【連載:効果的な運用事例 ドゥカンパニー 様 [ISO/IEC27001] 】
6人のスモールユニットでISMSを導入
一人ひとりの意識改革が進み
組織としてのクオリティーアップにつながる
取材先:
株式会社ドゥカンパニー
代表取締役/クリエイティブディレクター 岡村 好史 様
取締役/クリエイティブディレクター/デザイナー 黒沼 友美 様
ISO/IEC27001認証が組織としてのクオリティーアップにつながっている――このようにおっしゃているのが株式会社ドゥカンパニー 代表取締役 岡村 好史 様です。
「COMMUNICATION & DESIGN」に関してさまざまな制作を行っているドゥカンパニー様(東京都渋谷区恵比寿南1丁目18−6 URL : http://www.doocompany.co.jp )は、企業の広報や広告・宣伝、販売促進などに関わるコーポレートコミュニケーションやコーポレートデザイン・ブランディング、美術館などの映像をはじめとしたデジタルコンテンツの制作など幅広く手掛けています。
2019年7月、ドゥカンパニー様は情報セキュリティマネジメントシステムの国際規格であるISO/IEC27001の認証を日本能率協会審査登録センター(JMAQA)から取得されました。今回、6人のスモールユニットで認証取得に取り組んだお話をうかがいました。
1.ねらいは「意識改革」と「業務のクオリティーアップ」
Q.ISO/IEC27001に対応した情報セキュリティマネジメントシステム(ISMS)の認証を取得した経緯についてお願いします。
岡村様 今回の取得のねらいは、組織としての意識改革と業務のクオリティーアップをはかるためです。ドゥカンパニーは6人のスモールユニットですが、お取引いただくクライアントや競合は大手であることが多いです。そのために企業規模などには捉われない同等の意讖を持つことが必要だと思っていました。
また、私たちが関わる、広報、広告・宣伝、販売促進、ブランディング、デジタルコンテンツなどに関連する制作物を作るにあたって、避けて通ることができないのがITであり、関連する情報セキュリティリスクに対する備えをしっかりとることが、今後、競合に伍していくためには必須だと思っていました。
以前からこのような認識があったのですが、実は2年程前、ある地方自治体から、住民を対象にしたスマホアプリ開発について企画段階からご相談をいただきました。この仕事は1年ぐらいかけて進めていましたが、プロポーザル公告の時点で受託の審査条件として、ISMSまたは同等のセキュリティ基準が必要という話がでてきたのです。情報セキュリティ対応の重要性は認識していたので、認証取得に取り組むのにちょうどよい機会だと判断しました。
Q.認証取得に向けてどのように取り組みを進めたのですか。
岡村様 最初はインターネットでISMSについて情報収集しています。いろいろな情報の中から日本能率協会審査登録センター(JMAQA)のサイトを見つけ、掲載内容が分かりやすかったので、コンタクトをとりました。担当者といろいろな話をする中で、私どものねらいに応えてくれる審査を行っていることが分かり、JMAQAに決めました。
仕組みづくりでまずやったことは、日本能率協会ISO研修事業部による『ISMS理解促進コース』の受講です。2日間にわたる系統だったセミナープログラムのおかけで、ISMSの必要性や情報セキュリティリスクなどがしっかり理解できました。また、実際に認証取得した企業にもヒアリングを行っています。
こうして集めた情報をふまえ、スモールユニットの場合、トップが率先して取り組みに参加すれば、スタッフへの浸透を含めて仕組みの導入は難なくできると考えていました。当時はスンナリいくとの確信があり、「ISO/IEC27001を自分たちだけで認証取得する!」とクライアントなど内外に宣言した記憶があります。
Q.取り組んでみたら違っていたのですね。
岡村様 手を付けてみると、情報セキュリティに関する基本的な方針は立てることはできましたが、次のステップである、何をどのように文書に落とし込めばいいのか? ここが分からず愕然としたのを覚えています。すべてが大変だった、これが当初の率直な感想です。
2.自分たちの業務内容や組織規模に応じた仕組みを目指す
