リスク管理Navi
リスク管理Naviは、リスクマネジメント(Risk Management)に関しての情報サイトです。
ユニークビジョン 様
お客様 |
取締役CTO 青柳 公右平 様 プログラマー 星野 久人 様 |
---|---|
ニュートン・コンサルティング |
取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介 シニアコンサルタント 日下 茜 |
ユニークビジョン株式会社様は2008年に設立され、ソーシャルメディアマーケティングツールの提供やソーシャルメディア活用・運用コンサルティング等を中心とした事業を展開していらっしゃいます。業務上、個人情報をはじめとする様々なデータを取り扱い、今後の業容拡大も見据える中で、情報セキュリティ対策の一層の強化に向けてISO27001 情報セキュリティ(ISMS) 認証取得支援サービスをご利用いただきました。今回、取締役CTO の青柳 公右平様、プログラマーの星野 久人様にお話を伺いました。
青柳:当社ではソーシャルメディアに関わるシステム開発やSNS運用のコンサルティング、ツールの提供などを行っています。まれに受託開発などを行うことはありますが、ほとんどはソーシャルメディアに関わる業務ですね。特に多いのはTwitterやFacebookで、最近はLINEにも力を入れています。お客様からの要望があれば他のソーシャルメディアを扱うこともあります。
青柳:当社は大手ソーシャルメディア向けのサービスを提供している関係上、セキュリティに関しては早くから取り組んでいます。3年ほど前から社内でセキュリティ委員会という組織を立ち上げ、情報セキュリティ向上のための活動を行ってきました。自分たちで社内のセキュリティを考え、足りないところを探し対応するのですが、その活動はISMSやPマークといったフレームワークに沿ったものではありませんでした。
青柳:社内のセキュリティ委員会の活動の中で、ISMSやPマークについては「ツールとして使えるのではないか」という思いを持っていましたが、本格的にISO27001認証取得に向けて動き出したのは、大口のお客様からの「契約締結の手続きを簡素化したい」という要望がきっかけです。プロモーションツールを使っていただくお客様では、1カ月、数週間といった短期契約をいくつも結ぶことが多くなりますが、その度に様々な契約書を準備していると業務が煩雑になってしまいます。ISO27001認証を取得していれば契約書の数を減らせるということでしたので、今回のプロジェクトで取得しようと決めました。
青柳:まずは自分たちでインターネットなどでISO27001に関する資料を探しましたが、あまり見つけられませんでした。規格書も持っておらず、ここは外部のコンサル会社にお願いしようということになり、比較検討に入りました。5、6社に会って話を聞いたのですが、認証取得の方針やコストがコンサル会社によって全く違いましたね。
中には、「この書類に記入したら全て終わりです」というような、当社がコンサルタントに丸投げできるようなところもあったのですが、そのような会社は違うと感じました。というのも、当社では認証取得を決める前から情報セキュリティ委員会を立ち上げていたこともあり、「自分たちできちんとやりたい」という強い意志があったからです。認証取得ありきの活動ではなく、実務に活かしたい。ニュートンさんとはその辺りの考え方が一致し、しっかり取り組めそうだと感じたので決めました。
青柳:ニュートンさんによるISO27001勉強会とトップインタビューで認証取得に向けた下地を整えた後、社内のセキュリティ環境や情報資産などの現状をISMSの要求事項に照らして細かく確認しました。また、事業影響度分析やリスクアセスメントを行って自社のルールを洗い出し、足りないルールは補っていきました。
その後、完成したルールを自社の「ISMSマニュアル」として文書化し、社内に周知した上で内部監査を実施しました。内部監査に当たっては、あらかじめ実施のポイント等のレクチャーを受けています。このようにして体制を整え、ISO27001の審査に臨みました。
こうしたプロセスの全般において、都度ニュートンさんのガイダンスやレビューを受けながらも、常に当社が積極的に手を動かしています。ISMS運用マニュアルなどの文書類も、ニュートンさんの助言を参考にしながらゼロベースから作りました。「自分たちできちんとやりたい」という意志を反映した進め方でした。
星野:そもそもISMSの用語が普段使っている言葉とは違うので、社内の言葉と照らし合わせながら自分たちにどう該当するのかを考えなければなりません。面白さはありましたが、大変でしたね。認証を取得することだけ考えればISO27001のガイドラインをそのまま社内ルールにすれば良いのですが、当社ではISMSの用語を日常業務の言葉に落とし込み、文化として社内に広げたいと考えていました。最終的には、何も考えずに普通に業務を行っていればISO27001に適合するという状態にしたかったからです。
