東証一部に上場している株式会社豆蔵ホールディングスのグループ会社である、株式会社オープンストリーム様(本社:東京都新宿区)は、アプリケーションの設計・開発、パッケージソフトウェアの設計・開発、お客様先常駐の情報処理技術者の管理業務、IT技術者教育サービスに関する情報セキュリティマネジメントでISO27001:2013の認証取得に成功されました。
認証取得のきっかけ
佐藤社長:実はプライバシーマークを取得した当時から、ISMSの認証取得は視野にいれていました。プライバシーマークを取得した当時はコンシューマサービスを提供しているお客様と多く取引させていただいておりましたが、会社の規模や業務が増えてくることにより、やはり個人情報だけではなく、会社の情報資産全体を守る仕組みの必然性が日に日に増していきました。
また、親会社が東証一部に上場し、ステークホルダーの信頼をより獲得できるよう、目に見える形で安心を提供していきたかったというのも大きな要因です。そのようななか、当社が利益を追求するだけではなく、社会的な責任を果たす意味でも情報セキュリティへの取り組みは非常に重要なことだと思ったため、今回ISMSの取得にチャレンジしました。
構築作業にあたって/構築作業を通じて
芝村様: 短期間でISMSを構築でき、認証取得できたことに取締役会でも驚きの声が上がっていました。
こんな短期間でISMSを認証取得できたのは、要求事項についての勉強会や個別レビューの際に、ポイントを絞ってご指導いただけたことが大きかったと思います。
村田様:サンプルのマニュアルや様式を提供いただけたことも非常に助かりました。そのおかげで、今まで行ってきたことの整理を含めて、現状でできる最大限の対策がうてたと思います。特に、IT-BCPはコンサルタントの助言もあり、効果的なものができました。
高橋様:構築後は、未遂のセキュリティ事故の情報を収集するヒヤリハットの仕組みやソフトウェアのぜい弱性情報の収集する仕組みができたことにより、セキュリティ事故が起こる前に予防的な活動が行えるようになりました。
実際のセキュリティ事故にならなくても未遂のものやリスクが高いものへの対応ができるのは、当社の情報セキュリティを改善していくなかで非常に有効なものになっています。
今後の目標
村田様:以前から当社では社内教育というものに注力してきましたが、さらにその充実化を図りたいと思っております。
特に、情報セキュリティの考え方については、社員全員が事務局と同じレベルになれるようにしたいですね。
高橋様:その他にも、事務局や内部監査員の増強も予定しております。認識だけでなく知識もつけ、社内全体で積極的に取り組んでいきます。
芝村様:コンサルタントや審査員の方からいただいたアドバイスは、筋トレのメニューをいただいたと感じております。
メニューを消化していくことによって、基礎体力をあげて会社としてよりよい仕組みにしていきたいと思います。