Q.自分たちの仕組みとして作り込む際にとまどうことが多いようです。
岡村様 ISMSの仕組みとしてのねらいや枠組み、機能といったことは理解できたのですが、いざ、ドゥカンパニーとしての仕組みに落とし込むのはどうすればいいのか? ここで苦労しました。また、専門の担当者を置かなかったので日常業務に追われて、取り組みが一向に進まない状況になったりもしました。
当時は、「理念や考え方は分かるが、揃える文書類が多いのでは?」「ここまでやるのは無駄では?」という疑問を持ったことを覚えています。ただ後々の段階で、自分たちの業務内容や組織規模に応じた仕組みでよいと分かったので、こうした疑問はなくなっています。
Q.なかなか進まない状況を変えたきっかけがあったそうですね。
岡村様 仕組みづくりについて、そのまま自分たちだけで続けるか迷いましたが、審査日程が決まったので、コンサルタントに2日間だけ手伝ってもらうことにしました。文書類のまとめ方を中心にアドバイスをもらいましたが、この時の説明は、まさに暗闇から抜け出す一筋の光が見えた、という言い方がピッタリでしたね。
コンサルティングを受けた後は、新たに大手企業からISMSの経験者が入社して加わったこともあり、スムーズに進めることができました。
3.業務に沿った文書類によって運用負荷もおさえられる
黒沼様 文書づくりについては、データ類の整理なども含め、日頃から現場作業を担当している私が仕切って先ほどの新人スタッフと協力して進めました。
振り返ってみてよかったと感じるのは、一連の取り組みについて集中して一気に進めたことです。途中で中断期間が長くなると、再開した際、「これ何だっけ?」となってしまうし、気持ちの面でもやる気がそがれかねないからです。
また、文書類は現場の業務を踏まえて作ったことで、使い勝手のよいものになっており、そのために日々の運用も負担感が少なくうまくできたと思います。
さらに、情報セキュリティーに関するさまざまな取り組み項目を、みんなで読み合わせたこともよかったです。たとえば「〇×の作業はどういった理由でやるのか」といったことを、理解し確認しながら共有できたからです。
他にも、新人スタッフがインターネットで無料のISMS教育用動画を探してきて、全員に見てもらいました。ISMS の理解については、説明したり資料を読ませるより、この動画の方が効果的だったようです。
Q.内部監査について教えてください。
岡村様 日頃からみんなで定期的に集まってミィーティングや勉強会を開き、情報交換をしています。これが内部監査にあてはまると考えました。今回、内部監査と位置づけたことで、より活発なコミュニケーションを心がけています。
Q.審査についてはどうだったのでしょうか。
岡村様 受審前は自分たちの仕組みがISO/IEC27001の要求に応えているのか不安がありましたが、実際に受けてみて問題なくできていることが分かり安心しました。審査員からは指摘をもらいましたが、理由を解説してもらえたので、是正対応はスムーズにいきました。
4.整理・整頓が業務効率の改善につながる
Q.認証の「取得前」と「取得後」で変わったことについてご紹介ください。
黒沼様 社内のすみずみまで整理・整頓がいきわたったことが挙げられます。たとえばストレ一ジサーバー周りの配線が劇的にスッキリしました。
また、各スタッフの机についてはクリーンデスクが徹底されています。机上や鍵のかからない引き出しなどに重要な書類を放置しないことは、セキュリティ上、重要ですが、今回のISMS導入を期にしっかり守られるようになりました。
他にも挙げると、ペーパーレスが一気に進みました。宣伝・広告や販促、特にブランディングに関わる企画仕事ではけっこうな量の資料を集めます。これらの紙類についてはデータ化を図ったことでかなり減っています。
岡村様 一連の取り組みによって整理・整頓がなされたことで、仕事の効率がアップしたと思います。また、意識改革も進んだと感じています。
情報セキュリティに対する意識が高まったことで、メールのやり取り、契約書の取り交わし方法などに関するルールをしっかり守るようになっています。
クライアントへの対応は、こうした細かな改善の積み重ねが大切になってくるのです。
5.スタッフの意識が変わり組織のクオリティーが向上
