SES、ソフトウェアの受託開発など広範囲なITサービスを提供する株式会社システムクエスト様(本社:東京都豊島区)は、お客様先常駐の情報処理技術者の管理業務及び情報技術者の派遣業務の管理に関する情報セキュリティマネジメントでISO27001:2013の認証取得に成功されました。
認証取得のきっかけ
佐藤様:ここ数年で大手企業様とも直接取引できるようになり、自社で保有するリスクが増大していました。
資格としてはプライバシーマークを取得していましたが、個人情報だけではなく、その他の情報を含む包括的な情報セキュリティマネジメントを構築し、お客様に安心を提供したいと考えたことが認証取得のひとつのきっかけです。
また、実は5、6年前に社内でISMSを取得しようという話がありました。しかし、そのときは費用や期間の面など、当時の社内の体力に合わないと思い、取得を見送りました。
そのようななか、今回NSAの通学式コースをご紹介いただき、費用面、構築期間ともに魅力的で当社でも取得できるのではないかと思い、ISMSの認証取得を決定しました。
構築作業を通じて
鴇田様:業務などの棚卸やリスクアセスメントを実施するにあたって、進捗に遅れが出てしまっていましたが、別途コンサルタントの先生にお時間をいただきフォローいただいたのは大変助かりました。
また、棚卸の際に今まで見過ごされてきた、情報セキュリティ上リスクの高いソフトウェアがボリュームライセンスの中に含まれていることを発見でき、早急に対応することができました。
自社を見直すいい機会になったと思います。
寒河江様:私は途中から打ち合わせに参加することになり、正直はじめは何が何だかよくわかりませんでした。
しかし、コンサルタントの先生と打ち合わせやメールでのやりとりを行っていくうちに、ある日突然、今まで点と点だったものが線でつながったのを覚えています。
それからはISMSというものが面白くなり、楽しくできるようになりました。
佐藤様:今は社内では、情報セキュリティの問題だけではなく、業務上の問題事や心配事があれば皆が集まり、営業、技術、管理、それぞれの立場から意見が言い合える環境になりました。
これも今回の認証取得のひとつの効果だと思います。
今後の目標
武次様:ISMSは自社のリスクに応じた仕組みにすることが重要なポイントだと教えていただきました。
そのため、社長に何か提案する際や委託先の選定においても、恣意的な判断ではなく、客観的でリスクに応じた提案や判断ができるようになりました。
今後も自社の仕組みとして、ISMSをうまく活用していきたいと思っています。
鴇田様:現在認証範囲は限定していますが、全社全事業において事務局と同じ認識を持てるよう教育に力を入れて、会社の文化として情報セキュリティの活動に取り組んでいきたいと思っています。