【連載:効果的な運用事例 いい生活様 [ISO27001/ISO20000-1/ISO27017] 】
![【連載:効果的な運用事例 いい生活様 [ISO27001/ISO20000-1/ISO27017] 】](https://jmaqa.jma.or.jp/dcms_media/image/img-seikatsu-main.jpg)
膨大かつ重要な不動産情報を
安全に適切に管理・運用するのは我々の責務
取材先:
株式会社いい生活
常務取締役CTO 松崎 明 様
CSOセキュリティ管理室長 兼 英樹 様 *所属役職等は取材当時のものです。
GDPの約13%を占める巨大な不動産市場。その市場を、ITを駆使してよりよいものにしたいと、2000年に創業した「いい生活」。日本全国の不動産業を営む企業を主な顧客とし、不動産物件情報、契約情報、顧客情報を管理するデータベース・システムを中心とする不動産取引支援システムを、クラウドサービスとして提供している。
同社は2006年8月11日にISO27001/情報セキュリティマネジメントシステム(ISMS)認証を、2009年10月15日には、JMAQAにおいて第一号となるISO20000-1/ITサービスマネジメントシステム(ITSMS)認証を取得。さらに、2017年9月11日に、ISO27017/ISMSクラウドセキュリティ認証(CLS)を取得した。これもJMAQA第一号の登録である。
取り組みのきっかけや経緯、3つのシステムを運用する狙い、取得による組織の変化などについて、常務取締役CTOの松崎明氏と、CSOセキュリティ管理室長の兼英樹氏にうかがった。
株式会社いい生活の概要
| 本社所在地 | 東京都港区南麻布5-2-32 |
|---|---|
| 設立 | 2000年1月21日 |
| 従業員数 | 146名(2017年9月末現在) |
| 事業内容 | 不動産業務支援システムのクラウドサービスの提供 |
登録概要
| ISO27001 2006年8月11日登録 | ISO20000-1 2009年10月15日登録 | ISO27017 2017年9月11日登録 |
|---|
認証取得の背景、取得までの流れ
「お客様に対する信頼性の向上」に向けて上場のタイミングでISO27001認証を取得
いい生活の主力商品は、不動産業務にかかわるすべてのデータを一元管理するツール「ESいい物件One」。賃貸、賃貸管理、売買仲介など、あらゆる不動産業務に対応するクラウドサービスだ。具体的には、「物件情報データベース構築・管理」、「契約情報管理」、「営業支援」、「ホームページ構築ツール」など多岐にわたる。取り扱う情報は、不動産会社の先にいる一般消費者の個人情報を含む、重要な情報ばかりだ。
「そのため、情報セキュリティには相当しっかり対応する必要があります。加えて不動産業界には、法的なルールもたくさんあります。我々のサービスやツールは、それらにきちんと対応していることを示して、お客様の信頼性をより向上させたいと考えました」
(松崎氏)。
そうした思いのもと、2006年の上場を機に、経営層のトップダウンでISO27001認証を取得。続けて2009年にISO20000-1認証を取得した。このときは、社内からの声がきっかけだった。
「ISMSを運用することで、ルールの見直しができ、プロセスの見える化・文書化が進み、記録を残すことの大切さなどもわかるようになりました。認証取得後、2~3年の間に、そうしたことがセキュリティの側面だけでなく、業務改善などにも展開されるようになりました。PDCAを回す考え方が広がり、改善システムが社内で習慣化するようになったのです。それで、同じようなシステムで、サービス品質をマネジメントしたい、という声が出てきました。そこで、ISO20000-1の認証取得にチャレンジしたのです」(兼氏)。
兼 英樹氏
社にとって認証取得とは?認証に対する考え方
規格に合わせてルール化するのではなく
規格の意味を理解してルールをつくる
