株式会社アット東京 様

多様なリスクを抜け漏れなく整理
現場で役立つISMS活動に

アット東京様はデータセンター業界のリーディングカンパニーとして、「24時間365日・ノーダウン」という信念のもと、情報化社会を支えていらっしゃいます。この度、ISMS認証の更新に当たってリスクアセスメント方法の見直しに着手され、当社のISOマネジメントシステム改善サービスをご利用いただきました。サービスをご利用いただいたご感想などについて、執行役員 BPR企画部長の山家 昇様、BPR企画部システム企画グループ課長の秋元 稔弘様に伺いました。

 

―貴社の事業内容をお聞かせください。

山家:当社は2000年に設立し、お客さまにデータセンターサービスを提供しています。データセンター事業というと、SIerやキャリアが行っていることが多いという印象があるかと思いますが、私たちはデータセンター事業の会社として生まれ、データセンター専業である、ということが大きな特徴ですね。東京電力の新事業としてスタートし、2012年からはセコムが筆頭株主となりました。現在は「Continue」「Connect」「Co‐create」という言葉を掲げ、新たな可能性を追求しています。

 

更新審査を機にリスクアセスメント方法を見直し

執行役員 BPR企画部長
山家 昇 様

―これまでどのようにリスクマネジメント活動を行ってきましたか。

山家:データセンター専業の会社なので、もともとセキュリティに関わる活動は非常にしっかり行っています。ISMSはもちろん、内部統制やPマーク、PCI DSS(クレジットカード業界の情報セキュリティ基準)などに適合した活動に継続的に取り組んできました。また、環境保護も重視しており、東京都のトップレベル事業所(優良特定地球温暖化対策事業所)に認定されています。セキュリティと環境に対する配慮は、当社が非常に力を入れている部分ですね。

秋元:今回ご支援いただいたISMSのリスクアセスメントに関しては、今までは保有している紙(書類)を「情報資産」ととらえて、それに対するリスクアセスメントを行うという形で進めてきました。が、2年前に転機が訪れました。更新審査の際に、審査員から「紙だけではなくデータセンターの施設そのものも情報資産に含めるべき」とアドバイスを受けたのです。

ただ、そうすると、アセスメントを行うリスクが膨大な量になってしまいます。紙は盗難や紛失などリスクの種類が限られていますが、施設となるとサーバー・電源・空調などあらゆるものが対象になり、それぞれリスクの種類や対応が全く違うからです。量が多すぎて手に負えないのです。

加えて、これを機にリスクアセスメントの方法を変えていきたいという展望もありました。これまでは私たち社内の事務局が一括で行ってきたのですが、情報資産の管理は現場が責任を持つものですから、リスクアセスメントも現場に任せるべきではないかと考えたのです。しかし、膨大なリスクアセスメント業務を突然現場に任せてしまうと、負担が大きくなりすぎてしまいます。リスクアセスメント業務を分かりやすくシンプルにするにはどうすべきかと思い悩み、コンサルテーション会社のプロの皆さまに相談することにしました。

 

―ニュートン・コンサルティングをお選びいただいた決め手は何でしたか。

山家:リスクマネジメントの老舗ですし、以前にBCMSについてご相談した時、「相当ノウハウを持っているな」という印象を受けましたので、今回も真っ先にニュートンさんが浮かびました。迷いはありませんでしたね。

 

よりシンプルなルールで、より網羅的に

BPR企画部
システム企画グループ 課長
秋元 稔弘 様

―プロジェクトの概要を教えてください。

秋元:まず着手したのは情報資産台帳の改善です。情報資産について、これまでは電子データやPC、システムなどの種類ごとにまとめた台帳で管理していました。また、台帳によっては情報資産の価値に応じてさらに詳細に管理しているものもありました。詳細に管理するのは良いことですが、リスクアセスメントの検討材料としては使いづらい部分もありました。

そこで、情報資産を「保管場所ごと」という単位にまとめ直すことで、分類を少なくして分かりやすくしました。例えば、文書データと契約書データは同じ社内サーバーに管理されていますので、「社内サーバー」という単位で考えるなどです。分類が少なくなればリスクアセスメントがしやすくなります。その際、現場で既に定着している情報資産台帳のフォーマットは変えず、保管場所ごとに集計できる仕組みを取り入れ、現場に変更に伴う負荷が掛からないよう工夫しました。

その上で、リスクアセスメントシートを新規に作成しました。既存のシートは非常に詳細で作成の負荷が高かったため、情報資産の保管場所単位でリスクを洗い出す、よりシンプルなシートにしました。リスクを漏れなく抽出できるよう、ニュートンさんのアドバイスを受け、新たな検討項目やリスク抽出のためのガイドライン情報も追加しています。これによって、シートそのものはシンプルな体裁に変更しながらも、より網羅的にリスクを洗い出せるようになりました。

 

―リスクアセスメントはISMS以外のリスクマネジメント活動でも行っていたそうですが、どのように整合性を図りましたか。

秋元:リスクアセスメントに関してはISMSだけでなく、内部統制やPマークの活動でも実施していました。この中で特に実効性が高いのは内部統制のリスクアセスメントだという認識が社内の合意事項としてありましたので、内部統制におけるリスクアセスメントの手法をISMSに取り入れていくことを念頭に置いて進めました。

 

現場の意見を反映したリスクアセスメント

―現場への展開について、どのような工夫をされましたか。

山家:現場への展開に関しては、一番議論が白熱したところでした。リスクアセスメントの在るべき姿について、事務局側では納得していても、実際にリスクアセスメントを行う現場がすぐに納得してくれるとは限りません。きちんとしたリスクアセスメントシートを作成しても、現場が記入してくれるかどうかという不安がありましたので、作成途中で現場に意見を聞いてフィードバックを受けるようにしました。

