ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)
JIS Q 27001(ISO/IEC 27001)は、組織が自社で保護すべき情報資産を洗い出し、
各情報資産に対して 機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)
をバランスよく維持し、 改善していくことを可能にする仕組みを構築することを目的とした規格です。
CASE.3
【連載:効果的な運用事例 日税ホールディングス 様 [ISO/IEC27001] 】
日税グループ:ナンバーワンではなくオンリーワンを目指す
情報セキュリティ対応と経営戦略とは?
ISO27001認証取得のねらいに迫る
日税グループは50周年を迎える中で、新たなガバナンスの仕組みとしてホールディングス体制の導入を図りました。この体制移行の一環として、2023年12月、情報セキュリティマネジメントシステム(ISMS)のISO27001の認証をグループ10社一括で取得しています。
あああああ
あああああ
PART1 吉田会長インタビュー
取材先 : 株式会社日税ホールディングス 代表取締役会長(CEO) 吉田 雅俊 様
(聞き手:日本能率協会審査登録センター(JMAQA) 副センター長 伊藤 新二)
a
1. 税理士とそのお客様を結ぶプラットフォーマーとしてオンリーワンビジネスを追求
−日税グループは税理士業界においてどのようなサービスを提供しているのですか。
私ども日税グループは、税理士と税理士の関与先・顧問先であるお客様を結ぶプラットフォームとして機能しています。このプラットフォームで提供しているサービスは、税理士とそのお客様の経営者向けの保険業から始まり、税理士報酬の集金事務代行事業や各種研修事業、不動産情報サービス事業、事業承継に関わるコンサルティング業務、さらに信託業務など、多岐にわたっています。
そもそも税理士が他の士業と大きく異なるのは、日常的にお客様と密接な関係を築いている点です。企業の「掛かりつけ医」とも言われる税理士は、単に税務関連の相談事に関わるだけでなく、経営にあたってお客様が抱えているさまざまな問題に向き合っているのです。これらの問題について、どのように解決するか、日税は税理士と相談しながらソリューションを考え、税理士のお客様に対して税理士と共同で提案しており、まさに税理士と一緒にビジネスを創り上げてきました。
−税理士のお客様のニーズに基づいて、プラットフォーマーとして役立つサービスを企画して提供してきているわけですね。
税理士に対してサービスを提供する組織は数多くありますが、日税のように、税理士だけでなくその先のお客様をも主眼においたサービスを提供しているところはありません。創業以来、税理士業界における「ナンバーワンではなく、オンリーワンの会社を目指す」というビジョンを掲げ、経営理念である「税理士とその関与先のために」何ができるのかを、常に考えて事業を展開してきました。
2. 税理士業務に深く関わる個人情報への対応を2000年代当初から徹底
-情報セキュリティへの対応を図ってきた経緯を教えてください。
先ほどの日税グループの紹介通り、私どもの事業の特徴として、税理士のお客様の個人情報に接する機会が非常に多いことが挙げられます。これらの情報、すなわち税理士が取り扱う情報については、漏洩などは絶対あってはならない、極めてデリケートな内容であることを強調しておきます。税理士は、お客様について、事業関連だけでなくプライベートも含めた情報に接しているのです。情報ということでは2000年以降、社会的な個人情報保護の高まりと法整備が進んだことをうけて、日税は、個人情報等を取り扱う事業者として第三者認証が必要であると経営判断をしています。
当時、早速プライバシーマークの取得に向けて動き出し、2005年にまずは主要なグループ会社である日税ビジネスサービス、日税不動産情報センター、共栄会保険代行で先行取得し、翌年日税サービスでも取得しています。以来、9回の更新審査を重ね、2024年1月迄にグループ7社で取得、更新し続けてきています。
3. PマークからISO27001への移行理由
――事業領域の拡大に伴い扱う企業情報が大幅に増加
-プライバシーマークを18年間維持していたわけですが、今回、情報セキュリティマネジメントシステムであるISO27001の認証を取得した理由を教えてください。
まず、「事業領域・法人ビジネス拡大」が挙げられます。プライバシーマークの対象はあくまでも個人情報ですが、今や日税グループが扱う情報は企業情報が中心に変わっています。日税グループの事業は、川幅を広げ裾野への展開を図ることで、順調に事業規模とその領域を拡大してきました。サービスのラインナップの拡充に伴い、個人情報の範疇には収まらない幅広い情報を扱うようになり、そのセキュリティ対応の必要性が出てきたのです。
以前の、個人の保険契約や税理士報酬の口座振替情報等、いわゆるB2Cのビジネスが中心であった時代は、プライバシーマークで事足りていました。しかしながら事業拡大と共に、M&Aやファクタリング事業等々、様々な企業を取引先とするビジネスの割合が増加してきたのです。同時に、社会的な要請として、個人情報だけではなく、企業は、自分たちが扱うすべての情報資産の管理の在り方を問われるようになってきたこともあります。
