ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)
JIS Q 27001(ISO/IEC 27001)は、組織が自社で保護すべき情報資産を洗い出し、
各情報資産に対して 機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)
をバランスよく維持し、 改善していくことを可能にする仕組みを構築することを目的とした規格です。
CASE.2
【連載:効果的な運用事例 ゼンリン 様 [ISO/IEC27001] 】
認証取得により受注を拡大中
企画段階から情報セキュリティを考慮、全社員の意識も向上
取材先:株式会社ゼンリン
情報システム室 室長 中山哲也 様
専任部長 倉智健児 様
副長 岩崎孝司 様
ISMS事務局 北九州
左から 情報システム室 室長 中山哲也 様、専任部長 倉智健児 様、副長 岩崎孝司 様
ISMS事務局 東京
左から 総合販売本部 営業管理部 専任課長 桑原昭二 様 、部長 宮崎三智夫 様、公共営業推進部 副長 日野孝 様
株式会社ゼンリン様(本社:福岡県北九州市戸畑区中原新町3-1 URL: https://www.zenrin.co.jp )は、「知・時空間情報」の基盤となるさまざま情報を収集・管理し、住宅地図をはじめとして、カーナビゲーションやインターネット用地図など、地図データベースの制作と地図情報に関連したさまざまなコンテンツ提供やソフトウェアの開発、サービスの提供を行っています。このような膨大な情報を扱うにあたり、ISO27001認証を2018年に取得しています。
今回の取材では、情報セキュリティマネジメントシステム(ISMS)の運用担当部門である情報システム室の室長 中山哲也 様、専任部長 倉智健児 様、副長 岩崎孝司 様に、ISO27001 認証取得の経緯やそのメリット、ISMSの構築、運用に関する感想などをうかがいました。
本社全景
1. ISO9001からISO27001に展開し情報リスクへの対応力を高める
−ISO27001認証の取得、維持のねらいについて教えてください。
ISO27001の認証取得のねらいは、「情報セキュリティの対策強化」「企業としての対外的な信頼度、信用力の向上」、そして「営業の機会損失の防止」の3つです。
ゼンリンは、住宅地図をはじめ、カーナビゲーションやインターネット用地図など、地図情報に関連したさまざまな情報サービスを制作、提供をしています。1980年代に地図のデジタル化に着手し、1990年代のカーナビゲーションやPC、携帯電話向け地図ソフトの商品化、それに続くインターネットの出現、さらにスマートフォンの普及によって大きく進んでいます。これらデジタル情報への社会的なニーズは飛躍的に高まっており、関連市場は拡大し、それとともに情報セキュリティへの対応の重要度は増しています。
そのセキュリティ対応に関連する一つの大きなテーマが、個人情報です。ゼンリンが提供するさまざまなサービスは、地図に関する情報の各種データベースを活用していますが、その中で主たるものとして住宅地図データベースがあります。このデータベースでは公開されている表札や看板情報をデータベース化しています。そのため個人情報取扱事業者として、個人情報を保護するために、以前からハード、ソフトの両面でさまざまな施策を採ってきました。
具体的な一つが、個人情報保護法が制定された2005年にISO/TS16949(現在はISO9001)の認証取得で、これを機に品質マネジメントシステムを構築し、以降、しっかり運用してきています。この仕組みにおいては、「情報の品質」の観点から、情報は重要な管理対象と位置付けて、その取得から編集、データベース化、商品化の各プロセスの中での情報の取り扱い、保管方法、提供方法を含めたマネジメントシステムを定着させました。
地図情報はすべてデジタルで管理
−この取り組みを発展させるためにISO27001に取り組んだということですか。
ISO9001の効果的な仕組みを定着、運用してきましたが、情報管理におけるセキュリティリスクについては、技術革新やデジタル化といった外的な要因変化に伴って、対応すべき事象も大きく変わってきました。ご存知の通り、コンピューターウイルスによる感染、システムの不正侵入による情報漏えいや改ざんなど、情報を巡る事件・事故が増加し、その形態自体も複雑化しています。お客様やお取引先も情報リスクについて関心を高めており、個人情報の管理に関するお問い合わせも増えてきました。
