取締役専務　中澤 幸介 様

―貴社の事業内容をお聞かせください。

中澤：当社は、建設・住生活・危機管理の3つの分野のメディア事業を展開しています。長野県内で月3回発行の「新建新聞」は、建設業界が直面している課題をテーマに様々な情報をお届けするものです。地元の工事情報をお届けする日刊紙「新建JOHO」は、現在は紙媒体と電子版の両方でご提供しています。また、阪神・淡路大震災の直後に立ち上げた住宅ビジネス関連の新聞「新建ハウジング」は、全国の工務店を対象に月3回発行しています。

さらに、2007年からは、危機管理とBCPの専門メディアを立ち上げました。当初は紙媒体でしたが、2017年よりウェブメディア「リスク対策.com」の運営を開始。危機管理担当者に役立つ情報を日々発信するとともに、カンファレンスやセミナーなども開催しています。

―情報セキュリティについては、これまでどのような取り組みをされてきましたか。

中澤：当社では、情報漏洩の防止などを目的として、全社でMicrosoft365を導入しています。昔は社内にサーバを置いたり、LANケーブルを引いたりしていたのですが、2013年頃にサーバが壊れるという事故が起きました。バックアップはとっていたものの過去のデータが一部飛んでしまう事態となり、これを機に自社サーバではなくクラウドを利用しようということになったのです。

クラウドへの移行といっても、当初は業務により様々なクラウドサービスを利用していました。効率化とセキュリティ強化のためMicrosoft365に統一することになり、移行が完了したのは2017年末のことです。以降、セキュリティについては総務部の担当者がMicrosoft365の代理店と連絡を取り合い、何かあればすぐにサポートしていただくという形で対策してきました。

―ISMSへの取り組みを開始されたきっかけについてお聞かせください。

中澤：近年では、情報セキュリティの取り組みについてお客様からご質問を受けることも増えてきました。また、当社は「リスク対策.com」などで日々情報セキュリティの重要性について発信していますので、自分達がきちんとできていないようではいけないという考えもありました。

当社のような長い歴史のある業界紙などを発行している専門メディアでは、古くからの書類が大量にあるなどアナログな側面もあります。しかしながら、取材時に取得する画像や録音データ、個人情報など多岐にわたる情報資産を取り扱うメディアにとって、情報セキュリティは最重要課題の一つです。そのため、当社でもこれらの情報をしっかり守るべく、基本的なこと・当たり前のことは確実に対策する必要があると考えました。

もちろん、これまでも情報セキュリティに関するルールは社内に存在しましたが、明文化されていないのが問題点でした。そこで、ルールをきちんと明文化し、共通認識として定着させようと考えたのが、今回のプロジェクトのきっかけです。

―ニュートンのISMS認証取得支援サービスをお選びいただいた理由は何でしたか。

中澤：実は、取り組みを始めるにあたって、ISMSの認証基準であるISO27001の認証取得を目指すべきか、プライバシーマークの認証取得を目指すべきか悩んでいました。情報セキュリティ強化のためのはじめの一歩として、まずは個人情報保護に特化したプライバシーマーク取得に的を絞った方がやりやすいのではないかと考えたのです。

この点について検討するため情報収集をする中で、以前からお付き合いのあったニュートンさんにご相談をさせていただきました。そして、ISMSとプライバシーマークの認証の違いなど様々なことを教えていただき、当社の場合はISMSの取得を目指す方がよいだろうという決定に至りました。よりカバー範囲の広いISMSなら、自分達で守りたい情報資産は何かを決めて、柔軟かつ臨機応変に対応できると考えたためです。

―プロジェクトの概要を教えてください。

中澤：今回のプロジェクトのゴールは、情報セキュリティマネジメントシステム（ISMS）を構築して情報セキュリティで求められる顧客ニーズや法的要件に対応することでした。そのため、ISO27001の認証取得を目下の目的とせず、今回はISO27001に準拠したISMSの基盤作りを目的としました。