岡村様 大きな成果として、スタッフの意識が変わってきたことが挙げられます。私どもの仕事の特長として、たとえばコンペで負けが込んできた場合、次に頑張るには精神的な面が大きいことがあります。競合が大手のケースが多く、対等に勝負していく上で気持ちで負けないことが重要になってくるのです。
今回のISO/IEC27001認証は、情報セキュリティーについて高いレベルということに加え、仕組みを作ってキッチリと仕事を進める組織の証である、と考えています。こうした自覚をスタッフ一人ひとり、会社全体で共有することも、ビジネスを行う上で重要だと考えています。いわば、今回の認証取得により、組織としてのクオリティーが上がってきたと言えるのでしょう。
黒沼様 認証取得によって、企業としてプライドをより強く持てるようになりました。情報セキュリティ方針(下記掲載)を掲げましたが、ドゥカンパニーとしての社会的な責任の範囲が明確になり、その広さは従来よりちょっと広がってきたとも理解しています。
私どもがクライアントに提供する制作物は社会との接点が多いので、最近、注目されているSDGsという観点からも自分たちの関わりを考えていくことも必要だと思います。こうした発想が得られたことも成果ですね。
Q.逆に、マイナス面が出てきているなら教えてください。
岡村様 マイナスとまでは言い切れませんが、怖さが分かってきたことです。情報セキュリティリスクに関していろいろ知れば知るほど不安感が高まっています。
ただ、認証を取ったから安心というわけではありませんが、問題を起こさない仕組みを回す、何かあったときを想定して迅速かつ的確な対応策を用意する、といったことができており、組織体制には自信を持っています。
Q.ドゥカンパニーとしての強みはどこにあるのでしょうか? 競合には大手が多いようですが。
黒沼様 柔軟性に富んでいることが大きいと考えています。クライアントは、たとえば発注した企画について進行していく段階で、よりよいものを目指しているので要望を変えてきます。
こうしたニーズに対してスピード感を持ってフレキシブルな対応を心がけてきました。このあたりは組織規模によって小回りが利く点を生かしています。
柔軟にやりつつ押さえるところはキッチリやる、という両面が求められますが、しっかり応えることができているのかなと思っています。
6. 「組織としての体制固め」につながり自社の強みが増す
岡村様 いろんな出会いがあって大手クライアントと直接お付き合いしてきましたが、私たちの意識もそれに伴ってグレードアップしていくことが欠かせないと感じていました。今回の取り組みの一連のプロセスは絶好の機会になったと思っています。
ISMSの仕組みを取り入れたことは、単に情報セキュリティ対応だけでなく、黒沼が言う「柔軟にやりつつ押さえるところはキッチリやる」という点で、組織としての体制固めにもつながっているはずです。まさにドゥカンパニーとしての強みが増したとも考えています。
●「三菱デンターデジタルギャラリー」 2016年のリニューアル時、ドゥカンパニーが「企画・設計、撮影及びデジタルコンテンツ開発、什器設計デザイン」等を担当しています。
Q.今後の課題についてお願いします。
黒沼様 情報セキュリティ対応については、仕組みを自分たちだけで回していても万全ではなく、クライアントの協力が欠かせないはずです。
たとえばドゥカンパニーから秘匿性が高い書類をメールで送る際、すべてパスワードを設定しています。クライアントの中には面倒に感じられているケースもあるようで、リスクに関してご理解いただけるような効果的なコミュニケーションが必要だと考えています。
そこで、ホームページや名刺などを通して認証取得したことをアピールしつつ、情報セキュリティのリスクについて説明することなども考えています。
岡村様 文書整理についてはまだやれることがあると考えています。その一つがクラウドシステムの活用です。今は社内にストレージサーバーを置いて、バックアップを取っていますが、大地震など災害が起きた場合も想定してしっかりしたバックアップの対応策が必要でしょう。
当然、クラウドシステムに合ったセキュリティ対応も求められるので、リスクに応じた対策をとっていきます。
今回の認証取得を機に、今後も組織としてのリスク対応のレベルアップをはかっていくつもりです。