こうした状況を受けて、個人情報を含めたビジネスで取り扱う情報とそのデータ全般に関して保護する仕組みと、情報のセキュリティに特化したISO27001の第三者による認証の取得が必要だという気運が、ゼンリン社内で高まってきました。
2. ISO27001が入札条件のひとつ~取得がないと市場参入不可
−冒頭のねらいの一つである「営業の機会損失の防止」について詳しくご紹介ください。
情報セキュリティを取り巻く社会環境の変化を受けて、特に自治体や官公庁の公共事業においては、ISO27001認証が入札要件のひとつとする動きが顕著に出てきています。認証がないと市場参入すらできない状況になってきたのです。公共事業の入札案件はゼンリンにとって重要な営業対象であるため、ビジネスの面で機会損失を防ぐ観点から、営業部門からは認証取得の強い働きかけがありました。
3. 全国84拠点で規定を統一し取り組みレベルを一定に保つ
−ISO27001の規格要求事項に対応したISMSの構築についてうかがいます。
社内にマネジメントシステムは存在していましたが、ISO27001の認証取得のためには新たに情報という切り口の仕組みを作る必要がありました。まず、対象範囲(認証範囲)についての議論から始め、ゼンリンとして重要なマーケットである自治体および官公庁を担当する営業部門を中心にすることを決定、その範囲を「自治体、官公庁への地図出版商品、電子地図商品の販売、企画、受託、提案業務」としています。
−2017年に実際の取り組みをスタートした感想からお聞かせください。
今回のメインの対象である営業部門はゼンリンの最大部門であり、全国に84の拠点(2019年10月時点)を擁します。規模はさまざまで、20~30人の拠点もあれば、数名のところもあります。事前の検討段階で一律的な通知や指導だけではうまくはいかないと考え、「これは大変な取り組みになる」という認識で取り掛かりました。そこで、各拠点の規模や実状に合わせて取り組みを検討しました。そのおかげで、構築作業や、その後の運用でも多少は現場負担の軽減につながったようです。
また、拠点数が多いのでコミュニケーションが大変になると予想していましたが、メールシステムをはじめ、本社と拠点間を結ぶイントラのネットワークは既に完備しており、あまり問題にはなりませんでした。
しかしながら、実際に取り組みをはじめてみると、情報システムやデータを取り扱う規定類、具体的にはソフトウェアやハードウェアの取扱い、記憶媒体の管理、メールやインターネットの利用方法などは、その都度にマニュアル化されており、いずれも規格の要求事項には沿っていたものの、一元化することが必要で、この作業に大変苦労しました。
たとえば取り組み項目のないものやそもそも機器などの名称やその意味合いや認識レベルが拠点によって違いがあり、情報資産管理台帳を整理する上で外付けハードディスクとポータブルハードディスクは同じものなのか、記録メディアと記憶媒体はどう違うのかといった、用語の定義を統一することも必要になりました。
4.「再認識」のよい機会になる
こうした情報資産の洗い出しから確認の作業に加え、資産のリスク分析を踏まえた管理策の策定、つまり適用宣言の整理についても、同様に大変でした。文書化においても新規に作成するものが多い上に、既存文書も拠点ごとに解釈が異なるケースが多くあったからです。
ただし、見方を変えると、この一連の取り組みは、それまでやってきた手順などの重要性を「再認識」するよい機会にもなりました。この再認識を通して、各々の取り組みについてのレベルアップにつながっていると感じています。まだまだ課題は多くありますが、一定の成果はでています。
体制構築にあたっては、認証範囲となる営業部門を核に情報システム部門、総務人事部門を加える体制でプロジェクトを組み推進を行いました。狙いは、その後の情報セキュリティ推進体制をスムーズに展開できるようにとの思いから、「本部 ⇒エリア統括(支社)⇒各営業拠点」と業務組織と同期をとるように配慮しました。
−新たな仕組みを導入するにあたって、その体制を工夫したということですね。
振り返ってみると、各拠点、営業所への指示報告を機能させるように配慮した仕組みが功を奏したと思います。事務局からの形式的な通知ではなく、事業活動と同じルートにしたことで、連携強化にもつながったこともよかったと考えています。
5.「ええっ、そこまでしているのか!!」― 整理整頓が徹底
−認証取得の前と後で、大きく変わった点について教えてください。