これらの変化を踏まえ、企業情報全般に関して情報セキュリティへの対応を図るISO27001へ移行すべきとの経営判断に至っています。
4. 50万社の企業情報を扱う「社会の公器」として万全な情報管理が求められる
−事業領域が拡がるにつれて扱う情報の種類が増えてきた、その中身も個人情報だけでなく企業に関する内容のウェイトが高まってきたわけですね。
他の理由としては「社会の公器」があります。日本の中小事業者数は320万社程度と言われている中で、日税グループ全体では約50万社を超える企業情報を扱っています。これほど膨大な情報を扱う、いわば社会的に大きな影響を及ぼす存在になっているのです。
日税グループの主要事業の一つに口座振替事務代行という決済機能を担うものがあります。経済活動を支える社会インフラともいえるでしょう。昨今のサイバーセキュリティへの対応強化やBCPの高度化が社会から求められる環境になっていることも、ISO27001への移行を後押ししています。情報セキュリティへの対応についてグローバル・スタンダードが求められており、国際規格であるISO27001がふさわしいということです。
また、「信頼の獲得」というねらいもあります。私どものビジネスにおいて信頼は何にもまして大切です。この信頼をさらに増すという点で、利害関係のない第三者である日本能率協会審査登録センター(JMAQA)が審査を担当するISO27001認証制度はまさに最適であると思っています。
-プライバシーマークだと足りないところがあるとの経営判断でISO27001に取り組んだことが分かりました。
さらにねらいを挙げると、「ホールディングス体制移行に伴う情報管理・利活用」があります。日税グループにとって50周年の節目にホールディングス体制へ移行しています。ホールディング会社を設立し、資本関係も整理して、グループとしての指揮命令系統も明確にしています。この動きの一環として、ガバナンスと内部管理体制の高度化を進めている最中にあり、情報管理もその対象に含まれます。
個社単位で個人情報管理の認定を取得するプライバシーマークから、日税グループを一体として捉え、個人情報を含むすべての情報管理の在り方を規定するISO27001は、まさにホールディングス体制に於いて求められるツールということです。
5. 業界「No.1」ではなく「オンリーワン」であり続けるための象徴
――万全な情報セキュリティ体制
−では実際に情報セキュリティマネジメント体制を導入して運用する意義についてお聞かせください。
まず、今回のISO27001の認証取得は日税の立ち位置にも関係があります。私どもが目指しているのは、業界「No.1」ではなく「オンリーワン」です。常にこの位置にいるためにも、万全な情報セキュリティ体制も欠かせないということです。
また、今回の認証取得には、高い職業倫理と品格を保持することで、その意義があると考えています。日税は、税理士とその関連団体をはじめとして、社会的・倫理的にも重要性の高いさまざまな業界から、高い信頼と負託を寄せられた企業グループであるとの自負があります。グループ全体にも「日税グループには高い職業倫理と品格」が大事であると説いています。こうした考えからも、ISO27001の認証は必要だと考えています。
6. 認証取得活動自体がさまざまな問題の提起の機会へ
−ISO27001に取り組んだ感想をお願いします。
先ほど紹介したホールディングス体制への移行に伴い、情報管理についても、グループ各社の事業別のデータベースによる運用体制から、数年かけて1つのデータベースに統合を図りました。ISO27001の認証取得の活動自体は半年間でしたが、データベースの統合の動きと連動したもので、これには時間をかけて取り組んできています。
データベースの見直しからはじまった一連の活動では大きな成果が得られました。それは、日税グループにおける情報管理の在り方について、どのような問題があるのか、改善すべき課題は何か、いろいろやるべきことが見えてきたのです。認証取得活動のプロセス自体、データベースの統合とその管理運営、そして肝心の情報管理の在り方に関して、極めて重要なサジェスチョンをもらえる絶好の機会になったとの認識です。
7. ISO27001の情報セキュリティ対応も「不易流行」で続けていく
-今後ISO27001をどのように活かしていきますか。
日税の経営理念は「税理士とその関与先のお客様のために」であり、お役に立てることは何でもやるというのが基本的なスタンスです。その際に「不易流行」という言葉がベースになっています。「不易」は言葉通り、時代を通しても変わらない、不変ということで、これはお客様のためにという意味です。「流行」は社会の状態や相手企業の状況などによって変わることが必要という意味です。この「不易流行」に基づくことで、お客様にとって高い満足感のサービスが実現するのです。
今回取得したISO27001の仕組みの運用を、今後、徹底していくことは、この「不易流行」に基づく行動とまさに重なってくるのです。
