ISO/IEC27001（情報セキュリティマネジメントシステム：ISMS）

　　　　　　　　　　　　　　　　　　　　　　　　取材先：スペック株式会社
　　　　　　　　　　　　　　　　　　　　　　　　　　　　代表取締役社長　　羽賀 浩 様（写真）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　システム支援担当　川野 厚子 様　　　*所属役職等は取材当時のものです。

システムインテグレーターのスペック株式会社様（本社：新潟県三条市猪子場新田117　URL：http://www.spec-j.co.jp/index.html ）は、取引先企業の情報保護の観点から、2008年に、ISO/IEC27001情報セキュリティマネンメントシステム（ISMS）の認証を取得しています。
技術者集団である同社ならではの人材構成から、情報漏洩などを防ぐための仕組み作りを積極的に導入、運用してきました。また、教育訓練の観点からも、ISMSを意欲的に取り込んでいます。認証取得時からISMSに関わってきた代表取締役社長・羽賀 浩 氏とシステム支援担当・川野 厚子 氏に認証取得からこの10年の運用についてうかがいました。

1.自社の業務をそっくり仕組みに乗せ替える

−2008年にISO/IEC27001を認証取得されて10年あまりが経っていますが、取得の経緯とこの10年についてお聞かせください。

羽賀様：私どもはシステムインテグレーターとして、iPhone/iPad/Android などのスマホ・タブレットアプリの開発から、クラウドコンピューティング分野ではショッピングカートシステム、商品・在庫検索システム、スケジュール管理システム、顧客管理システムなどインターネット上で運用できるシステムについて幅広く開発しています。またクライアント・サーバ型システム開発の分野でも社内LANを構築し、クライアント・サーバ型システム開発を行っています。特定業種業態にこだわらず、お客様組織の業務スタイルに合わせた専用システムを開発するビジネスに強みを持っています。

ISO/IEC27001に取り組んだ経緯は、2008年当時、お客様に個人情報を扱う企業が増え、そのシステムを開発する案件に対応するため、お客様からぜひ当社も取得してほしいと勧められたからです。

取得して10年経ちましたが、当初はISO/IEC27001やISMSがいったいどういうものかまったくわからず、コンサルタントの方の指導のもと、システムを構築してまわしてきました。しかし、継続していくうちにこの仕組みの運用方法が見えてきたのです。

実はISMSを導入するまで仕組みらしきものは当社にはなにもありませんでしたが、運用していく中で、自社の業務をすべて仕組みの中に乗せてしまうことができるようになってきました。リスク管理、事業継続など企業として取り組まなければならない項目が明記されているので、運用の手助けになったとも感じています。

2.口約束がなくなり事故防止につながる

−現場担当から見て、導入してよかった点をご紹介ください。

川野様：当社は約20人規模のシステムインテグレーターとして、ビジネスを展開するあたって社員が全員同じ方向を見て進んでいくことを重視してきています。ISO/IEC27001の取り組みをはじめる前は、事業継承のことなど考えたことがありませんでした。たとえば社員の健康管理なども自己責任に委ねている状況でした。
しかし、ISOの仕組みの中で、それらのやるべきことがだんだん見えてきたのです。それを着実に実行していく中で、社員の方にも仕組みをまわしていく意識が芽生えはじめたきたと感じています。

とりわけ情報セキュリティについての規格ですから、いままで口約束で進めてきた案件を記録に取るようになるなど事故発生の防止の面で大いに役に立っていると考えています。

●認証範囲に総務部門も入れることで全社をあげて情報セキュリティのレベルを担保しています。

●開発部隊の仕事もISMSで見える化がすすみ、プロジェクト進行がよりスムーズになっています。

3.教育訓練などによりマンネリも打破

−顧客の情報を扱うことにおいてISMSはどんなメリットがありますか。

羽賀様：売り上げデータなど顧客にとって重要データは、私たちが閲覧しようとすれば閲覧できてしまうのです。お客様の会社のデータベースにリモートで入って直接データに触れることもあります。
悪意があれば、データを悪用できる立場にあるのです。もちろん悪意などなくても情報漏洩などを起こすわけにはいきません。そのため生データを受けとらないとか、情報をマスキングするといったさまざまな対策をISMSを導入してから確実に実施してきました。