整理整頓が挙げられます。実は初めて審査を受けた際、審査員から「整理整頓は情報セキュリティのイロハのイです」と言われ、そのことをすべての社員がまじめに守り、社内全体で習慣づけを心がけてきたのです。今回、受賞した「JMAQA AWARDS 2020」選考委員会特別賞での評価でも、「各拠点での整理整頓が行き渡ったこと」が挙げられています。
このように整理整頓を徹底させることで、組織全体の情報リスクの軽減につながっていると考えています。
−整理整頓にもいろいろなレベルがあると思います。
関連エピソードですが、私どもが内部監査員として拠点を訪れますが、「ええっ、そこまでしているのか!!」と驚くほど徹底しているケースがありましたが、今では当たり前になっています。JMAQAの審査員も同様の印象を受けたようで、普段からしっかり整理整頓しているとお墨付きをもらいました。
そのレベルを紹介すると、営業担当者が外出のためにノートパソコンを持ち出した後は、机上は電話機とPCの外付けモニター以外、筆立てや文具類はむろん、一切何もない状態になっている拠点もあります。この整理整頓は、地図制作担当者も同じで、作業中の机上には地図や原稿類等いろいろ広げられていますが、業務終了時には、これらをすべて指定された収納場所にしまうことになっています。
もちろんISMS導入当初からこうしたレベルだったわけではなく、仕組みの運用を通して各自の認識が深まることで達成されてきたのです。
整理整頓状況(左から岡山営業所、九州自治体営業所、熊本営業所)
6. 経営と現場の両方で認証取得のメリットを得る
−ISO27001の導入メリットについて教えてください。
経営の視点からいうと、まず第三者機関による証明を得ることで、社会的な信頼度の向上と組織内外への説明責任を果たすことにつながっています。また、審査を受けることで、自分達では気づけなかった問題箇所の指摘が得られます。これらの指摘から是正が図られ、マネジメントシステムが機能して改善につながっていることを実感しています。また、定期的に審査を受けることで、組織内部に緊張感が生まれ、業務の見直しや確認作業の質を高める効果もあるようです。
次に、現場の視点としては、意識の向上が挙げられるでしょう。情報の取り扱いについて意識することで、今まで漫然とやっていたことも、その意味などを考えるようになり、いろいろな改善につながっています。
7. 現場での徹底が組織としての信頼獲得につながる
−メリットが得られる仕組みにできた秘訣を教えてください。
肝心なことは、取り組みに関していきなりは高いレベルや完璧さを求めないことです。第一歩として、まず営業所内の整理整頓からスタートさせたことで、取り組みやすくなり全員一致の活動になっていったと思います。その結果、組織として社会的な信頼獲得になり、営業部門への波及効果につながっているようです。
−「整理整頓」が徹底されているのは、意識が大きく変わった証ということですね。
その意識に関連しますが、ISMSの導入自体が教育ツールとして機能しています。私どもは情報を扱うビジネスを展開しており、情報に関するリスクを抑えるために社内教育を重視しています。例えば、啓発動画や標的型攻撃メールの模擬訓練、セキュリティセルフチェック(自己点検)などを、社内教育として実施しています。従業員の意識を維持するには、教育体制を含めた仕組みをしっかり回すことが重要になってきますが、ここでISMSが教育ツールとして大いに役立っています。
情報リスク対策として従業員の意識をうながす社内教育を重視(コロナ禍以前の研修風景)
−公共事業の入札案件におけるメリットについて詳しくお願いします。
自治体や官公庁の入札では、外部委託先となる企業への情報セキュリティ対策の要件が厳しくなっています。案件によっては生産拠点への監査も実施される場合もあります。この監査では施設内の防犯対策や委託元から預かった原稿類のセキュリティ対策を見られますから、ISO27001の認証が大いに役立ってきます。
また、入札案件では企画提案段階からセキュリティ対策について説明できるようになりましたし、認証自体が従来よりも高い意識を持っている証になっています。最近は官公庁の担当者から情報セキュリティ対策に関する相談事もあるようで、これも認証取得の効果だと言えるでしょう。
8. JMAQAは審査工数とコストが明快
−JMAQAを選んでいただいた理由を教えてください。
