リザーブリンクは2013年プライバシーマークに(以下、Pマーク)を取得しました。しかし、その認証は更新を続ける度に「お墨付き」でしかない存在になってしまい、本来の情報セキュリティ対策ができているのだろうか。このままでいいのだろうか。そんな疑問が浮かび沸き上がりました。
そこで、株式会社 知識経営研究所の⼩川祐司さんに相談しを持ち掛け、サポート役として伴⾛サポートしていただくことになりました。
Pマーク運用への課題感から、大きなターニングポイントを迎える
2017年12⽉、リザーブリンクは、⻑年更新を続けてきた「Pマーク」の更新をやめるという決断をしました。
しかし、それは情報セキュリティに対する意識の低さによるものではありません。むしろリザーブリンクがより顧客の求めるものを提供するために必要な経営決断でした。
そんなひとつの⼤きなターニングポイントを迎えるきっかけとなったのは、外部のコンサ ルタントである⼩川さんにPマークの運⽤についての相談を持ち掛けたことです。 その会話の中で、ある“課題”が浮き彫りになったと⼩川さんは⾔います。
⼩川さん 「リザーブリンク社がPマークの更新を迎えるにあたり、サポートとコンサルティングをしてほしいという相談でした。リザーブリンクは、Pマークを取得していて “⼀応” 運⽤をされていたんですけれども、その現状にさまざまな問題と課題を抱えているということで。最初はPマークの運⽤についてのお話でした」
Pマークを取得したことがゴールとなり、その後は書類を出すだけという作業になってし まっていたのです。それでは意味がないのでは?という違和感がありました。「お墨付き」で満⾜するのではなく、セキュリティのレベルを上げるモチベーションを持ってセキュリティ対策に取り組む必要があるはず。
事故を起こさず顧客に安⼼してもらえるようにしたい。 そのためには、何をすべきなのか──。
「お墨付き」が必要であることは確かです。Pマークの更新を続けるか、新しい認証システムを取得するか、あるいは両⽅か。熟考の末たどり着いたのが、Pマークの更新取りやめとISMSの取得という結論でした。
「ISMS取得」という決断を下すまでに要した半年間
現状のままではなく何かしたいということは決まっていた⼀⽅で、Pマークを返上してやめて、 ISMSを新たに取得するという⼤胆な結論が出るまでに、およそ半年を要しました。
Pマークを維持してISMSを新規取得するのはリソースやコスト⾯を考えると厳しい。ではどちらにするか︖については⼤いに頭を悩ませることになったのです。 Pマークの更新をやめるデメリットが⾒えにくかったことが、その⼀因でした。
Pマークをやめたとして、リザーブリンクとお客様との関係に何か⽀障が⽣じるかというと、はっきりした⽀障は⽣じません。でも、Pマークの知名度の⾼さを考えると、すぐに「じゃあ、やめよう」とは判断がつかなかったのです。
Pマークはすでに取得したものを「運⽤する」という業務の形として担当者が引継ぎながら⾏っていましたが、新たにISMSを取得するとなるとどのくらいの業務が発⽣するのかもわからず。リソースも少ないため「本当にやれるのか」という不安がありました。そんな中で⼩川さんが意識していたのは、ISMSに対する理解を深めてもらうことだったと⾔います。
⼩川さん 「コンサルティングの最初の段階として、情報セキュリティの取り組みとして⼀体何が必要なのか、どのように考えれば良いのか、どのくらいの⼯数や⼿間がかかるのかを重点的に伝えることを意識しました」
こうして⼩川さんとの話し合いを重ねる中で、だんだんとISMSを導⼊するメリットが⾒えてきたのです。
ISMSの導⼊は、⼿間こそかかるけれど、セキュリティの底上げができて、ひいてはお客様のためになる──その理解は、社内でも共通の認識となり、導⼊のために動き出すこととなりました。
⼩川さん 「ISMS取得を⽬指そうと決めるまでの期間の半年は確かに⻑かったですが、理解を深めるために必要な時間だったと考えています。また、セキュリティに関する基本はどの認証を選んだとしてもやらなければならないことなので。検討中もセキュリティ管理の基盤づくりを並⾏して進めていました」
こうしてISMSを取得するために、⼆⼈三脚で⾛り始めたものの⼀筋縄ではいきませんでした。
一歩一歩着実に。本質への理解を深めながら前進していく
最初にやってきた課題は、難解で膨⼤な量の書類づくりです。審査に際しての要求事項は、こういうことに関する決まりをつくりなさいという項⽬や⽬安はあるのですが、“これに関してはこうする”という決まりやルールを⾃分たちでつくらなければなりません。