おかげさまで、日税グループには事業領域拡大に伴って新しい仲間の会社が次々と加わってきています。今回、日税ホールディングスを中心にグループ10社一括でISO27001を認証取得しました。この情報セキュリティへの対応について、同じやり方、同じレベルで、新しい仲間となる会社にもぜひともチャレンジしていただき、日税グループとしてレベルアップを続けて、お客様からさらなる信頼獲得につなげていきます。
PART2 推進事務局インタビュー
取材先 : 日税グループ ISMS認証取得推進事務局
(写真左から)株式会社日税ビジネスサービス 常務執行役員 社長室長 工藤 利治 様 社長室 調査役 清水 芳人 様 課長 松本 翔 様
1. グループ10社全体の足並を揃えて情報セキュリティに関する管理体制を構築
−ISO27001の情報セキュリティマネジメントシステム(ISMS)の導入を主導した事務局の立場から、まず今回の取り組みの感想を教えてください。
今回の取り組みは、日税グループ個社単位でのプライバシーマークから、グループ一体として規定するISO27001への移行と位置付けています。これまでも個人情報保護についてはグループ各社が連携しながら対応をはかってきましたが、今回は、日税グループの10社一括でISO27001の認証取得を目指しました。
10社の中にはプライバシーマーク未取得であった日税ホールディングスと日税信託・日税サービス(大阪)があり、新たな認証取得に向けて、ゼロからの出発となりました。スタート時点でレベル差があったこともあり、グループ全体の足並みを揃えて情報セキュリティに関する管理体制を構築することに、相応の産みの苦しみもありました。
2. PマークとISO27001の違い
――個人情報保護から情報資産へ対象が広がることを周知
−実際の取り組みについてうかがいます。10社一括の取り組みということで各社の協力がポイントになったと思います。
グループ各社の従業員にとって、情報セキュリティについてはすでに取得していたプライバシーマークが念頭にありました。そこで、最初にISO27001との違いを理解できるよう「頭の切り替え」のための説明会を幾度も開いています。グループ全社の役職員全員に向けて、ISO27001に対応したISMSは個人情報保護という観点だけでなく、広く情報資産として、法人情報や各種のノウハウ情報、情報システム等を対象とする仕組みであること、この理解を徹底したのです。
認証取得までの一連の行程を振り返ってみると、この最初の段階に時間がかかりましたが、逆に、しっかりやったことで、現場に理解された効果的な情報管理の仕組みにつながったと考えています。
-実際に取り組みを開始した後にはどんな課題が出てきましたか。
やはりリスクアセスメントでは苦労しました。まず事務局が、グループ統一で行う部分と各社固有で行う部分を整理するようにしました。その上で、各社の現場にリスクの洗い出しと評価を行ってもらうことになりますが、リスクアセスメントを理解させる段階で結構な時間がかかっています。ここで事務局が取りまとめてやったとしても、あとあと各社の現場では有効な仕組みにはならないと分かっていたからです。
感想としては、このリスクアセスメントでは、プライバシーマークでは対象ではなかった幅広い情報についての情報資産を取り上げて、リスク評価と対策について、どうすべきかをじっくり考えることになり、必要に応じて見直しを図る良い機会となりました。
3. 既存の仕組みの見直し・改訂・移行作業を行い半年でISO27001を取得
−今回のISMSの導入においてプライバシーマークの仕組みはどの程度活用していますか。
ISMS導入の作業では、プライバシーマークにおいて培ってきた管理手法や各種規程類等をベースとして、既存の仕組みの見直し、改訂、移行作業を進めてきました。ある程度出来上がっていた個人情報管理体制を活かしつつ、その内容をISO27001の要求にあったマネジメントシステムへ発展させる形で行いました。この過程では、規程については必要なものは残す、改訂する、逆に不要なものは統合・廃止するという作業が続きました。
実はこの作業に想定以上に四苦八苦しました。上位規程を安易に修正すれば、下位規程に大きな影響を及ぼし、全体として整合性がとれなくなる、こうしたことが重なり手間がかかったのです。ただこれらの作業のおかげで、ISO27001規格が求める内容や水準についての理解が深まり、規程をしっかり読み込みながら自分達にあった情報セキュリティ体制の構築につながったと思います。
-プライバシーマークとの違いやリスクアセスメントの理解・周知、既存の仕組みの見直し、改訂、移行について、しっかり向き合ってやったことで、よい結果につながっていることが分かりました。
結果として、集中して一気に進めたこともあり、ISO27001への移行を方針決定したのが2023年5月ですが、それから半年余りの12月に認証を取得することができました。
4. 発想の転換へつながる ―― 個人情報だけでなく情報資産全般に関するリスクに向き合う
−プライバシーマーク時代と大きく異なったことを挙げていただけますか。
プライバシーマークは個人情報に特化しています。そのためにどうしても個人情報ばかりに目がいきがちです。たとえば書類を失くした場合の対応として、その書類には個人情報が含まれているのかといったことに気が取られ、情報の紛失という肝心なことからずれた議論をしたこともありました。今回、対象を情報資産全般に広げることになり、本来在るべき情報管理を徹底するといった発想の転換につながっていったのです。
