株式会社キャンドゥコンセプト様(本社:東京都渋谷区)は、技術者の派遣、お客様先常駐の情報処理技術者の管理業務、ソフトウェアの受託開発、クラウドサービス、ホームページの制作・運用に関する情報セキュリティマネジメントでISO/IEC27001:2013の認証取得に成功されました。
認証取得のきっかけ
佐藤社長:IT業界において、情報セキュリティは永遠のテーマだと思います。当社においても情報セキュリティの重要性を認識し、セキュリティの管理体制やルールを定め、2011年にはPマークを取得しておりました。今回、所属しているNSA(日本ソフトウェア産業協会)で第二期のISMS通学式コンサルを実施することを聞き、当社としてもPマークの管理対象である個人情報だけではなく、会社全体の情報資産も対象にしたISMSへステップアップを目指し、ISMS の認証取得を決意しました。
コンサル会社の選定においても、ISMS通学式コンサルの第一期生である6社様が全社無事に合格されていたという実績から、信頼のおけるコンサル会社だと思い、決断しました。
構築にあたり
藤枝様:構築途中や運用段階において出てきた不明点や疑問点は、随時メール、電話や個別レビューでご相談できたのは助かりました。私個人としては、Pマークの取得プロジェクトには関わっていなかったこともあり、事務局の業務についてはあまり詳しくはありませんでしたので、非常に心強かったです。特に、内部監査では、時間が延長してしまったのに関わらず、夜遅くまでお付き合いいただき、当社のために一緒に悩んでいただけたのは、感謝しております。
また、構築作業を通じて、自部門の業務だけでなく、会社全体の業務の流れを学ぶことができたのは大変勉強になりました。
佐藤社長:Pマークの基準に沿ってルールを制定しておりましたが、どちらかというと画一的なルールが多くありました。今回、自社のリスクに応じたセキュリティ対策を行う、というISMSの考え方を導入することにより、自社にマッチした仕組みの重要性を認識でき、またその考え方のもと構築できたと思います。
また、合同コンサルという形式も、他社の進捗状況も把握でき、お互い励ましあいながらできたため、とても良いモチベーションになりました。
今後の目標
藤枝様:情報セキュリティといっても、最終的には人が行うことであるため、スタッフの認識というものが非常に重要だと思っています。教育も1年に1度行うだけでなく、4半期ごとに行う全社定例会などで情報セキュリティの重要性を呼びかけていきたいと思います。その際には、ルールをただ押し付けるのではなく、なぜこのような対策や活動を行っているのかということを伝えていき、皆が納得感をもって取り組んでいけるようにしたいです。
佐藤社長:現時点でも社員からいろいろフィードバックをいただいていて、情報セキュリティ意識の高まりを感じています。
また、そのなかには、PDCAをしっかり回してくださいという要望もありました。事務局側としては、もっと自社にマッチした仕組みになるように継続的に改善していき、将来的にはISMSの業務というものをなくし、日常業務に浸透させていきたいと思います。