そしてさらに2017年、ISO27017(ISMSクラウドセキュリティ)認証を取得したのは、改正個人情報保護法の施行が1つのきっかけだった。 「もちろん、すでにISMSもしっかり構築・運用していますし、その中にクラウドサービスに関する追加項目を自分たちでつくってルール化もしていました。ただ、我々が常に考えているのは、いかにお客さまに安心して使っていただくかということ。そこに合致した規格が出てきたのなら、では、取得しようと取り組んだのです」(松崎氏)。
同社にとっては、認証はあくまで結果というわけだ。 「ISOというガイドラインに、よりいいものが書いてあるのなら、それに準拠しよう、という考えです。認証取得が目的ではなく、大事なのはマネジメントすること。規格に合わせてルールを変えたり文書をつくったりするというよりも、規格の意味を理解して、ルールやプロセス、文書をつくっています。結果的に、規格で要求されていなくても、ここまでやっておいたほうがいいよね、と改善することもたくさんあり、それによって業務やサービスのレベルアップが図られています」(松崎氏)。
じつは、同社がISO27017認証の取得を考え始めた2016年、JMAQAではISO27017の審査はまだ実施していなかった。 「問い合わせた当初は準備中とのことでしたが、2017年に入り審査可能との連絡をいただきました。そこで、他の2規格のサーベイランスの時期に合わせて取得しました。JMAQAではすでに2つの規格を審査いただいており、またISO27017は、ISO27001にアドオンした形の規格なので、ぜひともJMAQAに審査を実施していただくようにお声掛けしました。」(兼氏)。
そもそもISO27001認証取得時にJMAQAを認証機関に選んだのは、「情報公開の仕方がわかりやすく、当時の我々のオフィスと距離的に近く頻繁に相談がしやすかったから」(兼氏)だったという。
活用・運用の工夫(1)
推進メンバーを入れ替え制にして、全体を底上げする
3つの認証の取得や運用にあたり、実務を担うキーマンは兼氏だが、もちろん「情報資産の洗い出 し」など、現場でしかわからない内容もある。そこで、ISO27001認証取得活動当時から、各部署から情報セキュリティに積極的に関わる代表者を1、2名選出してもらい、「セキュリティコミッティ」として、毎月1回ミーティングを開催。現在もメンバーは、啓蒙活動をしたり、定期チェックの中心となったりしている。
ユニークなのは、約20人いるメンバーは、ローテーションであることだ。一人につき2年ほどで入れ替わる。
「ローテーションをすることで、部署の中に情報セキュリティについてわかっている人が増えていきます。情報セキュリティについての教育も兼ねています」(兼氏)。 「運用していると大変なこともあるはずです。その大変なことを、いかに簡単にできるようにするかを考えるのも、改善活動の一環です。メンバーが固定化すると、意見も固着化してしまいますが、入れ替われば、新しい視点の意見・提案が出てきます」(松崎氏)。
活動・運用の工夫(2)
3認証とも、コンサルタントに依らず自分たちで取得
もう1つ、同社の認証取得活動の特徴は、コンサルタントを活用せず、3認証とも自分たちでマネジメントシステムを構築して取得したことだ。 「当初から、自分たちでやってみようという方針で進めました。ISO27001認証をめざした当時は、フィットする日本語訳の参考書が見当たらず、英文の意味の解釈に四苦八苦しながら取り組み、結果、最初の審査でかなりの数の指摘をいただきました」と、兼氏は苦笑する。
だが、「結果的に良かった」(松崎氏)。その理由をこう語る。「マネジメントシステムは、改善サイクルを回すのがポイントです。自分たちが決めて、その決めごとをやってみて、うまくいかなかったら、何がいけなかったのか、どうすればよいのかを自分たちで考えて、変えていくことになります。なぜこうなっているのか、背景を知っていれば、“では、こう解釈してもいいよね”と、スムーズに改善できます。納得感をもって進められるのです。しかし、コンサルタントにお願いしていたら、最初に決めたやり方は守れても、その後どう変えていったらいいかわからなかった可能性があります」(松崎氏)。
後に、ISO20000-1、ISO27017を取得するうえでも、自分たちでつくったからこそ、3つの規格をバラバラに運用するのではなく、共通する部分は統合するなどして、全体としてうまく回るようにできたという。
