今回の主人公は、情報セキュリティに携わる、ある社員。予約管理システムを提供するリザーブリンクで、情報システム管理者を務める堀内俊輔は、ISMS認証の取得への挑戦をはじめました。彼の挑戦は、次第に社員を巻き込み、全社に浸透していきます。そんなISMSプロジェクトの達成に到るまでの全容を紹介します。
情報漏洩による被害が広まるなかでリザーブリンクが守ること
ここ数年、国内外問わず、情報漏洩にまつわる被害が拡大しています。日本では、2015年に日本年金機構がサイバー攻撃を受け、個人情報の流出に至ってしまったことは記憶に新しいニュースです。
そのため、情報セキュリティレベルの向上はリザーブリンクの最重要課題でした。迅速に対応し、リザーブリンクでは、情報セキュリティマネジメントシステム(ISMS)とISMSクラウドセキュリティの認証を取得済みです。(2018年9月時点で、同2種の認証を取得した企業は、業界問わず104社)
ISMSの認証を得るには、情報セキュリティにまつわる技術的な対策だけでなく、組織マネジメントを改める必要があります。特に、社内におけるリスク特定、リスク分析、リスク評価などの全プロセスを適切に管理できていると認められた企業に、ISMSの認証は与えられます。
顧客に情報セキュリティレベルの高い予約管理システムを提供するためにも重要なISMS認証の取得。その取得プロジェクトにおいて、功労者となったのが堀内でした。
情報システム管理に従事した10年以上の「経験と想い」が詰まった結論
もともと堀内は、大学で情報技術を専攻し、卒業後に大手印刷会社にSEとして勤務していました。勤続10年を経て、自身の仕事や暮らしぶりを振り返った際に転職を決意し、リザーブリンクと出会います。
リザーブリンクを志望した理由のひとつは、2010年にサービス提供を開始した予約管理システム「ChoiceRESERVE」でした。このサービスの成長を間近で体感することに興味を抱き、応募した堀内は、入社後、開発部のあった静岡県浜松市と東京本社を仲立ちするシステム開発マネージャーとして働きはじめました。
当初の「ChoiceRESERVE」は、顧客用にカスタマイズして提供するサービス。堀内は、顧客先へ足を運び、質問に答えることや、製品の技術的サポートを担っていきます。そんな顧客とのコミュニケーションを通じて、徐々に、情報セキュリティにかかわる業務は増えていきました。
堀内 「お客様は、情報セキュリティをとても気にされます。会社の規模が大きくなるほど、セキュリティを強化したいという想いは強く、同じくリザーブリンクでも、セキュリティを強化していく意識がより一層高まっていました」
リザーブリンクでは、2013年にプライバシーマーク(Pマーク)を取得しています。これは、個人情報保護に特化した評価制度。2年ごとに更新が必要なPマークで3度目の更新を終え、4度目の更新を見据えはじめた2016年、ISMS認証の取得の検討がはじまったのです。
堀内 「情報セキュリティを考えると、最終的に個人情報の保護に行き着く部分は確かにあります。しかし、ほかの機密情報があるなか、事業の継続性や企業としてのコンプライアンスという観点を踏まえると、個人情報に特化したままでいいのかと考えました」
ISMS認証の取得について、堀内は1年間を費やして検討しました。自身の業務を進めながら、社外のセミナーで学び、外部コンサルタントに相談して、社内ではひとり悩む日々。結論づけたのは、2017年の年末でした。
堀内 「ISMSに決めた大きな理由に、個人情報だけでなく、全体を守らなければいけないという意識がありました。プライバシーマークはより個人情報に特化したもので、ISMSは事業継続の観点等を含んだもっと全体的なものだったんです。
さらに、ISMSの“すべて自ら決められる”取得原理がリザーブリンクの社風にあっていると感じました。ISMSの取得には、自社でルールを決めて、それを守れているかという要素があるんです。
ISMSの認証を取得するには、膨大な書類に記された情報の扱い方を守る必要があります。前職で取得しようとしている人を見て大変そうだと感じていましたが、リザーブリンクに入って仕事をしていくなかで、取得できると思うようになりました。
ただし、ISMS認証を取得することが目的ではありません。社内のセキュリティレベルを底上げしたいという想いが強く、そのひとつとしてISMS認証の取得を決めました」
こうして堀内は、社内の情報セキュリティレベルの向上のために、ISMSおよびISMSクラウドセキュリティ認証の取得へと動き出したのです。
