ISO/IEC27001（情報セキュリティマネジメントシステム：ISMS）

JIS Q 27001（ISO/IEC 27001）は、組織が自社で保護すべき情報資産を洗い出し、
各情報資産に対して機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）
をバランスよく維持し、改善していくことを可能にする仕組みを構築することを目的とした規格です。

ISO27001の
無料お見積り

ISO27001に関する
ご相談はこちら

CASE.1

【連載：効果的な運用事例　マインズ様 [ISO/IEC27001] 】
取引先に応じセキュリティレベルの向上を図る
現場中心の仕組みを導入し
行動マニュアルや失敗事例から業務の効率化につなげる

取材先：株式会社マインズ
左：取締役／デジタル・クリエイティブDiv. マネージャー　加藤和彦様
右：情報システム室マネージャー　古田義博様
*所属役職等は取材当時のものです。

株式会社マインズ様（本社：東京都港区海岸2-1-24　URL：https://www.mind-s.jp/ ）は、企業のマーケティング活動に関わるコンサルティングや、プロモーション活動に関わる企画、制作などを手がけるIT企業です。2007年にISO/IEC27001認証を取得。その後、審査機関を変更して2018年10月に日本能率協会審査登録センター（JMAQA）の審査を受けて、認証の移転を行いました。
今回、情報セキュリティマネジメントシステム（ISMS）の運用に関わる、取締役／デジタル・クリエイティブDiv. マネージャー　加藤和彦様と情報システム室マネージャー　古田義博様に、導入のメリットや認証機関の比較、今後の展望などをうかがいました。

1.取引先から要請を受けて取得

−ISO/IEC27001の認証取得の経緯をお聞かせください。

古田様：取得の背景は、お客様からの要請です。さまざまお取引様から、ISO/IEC27001の認証取得は済んでいるのか問われることが多くなりました。

弊社の大きなお取引先のひとつに総合電機メーカー様、そのグループ企業様があります。また国内の有力企業様との直取引をさせていただいております。各社様から情報セキュリティに関して、求められるレベルが高くなってきたのを契機にISO/IEC27001取得へと向かいました。

−ISO/IEC27001の登録範囲の「マーケティング・コンサルティング事業、プロモーション・プランニング事業、メディアコミュニケーション事業、ITサービス事業」では、お客様からさまざまな情報を預かっていらっしゃると思いますが、たとえばどんな情報ですか。

古田様：工場のリニューアルやショールームの公開など、お客様のクライアント（エンドユーザー）様がツアー形式でご覧になるような施設を作る際、非公開画像やそれを元に作成されたパネル類、イベントで発表する未発表の製品情報など多様です。

また、エンドユーザー様に対するダイレクトメールの発信する際の顧客リストの取り扱い、さらにキャンペーンに応募してくるユーザー様の個人情報などもお預かりしています。

加藤様：Webコンテンツの元情報として、未公開・非公開の内容も含めた商品情報やリリース情報など。企画の為に営業用資料や社内打ち合わせ用の資料をお預かりすることもあります。

2.IT業界の文化を変え、ドキュメントの管理を改善

−さまざまな細かい情報や非公開情報を取り扱う仕組みとして、ISO/IEC27001に対応したISMSを運用されているのですね。認証取得からだいぶ時間が経っていますが、運用の継続でマンネリ感などを感じることはありませんか。

古田様：いえ、運用はむしろ発展途上であり、まだまだ全社員に浸透しきっているとはいえません。
この業界の風潮として、業務の内容を口頭ペースで伝えてしまうことがあります。また、案件進行中に施策の追加や仕様変更が入ることが多々あり、契約書で最初に業務を決めるという文化が育ちにくい実情もあります。

もちろんISMSを導入した成果として、契約書の内容に沿って業務を進めるなどの改善はここ数年でようやく定着化してきました。クライアント様、パートナー（業務提携先）様とのやりとりも議事録として形に残す習慣がなかったので、引き続き改善を進めています。

加藤様：それに加えて、社員の「行動マニュアル」を作成しました。マニュアルを作るにあたり、情報管理台帳を作成して、弊社ではどういった情報を取り扱うのかをリストアップしました。この業界はプロジェクトの規模に合わせて人的リソースを確保するため、人材が流動的です。そのため、入社初日にオリエンテーションを実施して、スムーズに弊社の情報セキュリティの方針について知っておいてもらえるようにしています。