認証取得してよかったこと、組織の変化
ISO27017の認証取得により、
自己流のルールが、より明確なルールに
ISO27001を取得していて、しかも、そこにクラウドサービスに関するルールを追加しているのなら、あえてISO27017を取得しなくてもいいのでは?そんな問いに対し、3つすべての規格の取得や運用の実務を中心的に担っている兼氏は、こう答えてくれた。
「たしかに、ISO27001もISO20000-1も、自社にフィットさせるために、自分たちで追加しているルールがたくさんありました。ただ、このルールで本当にいいのだろうかと、不安もありました。ISO27017の認証取得により、その部分の妥当性確認ができたのです。何が十分で何が足りていないかが明確になり、不足部分は手直しすることができました」。
たとえば、ISO27017には「プロバイダ」「カスタマ」という概念が登場する。同社がそれまでつくっていたルールでは、その2つがはっきり分かれて記載されているものと、一緒に記載されているものとが混在していた。
「分離すべきことを分離せず書いていたのですが、分離してそれぞれルール化することができました」(兼氏)。
また、カスタマという概念が登場したことで、自分たちも外部のITプロバイダからサービスを提供されているカスタマであり、その場合も自分たちが「プロバイダ」として提供するときと同水準のルールが必要だと気付かされたという。
さらに、松崎氏はこう付け加える。
「これまでは、ルールが明確ではないために、外部プロバイダを使うことへの心理的障壁がありました。しかしルールが明確になり、正しい使い方がわかるようになったので、その障壁が低くなったと思います」。
外部のサービスを有効に取り入れて、新サービスにつながる可能性も期待できそうだ。
ISO27017の認証取得を検討中の組織へのメッセージ
カスタマ(利用者)として
クラウドサービスの利用が適切かを測る指標にもなる
最後に、これからISO27017の認証取得をめざす組織へのメッセージをいただいた。
「まず、どの認証であっても、自分たちで決めたルールや運用の仕方がこれでいいのか、確認するうえで役立つと思います。自分たちの組織の仕組みの健康診断だと思って受けてはどうでしょうか。おかしいところがないか、最近変えたルールがこれでいいのか。そんなチェックができると思います。
ISO27017については、我々も利用者としての観点が抜けていたことに気づいたように、カスタマの立場としてだけでも、普段使っているツールの使い方が正しいかどうかのチェックに活用できると思います」(松崎氏)
「今やクラウドを利用していない企業はないのでは。であればこそ、クラウドを利用するうえでの留意点を知っておくことは大事。ISO27017認証の取得は、その一助となるでしょう。また、社内のルールや教育などの浸透具合を評価する指標としても使えると実感しています」(兼氏)
同社では、審査によって、部署により規格の理解度に温度差があることがわかった。
「開発部門と営業部門とでは、業務の特性上、どうしても理解度に差があります。これは引き続き課題です」。
そんな松崎氏の指摘を受けて、兼氏は「教育のやり方を変えていかねばならないと思っています」と意欲をみせる。そして「審査を受けることにより、このように自社の課題が浮き彫りになります。それが第三者機関を活用する大きなメリットでしょう」と続けた。
改善のサイクルを回し続けることで、よりお客様に安心感を与え、質の高いサービスを提供し続ける、いい生活。同社の成長の秘密が垣間見えた取材であった。
![【連載:効果的な運用事例 いい生活様 [ISO27001/ISO20000-1/ISO27017] 】](https://jmaqa.jma.or.jp/dcms_media/image/マルコム1.PNG)
![【連載:効果的な運用事例 いい生活様 [ISO27001/ISO20000-1/ISO27017] 】](https://jmaqa.jma.or.jp/dcms_media/image/case_nousfit_001.JPG)