情報セキュリティへの理解促進と社員の意識変革のために取り組んだ戦略
ISMSおよびISMSクラウドセキュリティ認証を取得するには、情報システムに関するツールや技術を刷新するだけでは足りません。たとえば、社内PCにデータを読み込む際、USBやDVDを使用することのリスクといった、社員の行動に関する意識変革を必要とします。
そのため、堀内は日常的に情報セキュリティの意識を高めることを狙って、ある取り組みを試しました。それは、全社員に共有されているリザーブリンクの日報へ、セキュリティ関連の情報を流しつづけることです。
堀内 「まずは日常的に日報で共有して、自然と情報セキュリティを意識していくように努めました」
また、リザーブリンクでは全社員が何かのプロフェッショナルになることを宣言するのですが、堀内は「セキュリティのプロになる」と表明します。それは、堀内自身が情報セキュリティについて全社的に意識してほしいと明確に伝える機会になりました。
しかし、このような地道な努力と表明を重ねるものの、堀内は、胸の内にずっとある想いを抱えていたのです。
堀内 「私ひとりがISMS認証の取得を意識しても、情報セキュリティレベルの底上げにはつながりません。日常業務で起こる情報を扱うあらゆる場面で、社員個人が情報セキュリティを意識した判断と行動ができるように理解を高める必要があります。
正直、社員に今までのやり方を変えることに賛同を得られるかどうか不安でした」
そんな堀内は、リザーブリンクの経営層に提案を持ちかけることからはじめました。「情報漏洩は必ず起こさない」という共通認識があったため、すんなり必要性を理解されて、ISMS認証の取得を後押しされます。つづいて、各部門の情報セキュリティに関心の高いメンバーに賛同を求めました。そこでも、こころよく協力してくれるメンバーを得ることができます。
堀内 「最初に話すときは、いろんな資料を準備して持っていったんですが、結果的に、取り越し苦労で終わりました(笑)。でも、このプロジェクトは、みんなで進めていくからこそ意味を持つことだったので、とても嬉しいことでした」
リザーブリンクには、社員の挑戦を後押しする社風があります。そんな一人ひとりの賛同を励みに、堀内はISMS認証の取得を進めていきました。全社研修で、情報セキュリティにまつわるワークショップを開き、社員の意識変革を促すこともおこなった結果、ほかの社員にも浸透していったのです。
こうして堀内が取得プロジェクトを開始した1年後の2018年12月に、リザーブリンクはISMSとISMSクラウドセキュリティ認証のふたつを取得することができました。
ISMS認証の取得はスタートライン。成長に合わせたセキュリティの向上へ
ISMSとISMSクラウドセキュリティ認証の取得は、「予約」業界で初(2019年1月現在、リザーブリンクは「汎用型」予約システムを採用している唯一の企業)。取得によって、顧客からより一層の安心を得ることにつながりました。また、ISMSを取得したことで、新たにリザーブリンクの予約管理システムを導入してくれた企業も少なくありません。
そんな反響に堀内自身、満足する一方、取得以前にイメージしていた達成感とは異なる想いが芽生えています。
堀内 「ISMSを取得できたものの、いい意味で達成感が足りませんでした。もっと改善したい点が見えてきたからです。当面のゴールにしていたISMS認証ですが、やっぱり通過点でしかなかったんです。達成感がなかったことは、自分自身にとって良い結果なんです」
堀内が目指す、セキュリティのプロという道は、まだ道半ばなのです。
堀内 「認証取得前に運用を回して、取得後に運用していると、改めて取得前ではではわからなかったことが数々見つかっています。このプロジェクトを進めるなかで、組織の形は変わりましたし、新入社員も増えました。事業内容にも変化が見えて、それぞれの変化に対応していく必要があります」
堀内が始めて、社内の追い風を得られた情報セキュリティレベルの底上げは、リザーブリンクの変化に合わせて、新しく生まれる穴をも補っていくプロジェクトです。そのため、変化に応じて都度、網羅的に運営していける体制づくりを目指します。
堀内 「各部門の主要メンバーには、より一層関わってもらえるように、情報セキュリティにまつわる事務局を整えていくことは、これからの私の仕事です」
堀内が主導する事務局が整っていく未来は、主要メンバー以外の社員の意識もより一層高めて、リザーブリンクの情報セキュリティレベルをもっと底上げしていきます。それは、これまで以上に顧客に安心して利用してもらえる予約管理システムを主としたサービスを築いていく未来でもあります。