◇図表１「行動マニュアル」（一部抜粋）
下記画像をクリックすると拡大します。

3.理解度チェックテストで力量を確認

−ISO/IEC27001導入のメリットをお聞かせください。

古田様：導入をきっかけに、従業員に情報セキュリティに関する「理解度チェックテスト」を実施するようになり、力量の確認などの点で、効果を上げています。ISMSとは関係が浅い営業部隊でも、テストのあとにある解説の項目まで学んでもらっています。さらに、自分たちの経験をもとに、現場主導で理解度テストの問題なども作成してもらい、意識の共有化が進んでいます。

◇図表２「理解度チェックリスト」（一部抜粋）
下記画像をクリックすると拡大します。

加藤様：また、失敗事例を「ISMSセキュリティ事象記録一覧」に残すことで、インシデントが起きたとき、解決策が示せます。記録に残すことで当事者以外にも周知できるようになりました。

◇図表３「ISMSセキュリティ事象記録一覧」（一部抜粋）
下記画像をクリックすると拡大します。

4.情報漏洩のリスクを回避するため認証取得

−貴社のように、大企業がクライアントのビジネスですと、万が一情報漏洩などの事故が起きたときはインパクトが大きいですよね。社員の意識付けは大きな課題ですね。

古田様：前述の総合電機メーカー様のショールームや新製品情報の取り扱いのほかに、通信インフラ事業者様のWebサイトの運用も担当させていただいております。この企業様の運用フローは特に強固なものですので、そこに対応できるように注力しています。

また事故として大きな影響が出るのは、人材系ビジネス企業様などです。個人情報の取り扱いもたいへん慎重ですので、弊社も最初はPマークで対応もと検討しました。ですがより堅牢なISO/IEC27001を導入の判断をしています。

5.どういう基準で審査するのかが重要

−では、審査機関を他の審査機関から日本能率協会審査登録センター（JMAQA）に移転したいきさつを教えてください。

古田様：2007年の認証取得の時から、約10年間、以前の審査機関に審査していただきました。移行の理由の一つは審査へのスタンスです。JMAQAには、審査員との面談でどういう基準で審査するのかの説明を詳しく説明してもらい、規格の解釈などについての冊子も受け取り、大変参考になりました。

また、認証の維持コストももちろん見ました。いくつかの審査機関のコストを調査・比較して、ほかにももっと低価格の審査機関もありましたが、そちらは社内の評価が低かったのです。電話などでの売り込みが激しく、応対した従業員にも不評で、審査対応への協力が得られにくくなる恐れがありました。

−JMAQAでの審査を一回受けていただきましたが、どんな印象でしたか。

古田様：期待以上だったのは、審査の前の打ち合わせで、審査員の方に「どういった視点で審査をしてほしいですか」とこちらの要望をヒアリングしてもらえたことです。以前の審査機関とはそういった機会が持てず、意図がかみ合わない審査が多かったです。

また、JMAQAの審査には、セキュリティという観点だけではなく、情報という商材を扱う会社としての審査を希望しました。つまりISO9001の品質管理的な視点での審査を望んでいたのです。実際に受けたところ、そういう視点で審査してもらったから、現場も理解しやすかったのです。その成果は大きかったですね。

たとえば現場に「理解度チェックテスト」などを作ってもらい、実施していた点などにも着目して評価してもらいました。その評価を現場に伝えると、やる気が出て自信もついたようです。こうした期待以上の効果がありました。

6.他社事例も踏まえての審査に満足

−逆に、もう少し改善して欲しい点などはありましたか。

加藤様：審査員の方は上から見るというより、現場視点で見ていただくことを望みます。もちろんこの現場の視点ということでは、JMAQAの審査は満足する内容でしたし、今後も現場視点を重視した審査をお願いできればと思います。

関連しますが、たとえば弊社のチェックシートは重すぎて、現場で回らないのではないかという指摘を受けました。現在担当してもらっている審査員には、他社と比較してコメントしてもらったのは大変助かりました。私たちは他社の事情はわかりませんから。私たちは「これくらいやらないとダメなんではないか」と考えてやり過ぎてしまう傾向があります。他社と比較した意見などは歓迎です。