－ISMSはある意味、保険のようなものですよね。何も事故がなければうまくまわっている証だし、何かが起こる手前で未然に防げればそれもよく機能している。そうした仕組みですが、どういった点にプラスに感じていますか。

羽賀様：私たちは技術者集団ですから、技術を駆使すればさまざまな情報にアクセスして取り扱うことができてしまいます。ですから、事故が起きないように万全の運用をするには、やはり教育しかないと考えています。ソフトウエアや管理ツールも多様にありますが、結局、それを使うのも設定するのも社内の技術者です。

私たちの仕事で情報セキュリティのレベルを上げるうえでは、情業員の教育が重要になってくるのです。この教育、言い換えると意識づけですが、この面でISMSの導入、運用は大変効果的だと感じています。

川野様：やはり年に一度のJMAQAの審査は私たちにとって重要です。そのひとつが活動の見直しにつながることです。審査員には私たちの気づかなかったポイントをいろいろ指摘してくれるので、さらにそれを改善につなげていく。外部の声を審査の中から気づき、取り入れていく。これは大切なことです。

羽賀様：審査を受ける側こそISMSを運用する当事者なので、しっかり理解することが必要だと考えてきました。そこでいままで教育に力を入れてきています。
毎月、ISO/IEC27001や情報セキュリティ全般に関連するテスト問題を10個作り、社員に受けてもらっています。

最近は少々マンネリ化してきたので、今年から実務のシステム開発の改善点を挙げ、改善会議で協議するという施策を進めています。この会議体であがってきた議題に対して、改善案を報告することで社員の意識を高めることができていると思います。いままでバラバラだった社員の考えが、会社として体系的に構築するのが狙いです。

川野様：現場のマンネリ感は納期や品質などの面でも、システム開発の場では永遠の課題です。

もしISMSがなかったら、納期短縮や品質もすべて個人の人頼みになってしまいます。仕組みがあればそれらにどう取り組めばよいかかのヒントが書かれている。システムも複雑になり、現場の仕事もより大変になってきています。

仕事以外にも、改善会議なども増えていますが、仕組みをうまくまわしていくプロセスでは避けては通れない道だと考えています。

羽賀様：導入より10年が経ち、最初は、事務局以外は関係ないと考えている社員が多かったのですが、いまは全員で取り組めるようになってきました。現状では全員が内部監査員になっています。

4.力量の見える化でプロジェクト品質が均質化

−システムインテグレーターの仕事では全体の進行管理が最大の課題になると思います。そのために、さまざまなインシデントの発生リスクに対して、組織として情報共有、予防策をとるといった対応につながっていますか。

羽賀様： ほんとうに今までは人任せだったのです。この人に頼むとうまくいく、あの人に頼むと遅れがちなど、個人の力量について経験から推し量るような慣習がありました。

しかし、ISMSを導入することにより、会社として力量の見える化が進み、誰がどのプロジェクトに入っても、品質がほぼ等しくアウトプットできて、管理もしやすくなりました。

プロジェクトの進行管理のツールもいろいろ出てきて、以前よりは管理しやすくはなってきていますが、プログラム自体も同時に複雑になってきています。そこでいま、考えているのは、プログラミングを必要としない、ノンプログラミングツールの導入の可能性を調査しています。ノンプログラミングツールが採用できれば、プロジェクトの進め方が劇的に変わるからです。

また力量の問題に関しても、プログラマーとSEの境界線は曖昧です。プログラムが書けたとしても、お客様の業務の全体を把握、問題を抽出、改善して業務を効率化させる提案ができるとは限りません。もともと素質の問題もあります。

会社としては、いわゆるビジネス・プロセス・マネジメントができる社員を育成したいのです、私たちはシステムインテグレーターとして一段上のステージを目指していますから。今後、ここでISMSの仕組みを使うことで、社員の力量向上につながっていくと大いに期待しています。
将来的には、プログラマーやSEもランク付けしてISMSでいう力量を明確化したいと思っています。ここは簡単にできるとは思っていません。もしかしたら、力量を測るツールが必要かもしれません。自分の力量に見合った仕事を割り振らないと会社としても個人としてもいい結果は生みませんから。

川野様： その力量についてはISO/IEC27001でも明確化しなさいと書いてあります。いま、みんなで基準をどのように策定したらよいかを話し合っているところです。人を育てる仕組みを構築するのが今後の課題です。基準ができれば社員も働きやすくなるのは間違いありません。