たとえば、「データのバックアップに関する方針を明確にし、適切に計画してバックアップを実施しなければならない」という内容の要求事項に対して、当社ではどのシステムのどんなデータを、どのような方針でバックアップするのかを具体的に決め、ルールとして文書化するのです。
このような管理策の要求事項だけでも140以上あり、決断と文書作成だけでも大変です。
⼩川さん 「量が多い⾔葉や⾔い回しが難しい。⾔ってみれば法律の条⽂みたいなものですから、わかりやすさよりも別の意味に受け取られないようにすることを優先して書いてあり、とにかく難解で⻑い⽂章なんです」
作業は困難を極め、時には合宿のように⽸詰で作業に当たることも。しかし、時間をかけて向き合うことで次第に理解が深まっていったと⾔います。
⼩川さん 「担当の堀内さんは会社の管理者としての問題意識を持っていらっしゃる⽅なので、その視点、⽴場から読み解くことで理解していったのだと思います。
初めのうちはわからない⾔葉についてその都度教えていたのですが、ISMS取得に向けての取り組みを始めて数カ⽉たつと、堀内さんとの会話の中で使う⾔葉のボキャブラリーが増えてきたことを感じるようになりました」
このように⼀歩⼀歩着実に、というスタンスは書類づくり以外でも徹底されていました。 「上が⾔うからやる」というトップダウンではなく、「なぜやらなければならないのか」 という本質を突き詰めるという⽅法で、プロジェクトは歩みを進めていきます。
⼩川さん 「情報マネジメントシステムの取り組みというのは、今までバラバラにや っていたことを組織全体の取り組みにするということです。多くの⼈はトップダウンでやらねばと解釈します。
それもあながち間違いではありません。その⽅がうまくいく会社もあるのです。 でも、コンサルタントの想いとしては、できればそうでないやり⽅であってほしいと思っています。その点について、リザーブリンクの皆さんと意⾒が⼀致していました」
ISMSの審査は、1度⽬の審査を受けて指摘されたことに対して是正をする。⼆度⽬の審査から1〜2カ⽉で認証されるという流れで進んでいきます。2度⽬の審査にて⼤きな問題 がある場合は認証が延期されるため、改善するまでは何度も改善を⾏って認証取得を⽬指すしくみになっているのです。
なんの認証もない空⽩期間がないようにする前提で、Pマークの期限が切れる時期から逆算し、1年間でISMSを取得しようという⽬標を⽴てました。
慎重に、けれどスピード感を持って。⼆度の審査に向け、認証機関の⽅の問答や部⾨リーダーへのヒアリングなどを重ねていき、無事にISMSの認証を得たのです。
ISMS取得で終わらない。これからも、セキュリティと向き合い続ける
ISMSを取得したことは、リザーブリンクにとって⼤きなプラスになりました。セキュリティの底上げができたことはもちろん、対外的にも堂々と「セキュリティがしっかりして いる会社だ」と胸を張って⾔うことができるようになったのです。
ISMSを認知している企業が増え、ISMSと同時取得したクラウドセキュリティの認証を取ったことで、以前よりもセキュリティ対策のアピールができるようになりました。
⼩川さん 「ISMSの認証を取得している企業は約4000社。クラウドセキュリティ認証は、100社ほどです。それなりにコストがかかるため、取得するかどうかはコストに対して⾒合っているかどうかという⾯もあります。
情報セキュリティマネジメントシステムは『管理のしくみ』です。⾔ってみれば情報セキュリティの『レベル』の話ではなく、それを管理できる会社のしくみを持っているかどうかを⽰すものなので、ほとんどすべての会社に役に⽴つものだと思っています」
誰しもが個⼈情報漏えいなどのトラブルを起こすと⼤変だということはわかります。しかし 「こういうことをやっていくとそれを防ぐことができるんだ」と理屈で突き詰めていくことは⼤きな⼿間と時間を要します。
リザーブリンクにはどんな⼿間と時間を要しても本質にとことん向き合っていこうというカルチャーがあるのです。 セキュリティについては、どんな事故やトラブルも起こさないようにしたいということが根底にあるので、そのためにはみんなの意識が重要です。
ISMS取得にあたってつくったルールに則った上で、みんなの⽇頃の意識を格上げすることでサービスや会社としてのセキュリティのレベルを上げていきたい。取得して終わりになってはいけない──Pマークに対して感じていた課題感を持ち続けることが、これからも重要になっていくでしょう。
お客様のためにセキュリティと向き合い続けるということは、ISMS取得(*)で経験したことを今後に生かしてこそ意味を成す。ISMSの取得を経て、リザーブリンクはより⼀層セキュリティの本質へと近づく挑戦を続けていきます。