7.「できること」だけを盛り込む仕組みにする

−一度、仕組みを作ってしまうと、削除しにくい場合もありますからね。

加藤様：「やらせたいこと」や「やりたいこと」を規定に盛り込んでしまうと、「やらなければならないこと」になってしまうので、「やらないこと」をやるつもりになってマニュアルに盛り込んでしまうとあとで大変なことになります。マニュアルに載せることは、「できること」だけにしようと話し合っています。
この話を審査員の方にしたら、「それでいいと思います」と言ってもらいました。以前の審査機関は、やらなくてはならないことに絞りましょうというスタンスでした。現場がついて来られないと意味がないですからね。

一方で、これは審査制度の面で難しいことだとは思いますが、審査機関は「コンサル業務はできない」とおっしゃいますが、他社事例などもわからない私たちとしてはベンチマークとなる他社事例をアドバイスとしていただけるとありたがいと思っています。

8.情報の重要度に即したレベルを設定

−「情報資産台帳」から特徴的な事項を教えてください。

加藤様：どの部門がどの情報を扱うのかを規定しています。社内で共有する際も、各部門によって限定する必要があります。たとえば、フォルダごとにアクセス権を設定したり、紙媒体のドキュメントはカギのかかる書庫に保管するなどです。
万が一、情報が漏洩した場合にも、事業継続にどれだけの影響があるかなどを決定しています。

これらをもとに行動マニュアルに落とし込んで指針を記載しています。また、それぞれの情報に対して、「極秘、秘密、非公開、公開」と4段階レベルを設定して、どう扱うかを決めています。これらについて、営業サイドや事務局以外の人材で構成された「ISMSプロジェクト」で適宜検討しています。

◇図表４「情報資産台帳」（一部抜粋）
下記画像をクリックすると拡大します。

9.「業務委託先監査チェックシート」を利用して委託先を監査

−内部監査、マネジメントレビューなどで特徴はありますか。

加藤様：弊社はパートナーに仕事を依頼する場合もあるので、委託先監査でも「業務委託先監査チェックシート」を使って確認しています。チェックしたデータは点数評価して、より重要な仕事を任せられるかを判断する材料に使っています。
また、事務局にあがってきたインシデントやヒヤリハットの情報を一覧にまとめて、全社員が閲覧できるようにしています。

◇図表５「業務委託先監査チェックシート」　監査側用（一部抜粋）
下記画像をクリックすると拡大します。

◇図表６「業務委託先監査チェックシート」
これは被監査側にご提出いただきます。
下記画像をクリックすると拡大します。

◇図表７「業務委託先監査ご協力のお願い」（一部抜粋）
監査の目的、どういった点を監査するのかをまとめています。
下記画像をクリックすると拡大します。

◇図表８「業務委託先監査評価基準について」（一部抜粋）
チェックシートの結果をこの基準で評価します。
下記画像をクリックすると拡大します。

−今後、ISO/IEC27001をどのように活用しようと考えていますか。

古田様：さらなる業務の効率化に役立てたいと思います。
行動マニュアルや失敗事例などは業務の効率化に使えます。事務局の人間として、もっと多くの社員にこの仕組みについて関わってもらいたいのです。現在、内部監査員は3人ですが、来期より2人増員します。

また、ISMSプロジェクトのメンバーに理解度チェックテストや業務委託先の監査の段取りなどを任せたいです。より現場の目線からやっていきたいことを掘り出して欲しいからです。
従業員には、セキュリティという言葉を使うと理解しづらいため、特別視して身構えてしまう傾向がありますが、ISMSの中で、現場の業務がどのように規定や要求事項にあてはまるかを考え、現場中心での視点を育てていきたいです。

加藤様：世の中のセキュリティ意識は年々高まっていると感じています。
近年の広告シーンにおいては従来のようなワンソースのメッセージを広く発信するだけでなく、スマートフォン・SNSなどの活性化、インターネット広告の技術発展にともない、個人に対してカスタマイズした情報を発信するケースが増えています。

これに対するユーザーの警戒心も高まっており、コミュニケーションのプラットフォーム自体がセキュリティを担保するだけでなく、コミュニケーションを扱う・設計する側のモラルの育成も必須となってきており、ISO/IEC27001を活用していきたいと考えています。