その一例ですが、日本能率協会の審査では、ゾーン管理についても非常に厳しく見てもらい、ISMSというマネジメントの仕組みで管理していくという考え方が深まりました。個人情報だけでなく情報資産全般に関するリスクに向き合うという意識が広がっていると感じます。
−内部監査員の教育を含めて内部監査はどのように行っていますか。
ISMS構築後の最初の内部監査では、外部のコンサルタントにも加わってもらい事務局がメインで監査チームを組み、各社の管理者が被監査者という役割で行っています。今後は、たとえば不動産会社の担当者が内部監査する側にたって保険代理店会社に質問するといった組み合わせを考えるなど、より効果的な方法を見つけていくつもりです。
5. BCPを情報管理の視点で再考し日々の事業活動に活かしていく
−審査に関してうかがいます。先ほどゾーン管理の指摘が良かったとおっしゃっていますが、他にも印象的だったことをご紹介ください。
審査でグッドポイントとして挙げてもらったのが、緊急時の情報管理の対応としてBCP(事業継続計画)がしっかりした内容で作られていることと、実際に訓練も実施していることです。この指摘にあったように、事業継続について情報管理という視点を採り入れたことで、事業継続の考え方が変わっています。BCPについては、もともと2019年に作成しており、地震や水害、感染症なども想定していました。ただその中身は従業員の安否確認や出社体制などに重きを置いたものでした。
今回、ISMSの観点から、すべての情報資産について、常に可用性と完全性をしっかり保つ対応策を採り入れることが必要ということを理解し、審査前の9月にそれまでのBCPの見直しをかけています。その改訂した中身に沿って全社で訓練も行っています。
BCPというと、自然災害が起きた時の対応という発想になりがちです。ただ今回の審査の指摘を通して、日々の事業活動においても動いており、しっかり活かすべきということが分かりました。
-今回導入したISMSの仕組みに関して今後の改善予定などがあれば教えてください。
認証取得迄の半年間は、規程について、新たに作る、改訂するといった整備で手一杯でした。今は、規程に沿って仕組を動かしていますが、日常業務と合わない内容があるなら、今後、手直ししていくことが必要でしょう。
次に、情報セキュリティに関する目標管理の扱いをどのようにするかも検討するつもりです。理想としては、目標に対する活動についてはISMSの仕組みの中で個別に進めるより、中期経営計画と一緒になって行うのが適当だと考えています。
また、この目標に対する実際の活動についても、グループ各社が自分達にあった内容で進めてもらうつもりです。今までは事務局が、目標に基づくグループ会社の取り組みすべてについてまとめて対応してきました。ですが、個々の取り組み自体、各社によってベストな活動内容は異なってくるはずです。今後は各社に新たにリスク対応計画表を作成してもらい、それぞれで取り組んでもらう、私ども事務局は、それらの内容を集約して把握していく体制にする予定です。
6. 事業に関する様々な情報リスクをCIAの観点で分析してモノゴトを判断していく
−最後にISO27001の認証の活用を含めて今後の予定をお聞かせください。
ISO27001の認証を取得することが最終ゴールではありません。今後も事業を取り巻く環境や自社の状況が刻々と変化していくはずで、情報管理の仕組みも継続的に改善していくことが必要です。事業に関する様々な情報リスクを想定し、情報セキュリティを成立させるCIA(機密性:完全性:可用性)の観点でモノゴトを判断していくということです。
今後も、ISMSのPDCAサイクルをベースに、情報セキュリティへの対応に関して不断の向上に努めていきます。同時に、ステークホルダーからの高い負託にお応えするオンリーワンの企業グループとして、持続的成長を続け、引き続き社会から求め続けられる存在を目指していきます。
「いま必要とされる情報セキュリティ対策ISO/IEC27001導入編」
解説資料
自社の情報セキュリティに関してリスクや危険性は理解できたけど、
- 何から始めたらよいかわからない。
- 自社で対策ができているか自信がない。
- 同業がどうやって対策しているか知りたい。
そんな方にお勧めしたいのがISO27001の取得です。
こちらの詳しい資料をご覧ください。
ISO/IEC27001についての
お問い合わせはこちら
ISO/IEC27001についての無料お見積り
ISO/IEC27001についてのお問い合わせはこちら
ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)の認証取得事例について
ISO27001(情報セキュリティマネジメントシステム)の認証に関する取得事例インタビューを掲載しております。日本能率協会では、インタビュー内にもあるように、様々なニーズやお悩みに対して幅広くご提案をすることが可能です。
新規取得、切り替えをご検討中の企業担当様は是非ごらんください。