これまで、当社では情報セキュリティに関するルールが曖昧だったり、部門ごとに独自のルールで運用されていたりと個別最適になっており、全社として統合された仕組みにはなっていませんでした。そのため約1年間をかけて、体制整備、情報資産の洗い出し、リスクアセスメント、情報セキュリティルールの構築等、ISO27001の要求事項を一つひとつ決めていき、最終的にはPDCAを1サイクル回すことができました。

―今回のプロジェクトで苦労されたことはありますか。

中澤：当社には情報システムに詳しい社員があまりおらず、またメディアならではの事情もあり、ルール作りには苦労しました。例えば、USBメモリの取り扱い一つとっても、「使用禁止」にすればルールとしては分かりやすいですが、当社ではそうはいきません。セミナーの際に講師の方から受け取ったり、写真撮影の度にPCに接続してデータを取り込んだりと、どうしても業務の中で使用する頻度が高いのです。そこで、どのようにすればセキュリティを確保しながら安全に利用できるのかについて、ニュートンさんにもアドバイスをいただきながら検討していきました。

このように、様々な事柄について、一つひとつメディア企業である当社に適した方法を検討するのはなかなか大変な作業でした。とはいえ、後々守れないようなルールは策定しても意味がありませんから、現場の業務に即したルールを整備すべく、細かな方法や手順について現在も引き続き整備を続けています。

―今回のプロジェクトの成果はいかがでしたか。

中澤：ユーザーズマニュアルなど、基本的なルールができたことが成果といえるでしょう。特別高度なことではないにせよ、ルールを明文化して社員全員に共有できたのは有意義でした。

マニュアル作成にあたっては、ニュートンさんからいただいたテンプレートをもとに、何度も見直しや書き直しを行いました。事務局で作成したマニュアルを全社に公開し、社員からたくさんの質問や指摘を受け、さらにマニュアルを改善するということを繰り返しています。事務局では認識できていなかった運用上の細かな課題や問題点が見えたのも、まずは基本的なルールを提示できたからこそだと思います。

また、多くの質問や指摘があったということは、それだけ社員がこのマニュアルをしっかり読み、各自の業務と照らし合わせて考えてくれているということでもあります。まだまだ詳細を詰めきれていないところや改善が必要なところもありますが、このプロジェクトを通じて情報セキュリティに対する社員の意識は確実に高まったといえます。

―ニュートンのコンサルティングはいかがでしたか。

中澤：プロジェクトの進行管理を非常にしっかりとしていただけたのが心強かったですね。当社には情報システム部はなく、事務局の体制が十分に整っていない中で、次にやるべきことの準備やミーティングの設定などを上手に進めていただけました。少し甘えすぎてしまったかな、と感じているくらいです。

―今後の取り組みについて教えてください。

中澤：当社の今後の目標として、まずは東京本社のみでISO27001認証を取得したいと考えています。もしも不適合が出て指摘をいただくとしても、それも次への改善につながりますから、前向きに臨みたいですね。

また、個人的な覚悟としては、今後一年ほどは私自身が中心となって情報セキュリティの取り組みを強力に推進する考えです。もともと私は担当役員としてプロジェクトを監督する役回りでしたが、取り組みを強力に推進して定着化を図るには、ある程度トップダウンで進めることが必要だと感じました。仕事柄、多くの企業のトップの方々にリスクマネジメントの取り組み成功の秘訣についての取材をさせて頂いてきましたが、成功されている企業はやはりトップが真剣に牽引されている場合が多いからです。私も情報セキュリティに取り組む体制を十分に整備し、社内にしっかりと根付かせた上で、ほかのメンバーに引き継ぐ形にできればと考えています。

今回のプロジェクトでは、ニュートンさんに支援いただきながら基本的なルールを策定できました。引き続きPDCAのサイクルを回しながら、自律的な運用の実現を目指していきます。

―本日は誠にありがとうございました。