定しての取得が可能だが、Pマークは企業全体に適用される
- Pマークは手順や文書などが規定されているが、ISMSは企業に合わせたルールや文書を作成することができる
などの違いがあることも分かった。
そして、島田台システムが取引先やその先のエンドユーザーに信頼され、これからも安心して仕事を任せてもらえるためには、個人情報保護を含めた情報資産(ハード・ソフト)に対する情報セキュリティの仕組みをきっちりと作ることが必要で、そのためにはISMS取得を目指すべきだ、と決断した。
2.自社だけじゃ絶対ムリ!
ISMSの認証は第三者機関に申請し審査に合格することで取得できる。しかし、第三者機関は非常にたくさんある。金額もピンキリで、安いほうがいいものの、サポートや審査に問題はないのだろうか・・・
「あ、名刺があった!」
棚橋社長は、以前システム開発会社の会合に参加したとき、ISO認証の第三者機関でるP社の営業から挨拶され、名刺交換したことを思い出した。とても感じがよく、自社のアピールをするのではなく、「ISMSが企業経営に役立つことが一番の目的です」と熱心に説明していた。
「ここはいいかもしれない。」
棚橋社長はP社の営業島崎に連絡を取り、詳しい説明を聞くことにした。
来社したP社の島崎は、記憶通りの感じのいい人物だった。まだ20代後半の若々しさと、まじめな話し方が好印象だった。ISMS認証取得までのステップもよく理解できた。ただし、やらなければならないことはたくさんあり、とても自社内だけでは進められないことも理解できた。島崎もISMS構築・運用を一緒に進めてくれるコンサルタントとともに取り組むことがベストだと助言してくれた。
「島崎さん、ISMS構築はうちだけではとても無理だとわかりました。P社さんでコンサルをお願いできませんか?」
「棚橋社長、弊社はISO認証の審査を行う機関であり、構築や運用のコンサルティングはできないんです。弊社専属のコンサルタントをご紹介することもできますが、できれば情報セキュリティの知識があり、貴社のことを熟知しているコンサルタントにお願いするのが一番いいと思いますよ。」
島崎からそういわれて、棚橋社長はすぐにピンときた。
棚橋社長は地元信用金庫からの紹介で、あるコンサルタントと懇意にしていた。すでに足掛け8年ほどの付き合いになる。IT業界出身のコンサルタントで、中小企業診断士とITコーディネータの資格を持っている。60代後半の温厚な人物で、人事評価制度や事業計画作成などの作成を支援してもらっている。何といってもシステム開発に造詣が深く、当社のことも熟知している。前職では、社内のQMS(品質マネジメントシステム)とEMS(環境マネジメントシステム)の内部監査も経験していると聞いている。
「QMSとEMSの内部監査員の経験はあるものの、ISMSは未経験で、ましてや構築や運用はやったことがありません。棚橋社長、私にはISMSのコンサルは無理ですよ。」
数日後に棚橋社長に呼び出され、ISMS構築運用のコンサル依頼を聞き、コンサルタントの黒田弘はやんわりとお断りした。
「いや、お願いできるのは黒田先生しかいないんです。QMSやEMSもある程度ご存じで、何よりもうちのことをよく知っている先生しか他にいないんです。何とかお願いします!」
棚橋社長は黒田へ必至でお願いしてきた。
「弊社では企業やコンサルタント様のための勉強会も開催しています。無料でISOの構築をしっかりと学べますので、ぜひ参加してください。」
同席していたP社の島崎も援護射撃を行ってきた。
黒田は「ここまで言われては断れないな」と思い、自身の勉強にもなることだと納得し、依頼を受けることにした。
3.プロジェクト開始
翌日、黒田は最寄りの大型書店でISMS関連の書籍の中から、これはと思う2冊の本を購入し、しっかりと読み込んだ。
①「ISO 27001の規格と審査がしっかりわかる教科書」(技術評論社)
②「ISO 27001文例集」(秀和システム)
※ちなみに、ISMSは「情報セキュリティマネジメントシステム」の略であり、正式には「ISO/IEC 27001」が正しい。
そのうえで、ISMS認証取得までにやらなければならない項目を洗い出し、スケジュール表を作成して、棚橋社長以下、関係者数名を集めたキックオフを実施した。
「いよいよISMS認証プロジェクトの旗揚げです。ご覧の通り、ISMS認証取得までは順調にいって約1年、しかもやることは多く、タイトなスケジュールとなっています。これから月2回、作業内容に沿って、少しでも前倒しできるようにみんなで頑張って取り組んでいきましょう。」
黒田はキックオフでこのように宣言し、作業内容を詳しく解説した。そして、「ISOと言えば、膨大な資料を作成しなければいけないという先入観がありますが、類似の資料が既にあればそちらを優先し、資料作成はできるだけ最小限にとどめるようにご支援します。」と約束した。また、プロジェクトの情報共有として、ISO/IEC 27001の要求事項(日本規格協会 発行)及び上記①、②の書籍を購入すること、クラウド上のファイル管理領域を用意することをお願いした。
棚橋社長からは、「やることは分かりました。書籍もファイル共有領域も至急準備します。しかし、②の文例を見ても具体的な記入がなく、何をどのように書いていいかが分かりません。」と、心配そうな言葉が出た。
黒田は、「確かに、最初は何をどのように書いたらいいか、想像しにくいですよね。最初に取り掛かるのは、要求事項4の「組織の状況」です。ここでは、ISMSの適用範囲と責任体制を決定します。文書化するものは、
・ISMSにおける状況及び課題一覧表
・ISMSにける利害関係者一覧表
・ISMSにおける法規制一覧表
・ISMSの適用範囲
・ISMS運用組織図
です。これらの文例はあるので、私の方で記入例を作成してみます。次回までに皆さんで手分けして具体的に記入してみてください。」