ISO27001に取り組むにあたっては、いくつもの審査機関から話を聞きました。その中で、JAMQAはゼンリンの事業内容と体制をいち早く理解し、推進体制について的を射た説明があり、また、拠点数が多く審査工数が分かりにくかったのですが、必要な工数とそのコストについての説明は、JMAQAは他の審査機関より明快でした。さらに、拠点が全国にわたっており、審査日程を組むのは大変だったようですが、その際もこちらの要望に沿って細かな調整をしてもらえています。
肝心の審査の内容については、審査現場では審査員は決して答えを教えてはくれませんが、JMAQAの審査員のコメントには数々のヒントが盛り込まれているのです。後で振り返っていろいろ考えれば何をすべきかが分かるような内容です。ヒントがあることで、後々のシステムの改善や不適合の予防対策につながっています。
9. 新型コロナ対応でセキュリティの課題がクローズアップ
−今回の新型コロナウイルスへの対応において、新たなセキュリティの課題が浮かび上がってきたそうです。
以前から、クラウド化の推進や働き方改革の対策には取り組んできましたが、直近の新型コロナウイルスに対する安全施策の導入が同じタイミングで加わることになりました。3月以降、リモートワークをはじめ当初の計画を前倒しして、さまざまな施策を実施しています。現時点(2020年5月時点)の対応状況としては、緊急事態宣言がでた営業拠点では在宅勤務が可能な業務は極力在宅での勤務を要請しています。生産拠点ではスライドワークや交代勤務体制にして事業を継続しています。セキュリティ対策やシステム的なリソース、そして意識改革といった点では万全というわけではありませんが、情報セキュリティに関しては潜在的なリスクに対して、必要とされる最低限のレベルには達していると考えています。
その一方で、環境が急激に変化した場合、情報を巡るさまざまなリスクとどう向き合っていくべきか、この点が課題として浮かび上がってきました。繰り返しになりますが、ここではインフラなどハード面での整備だけでなく、それを使う従業員自身の情報に対する意識向上が、重要なテーマになります。
ここで存在感を増すのがマネジメントシステムの運用だと考えています。ISMSの運用を通して、先ずは今回の緊急対策で出た課題の抽出、その課題の中から人的対策を含めた仕組み全般の継続的改善を進め、今後の緊急時に備えた事前の準備に取り組んでいきたいと考えています。
−今のお話に出た今後の取り組みについてお聞きします。ITの推進を重視しているようですが、その動きに伴うセキュリティ対応にも積極的ですね。
新型コロナ対策を通してはっきりした課題もあります。ハード、ソフトの両面で段階的に整備していく計画が、今回の新型コロナで一気に対応を迫られることになりました。実際にやってみていろいろな課題がわかったことも、認証取得のために情報セキュリティを学んだおかげでしょう。
ゼンリンでは今後も情報セキュリティへの対応を重視していきます。防災対応も含めたクラウド化の推進や無線化の実現などITへの投資を継続します。情報を活用する企業においては、利用用途に応じたデータ変換など情報処理の作業がますます増え、今以上に情報の扱いには注力することが求められるはずです。こうした状況を踏まえ、ゼンリンでは地図データを取扱う大規模サーバを管理していますし、システムやデータのバックアップ体制も計画的に強化しています。
今後もこうしたハード対策と同時に、従業員の意識という面でもISO27001認証とISMSを活用していくつもりです。
「いま必要とされる情報セキュリティ対策ISO/IEC27001導入編」
解説資料
自社の情報セキュリティに関してリスクや危険性は理解できたけど、
- 何から始めたらよいかわからない。
- 自社で対策ができているか自信がない。
- 同業がどうやって対策しているか知りたい。
そんな方にお勧めしたいのがISO27001の取得です。
こちらの詳しい資料をご覧ください。
ISO/IEC27001についての
お問い合わせはこちら
ISO/IEC27001についての無料お見積り
ISO/IEC27001についてのお問い合わせはこちら
ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)の認証取得事例について
ISO27001(情報セキュリティマネジメントシステム)の認証に関する取得事例インタビューを掲載しております。日本能率協会では、インタビュー内にもあるように、様々なニーズやお悩みに対して幅広くご提案をすることが可能です。
新規取得、切り替えをご検討中の企業担当様は是非ごらんください。