この社内確認については、私たち事務局が奔走しました。3ヶ月という短い期間の間に何度も現場と意見を交わし、リスクアセスメントシートに反映させていきました。社長の下に4つの本部があるのですが、まずそれぞれの本部の現場にいるメンバーに意見を聞き、現場の実情を踏まえて検討した上で本部長に説明に行くなど、進め方も工夫しましたね。

秋元:大変だったのは、各本部から上がってくる意見をすり合わせることでした。今回のリスクアセスメントの目玉である、施設に対する考え方がそれぞれ違うからです。そもそも、リスクを検討するにあたって重要だと考えることが各本部によって違いますから、当然のことではあります。営業ならお客様がまず浮かぶでしょうし、技術なら施設が壊れた時の対応に目が行きます。その他サービスへの影響やバックオフィスなど、視点はそれぞれです。それを一つに統合していくのに苦心しました。

現場に作成中のリスクアセスメントシートを共有すると、「この書き方だとうちの部門は記入できない」「うちはこの項目はいらない」など、様々な意見が返ってきましたね。それを受けて、例えば経営企画部門のために「オペレーションミス」といった項目を追加するなどの対応をしました。

山家:こうした議論を進めるための指針として、プロジェクト開始前にトップインタビューをしていただいたのがとても良かったと思います。トップにISMSに対する考えを直接尋ね、「役に立たなければ価値がない」という意見を聞くことができました。日頃から言われていることなのですが、「やっぱりそうだな」とインタビューの場で再確認できたのです。この考え方を関係者でシェアした上でプロジェクトに入りましたので、議論がぶれることがありませんでした。

 

新たな視点でより有益な活動へ

―今回のプロジェクトの成果はいかがでしたか。

秋元:リスクアセスメントのプロセスをきちんと整備できたのが良かったですね。追加になった膨大な情報資産についてはリスクの考え方も漠然としていたところでしたが、今回整理をしたことで体系的に考えられるようになったので、今後やりやすくなると思います。また、ニュートンさんにご教示頂いたリスクを抜け漏れなく洗い出す網羅性はさすがだと感じました。情報資産の整理方法を変更しても納得感がありましたね。

 

―当社のコンサルティングについて感想をお伺いできますか。

山家:3ヶ月という短い期間の中で、とてもスムーズに進めていただきました。質問すればすぐに答えてくださったり、次回のミーティングに反映されていたりと、向き合っていて気持ちが良いサポートでした。現場への説明に関しては苦労しましたが、そこにもアドバイスをいただけてありがたかったです。頭の整理になりましたね。

秋元:方法論を一方的に押し付けることなく、当社の考え方をきちんと汲んでいただけました。例えば「その方法では現場は対応できない」といった当社の意見を取り入れつつも、当初の目的通り、実効性があって審査にも役立つ支援をしていただけました。

 

―今後はどのようにリスクマネジメント活動に取り組む予定でしょうか。

山家:「保管場所単位でリスクを把握する」といった新しい視点を取り入れることで、リスクに関する考え方もかなり変わってきました。今回のプロジェクトで得られたノウハウやスキームを、他のリスクマネジメント活動の参考にすることもできるのではないかと考えています。これを機に、社内のリスクマネジメント活動全体をより有益なものにしていきたいですね。

 

―本日は誠にありがとうございました。

 

インタビューの様子

担当の声

コンサルタント  久留島 宏明

「経営にとって本当に意味があるか」という観点で

アット東京様はプロジェクト開始当初、資料のシンプル化によって指摘事項に対応できず、認証が取得できなくなることを危惧されていました。そこで私達は「規格のことは心配しないでください。準拠性は私達が保証します。『経営に何が役立つか』という一点に集中して議論していきましょう」とお伝えして、それを軸にプロジェクトを推進しました。リスクマネジメントの本質的な目的は、経営のために効果的、効率的にリスクを認識し、適切な対処を行うことです。この目的に合致した活動ができているならば、たとえ詳細な資料がなくてもISO認証は取得できるからです。
アット東京様にもこの考え方にご賛同いただきました。プロジェクトが進むに従い、お客様から「規格は・・・」という言葉が消え、「役に立つか立たないか」という言葉を頻繁に口にされるようになりました。最後の方では、私達以上に「こうしないと役に立たない。もっとこうしたい」など、事務局のみなさん自身が積極的に案を出してくださいました。プロジェクトの中でお客様自身の意識が変わり、お客様自身が「経営にとって本当に意味があるか」という観点で積極的に考えはじめ、それが反映されたリスクアセスメント手法が確立されたこと――それこそが本プロジェクトの一番の成果だったと思います。

お客様情報

名称: 名称: 株式会社アット東京 (AT TOKYO Corporation)
本社所在地: 東京都江東区豊洲5-6-36
設立: 2000年6月26日
代表者: 代表者: 代表取締役社長 中村 晃
事業内容: 情報通信システムを一括して集中管理するデータセンター事業 (届出電気通信事業者)
URL: https://www.attokyo.co.jp/

(2019年4月現在)

プロジェクトメンバー

お客様

執行役員 BPR企画部長

山家 昇 様

BPR企画部システム企画グループ 課長

秋元 稔弘 様

ニュートン・コンサルティング

取締役副社長 兼 プリンシパルコンサルタント

勝俣 良介

コンサルタント

久留島 宏明

コンサルタント

永峯 麻璃菜

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる