―貴社の事業内容をお聞かせください。

山家：当社は2000年に設立し、お客さまにデータセンターサービスを提供しています。データセンター事業というと、SIerやキャリアが行っていることが多いという印象があるかと思いますが、私たちはデータセンター事業の会社として生まれ、データセンター専業である、ということが大きな特徴ですね。東京電力の新事業としてスタートし、2012年からはセコムが筆頭株主となりました。現在は「Continue」「Connect」「Co‐create」という言葉を掲げ、新たな可能性を追求しています。

執行役員 BPR企画部長
山家 昇 様

―これまでどのようにリスクマネジメント活動を行ってきましたか。

山家：データセンター専業の会社なので、もともとセキュリティに関わる活動は非常にしっかり行っています。ISMSはもちろん、内部統制やPマーク、PCI DSS（クレジットカード業界の情報セキュリティ基準）などに適合した活動に継続的に取り組んできました。また、環境保護も重視しており、東京都のトップレベル事業所（優良特定地球温暖化対策事業所）に認定されています。セキュリティと環境に対する配慮は、当社が非常に力を入れている部分ですね。

秋元：今回ご支援いただいたISMSのリスクアセスメントに関しては、今までは保有している紙（書類）を「情報資産」ととらえて、それに対するリスクアセスメントを行うという形で進めてきました。が、2年前に転機が訪れました。更新審査の際に、審査員から「紙だけではなくデータセンターの施設そのものも情報資産に含めるべき」とアドバイスを受けたのです。

ただ、そうすると、アセスメントを行うリスクが膨大な量になってしまいます。紙は盗難や紛失などリスクの種類が限られていますが、施設となるとサーバー・電源・空調などあらゆるものが対象になり、それぞれリスクの種類や対応が全く違うからです。量が多すぎて手に負えないのです。

加えて、これを機にリスクアセスメントの方法を変えていきたいという展望もありました。これまでは私たち社内の事務局が一括で行ってきたのですが、情報資産の管理は現場が責任を持つものですから、リスクアセスメントも現場に任せるべきではないかと考えたのです。しかし、膨大なリスクアセスメント業務を突然現場に任せてしまうと、負担が大きくなりすぎてしまいます。リスクアセスメント業務を分かりやすくシンプルにするにはどうすべきかと思い悩み、コンサルテーション会社のプロの皆さまに相談することにしました。

―ニュートン・コンサルティングをお選びいただいた決め手は何でしたか。

山家：リスクマネジメントの老舗ですし、以前にBCMSについてご相談した時、「相当ノウハウを持っているな」という印象を受けましたので、今回も真っ先にニュートンさんが浮かびました。迷いはありませんでしたね。

BPR企画部
システム企画グループ 課長
秋元 稔弘 様

―プロジェクトの概要を教えてください。

秋元：まず着手したのは情報資産台帳の改善です。情報資産について、これまでは電子データやPC、システムなどの種類ごとにまとめた台帳で管理していました。また、台帳によっては情報資産の価値に応じてさらに詳細に管理しているものもありました。詳細に管理するのは良いことですが、リスクアセスメントの検討材料としては使いづらい部分もありました。

そこで、情報資産を「保管場所ごと」という単位にまとめ直すことで、分類を少なくして分かりやすくしました。例えば、文書データと契約書データは同じ社内サーバーに管理されていますので、「社内サーバー」という単位で考えるなどです。分類が少なくなればリスクアセスメントがしやすくなります。その際、現場で既に定着している情報資産台帳のフォーマットは変えず、保管場所ごとに集計できる仕組みを取り入れ、現場に変更に伴う負荷が掛からないよう工夫しました。

その上で、リスクアセスメントシートを新規に作成しました。既存のシートは非常に詳細で作成の負荷が高かったため、情報資産の保管場所単位でリスクを洗い出す、よりシンプルなシートにしました。リスクを漏れなく抽出できるよう、ニュートンさんのアドバイスを受け、新たな検討項目やリスク抽出のためのガイドライン情報も追加しています。これによって、シートそのものはシンプルな体裁に変更しながらも、より網羅的にリスクを洗い出せるようになりました。

―リスクアセスメントはISMS以外のリスクマネジメント活動でも行っていたそうですが、どのように整合性を図りましたか。

秋元：リスクアセスメントに関してはISMSだけでなく、内部統制やPマークの活動でも実施していました。この中で特に実効性が高いのは内部統制のリスクアセスメントだという認識が社内の合意事項としてありましたので、内部統制におけるリスクアセスメントの手法をISMSに取り入れていくことを念頭に置いて進めました。

―現場への展開について、どのような工夫をされましたか。

山家：現場への展開に関しては、一番議論が白熱したところでした。リスクアセスメントの在るべき姿について、事務局側では納得していても、実際にリスクアセスメントを行う現場がすぐに納得してくれるとは限りません。きちんとしたリスクアセスメントシートを作成しても、現場が記入してくれるかどうかという不安がありましたので、作成途中で現場に意見を聞いてフィードバックを受けるようにしました。

この社内確認については、私たち事務局が奔走しました。3ヶ月という短い期間の間に何度も現場と意見を交わし、リスクアセスメントシートに反映させていきました。社長の下に4つの本部があるのですが、まずそれぞれの本部の現場にいるメンバーに意見を聞き、現場の実情を踏まえて検討した上で本部長に説明に行くなど、進め方も工夫しましたね。

秋元：大変だったのは、各本部から上がってくる意見をすり合わせることでした。今回のリスクアセスメントの目玉である、施設に対する考え方がそれぞれ違うからです。そもそも、リスクを検討するにあたって重要だと考えることが各本部によって違いますから、当然のことではあります。営業ならお客様がまず浮かぶでしょうし、技術なら施設が壊れた時の対応に目が行きます。その他サービスへの影響やバックオフィスなど、視点はそれぞれです。それを一つに統合していくのに苦心しました。

現場に作成中のリスクアセスメントシートを共有すると、「この書き方だとうちの部門は記入できない」「うちはこの項目はいらない」など、様々な意見が返ってきましたね。それを受けて、例えば経営企画部門のために「オペレーションミス」といった項目を追加するなどの対応をしました。

山家：こうした議論を進めるための指針として、プロジェクト開始前にトップインタビューをしていただいたのがとても良かったと思います。トップにISMSに対する考えを直接尋ね、「役に立たなければ価値がない」という意見を聞くことができました。日頃から言われていることなのですが、「やっぱりそうだな」とインタビューの場で再確認できたのです。この考え方を関係者でシェアした上でプロジェクトに入りましたので、議論がぶれることがありませんでした。

―今回のプロジェクトの成果はいかがでしたか。

秋元：リスクアセスメントのプロセスをきちんと整備できたのが良かったですね。追加になった膨大な情報資産についてはリスクの考え方も漠然としていたところでしたが、今回整理をしたことで体系的に考えられるようになったので、今後やりやすくなると思います。また、ニュートンさんにご教示頂いたリスクを抜け漏れなく洗い出す網羅性はさすがだと感じました。情報資産の整理方法を変更しても納得感がありましたね。

―当社のコンサルティングについて感想をお伺いできますか。

山家：3ヶ月という短い期間の中で、とてもスムーズに進めていただきました。質問すればすぐに答えてくださったり、次回のミーティングに反映されていたりと、向き合っていて気持ちが良いサポートでした。現場への説明に関しては苦労しましたが、そこにもアドバイスをいただけてありがたかったです。頭の整理になりましたね。

秋元：方法論を一方的に押し付けることなく、当社の考え方をきちんと汲んでいただけました。例えば「その方法では現場は対応できない」といった当社の意見を取り入れつつも、当初の目的通り、実効性があって審査にも役立つ支援をしていただけました。

―今後はどのようにリスクマネジメント活動に取り組む予定でしょうか。

山家：「保管場所単位でリスクを把握する」といった新しい視点を取り入れることで、リスクに関する考え方もかなり変わってきました。今回のプロジェクトで得られたノウハウやスキームを、他のリスクマネジメント活動の参考にすることもできるのではないかと考えています。これを機に、社内のリスクマネジメント活動全体をより有益なものにしていきたいですね。

―本日は誠にありがとうございました。