そのためにも、既存の社内ルールにどうISO27001の必要要件を取り込めるのかを考えました。問題がある点は改善すべきですが、上手く回っている部分はそのまま業務を行っていればISO27001に適合しているという形にしたかったので、ISO27001と社内ルールの差分を洗い出し、適合しない部分は直すという形で進めました。
青柳:大変だったのはバックアップの問題ですね。当社のシステムは、様々な方法でバックアップを行なっているのですが、統一した方針等が存在せず、通知の方法などもバラバラでした。今回のプロジェクトをきっかけに、バックアップの方針と手段を定め、情報を集約し、全てのバックアップの状況を一目で把握できる状態にしました。ただ、審査でも指摘されたのですが、リカバリがきちんとできるかどうかのテストができておらず、現在はそれを進めています。
バックアップの方針の確立・手段の明確化を図ったことで、気づかずにバックアップが止まっていたものやエラー通知が届いていなかったものを洗い出して整備することができました。今回のプロジェクトに取り組んで良かったポイントの一つです。
青柳:コンサルタントからのアドバイスもあり、不適合は「改善の機会」と捉えるようにしていました。なぜなら「不適合を出さないようにするためにはどうしたらいいか」という考え方にとらわれすぎると、常にコンサルタントに正解の提示を求めたくなります。審査員から指摘されたらそれを安易に受け入れる癖がついてしまうからです。つまり、自分たちで考える力を失ってしまうのです。
自分たちで「これがいい! これはいらない!」と思って考えた結果、出てきた不適合であれば、それはむしろ自分たちの気付きにつながるわけですし、前向きに捉えられるようになりました。結果、一次審査では不適合がそれなりに出ましたが、出ないことの方がむしろ問題だと考えていたので、正直なところ、出て良かったですね。その後、二次審査を経て無事ISO27001認証を取得することができました。
青柳:ISO27001更新に向けて継続審査を受けなければなりませんので、現在はそのための活動を行っています。経営層から「今年は工数を掛けすぎないように」と言われているので、時間を決めて効率的に活動できるようにしています。
認証取得後は現場の意識も変わってきました。何かあれば「これはインシデントではないか」という報告が上がってきますし、順守すべきところは現場できちんとやってくれています。ただ、忘れがちなこともありますので、今後も社内に貼り紙をするなどして浸透を図っていきます。
青柳:コンサルタントに丸投げするのではなく、最終的には当社が手を動かすという流れで進められて、ためになったと感じています。これから継続審査などもある中で、2年目、3年目は自分たちできちんとできるように導いていただきました。せっかく認証を取得しても、その後のことを自分たちでできないとまたコンサルタントに頼ることになってしまい、それはおかしな関係性だと思っていましたので、1回でノウハウを身に付けることができてありがたかったです。
また、ツール類が非常にしっかりしていて使いやすかったです。ISMSはやるべきことが非常に多いのですが、まともにやっているといくら時間があっても足りません。その点、「これとこれとこれは一緒にできる」などが考えられており、資料にまとまっていましたのでスムーズでした。
全体的に、当社の規模に合ったコンサルティングをしっかりしていただけて、心強かったですね。近々オフィスを移転する予定があるのですが、これから会社規模が大きくなっていく中で、壁に直面することもあるかも知れません。その時はまたお声掛けできたらと思います。
名称 | ユニークビジョン株式会社 |
---|---|
所在地 | 東京都新宿区新宿2丁目12-8 ACN新宿ビル4F |
設立 | 2008年1月15日 |
事業内容 |
ソーシャルメディアマーケティングツール「Beluga」シリーズの提供 ソーシャルメディア活用コンサルティング Twitter, Facebook, Instagram, LINEのAPIを利用した開発 メディア事業 |
利用サービス | 経営に役立つISO27001情報セキュリティ(ISMS)認証取得支援サービス / ISO等 認証取得支援 |
シニアコンサルタント
日下 茜
真に経営に役立つISMS活動
本プロジェクトは星野様がおっしゃっていた「魚を与えるのではなく、魚の釣り方を教えよ」(中国の老子の言葉)という言葉をまさに体現されたプロジェクトでした。プロジェクト開始当初より「お客様が圧倒的当事者意識を持って推進されたこと」、「合格ありきではなく、自社に役立つことありきで邁進されたこと」、「コンサルタントはあくまでもコーチング的立場で支援したこと」という点で非常に意義があるプロジェクトだったと考えています。
ISMS認証取得そのものが目的化し、表面的な活動となって形骸化してしまう企業様もある中で、ユニークビジョン様はISMSの要求事項を形式的に捉えず、本質を汲んで実践していらっしゃいました。これによって社内で自発的・継続的にPDCAを回し、真に経営に役立つISMS活動を確立することができたと思います。この度はISMS認証取得、誠におめでとうございます。