確か2020年の年末あたりに、弊社代表の上野から「そろそろISMSくらい取らないといけないな」ということを言われた次の言葉「ただしコンサルをいれないで取って」という一言からこの話は始まります。
弊社では過去にPマークを導入しておりました*が、その際は一般的な取得方法として弊社もコンサル業者に色々とサポートいただきながら取得した経緯があります。
当時、私も取得チームの一員として参加しており、コンサル業者からなんとなく言われたままに進めていく作業的な覚えがありますが、やらないといけないことは決めていただいている感じなので楽は楽でした。
そこで、今回の「コンサルをいれない」という点をふまえてISMS責任者としてどのように取得に向けて進めればいいか、その方法論と実際に進めた内容をまとめていきたいと思います。
*現在はPマークは更新しておりませんので失効しています。ちなみにPマークは国内規格、ISMSは国際規格となります。
◆ISMS取得の目的
まずはじめに、何故ISMSを取得する方針に至ったかのお話をしておきます。
現在弊社ではおかげさまで案件のご依頼が多くなってきており、それに伴い採用活動を強化し新卒などを含めた社員が増えていっている状況です。そのため今まで各自のリテラシーを元に対応していた業務系のルールや様々な情報管理の仕組みが組織の大きさに合わなく、そろそろまとめ時だなと考えていました。
ISMSは「Information Security Management System(情報セキュリティマネジメントシステム)」として情報をどのように扱うかのフレームワークとして定められており、準拠する運用体制を作ることでより情報を正しく扱える環境を作ることが出来ます。
Pマークは個人情報保護の観点から定められた規格ですが、ISMSはより広い範囲での情報資産を取り扱う規格となっているのであらためてそちらを取りにいったという経緯があります。
また、産業を問わずインターネットで世界がつながっている現在、セキュリティの重要性は年々高まってきており、ニュースを見ていてもセキュリティや管理方針が甘かったことで多々事件が発生しています。その時に備え、意識向上と社内整備をすすめる目的も含め取得する方針となりました。
ISMSの大きなポイントとして以下の3つの項目(機密性、完全性、可用性)があります。
情報を扱う企業としては大切なポイントになっていると思いますので当たり前といえば当たり前ですが、もしこちらができていなそうであればよりISMSを取得する意義があるかと思います。
◆認証取得系でのコンサルのメリットデメリット
ISMSには取得するために必要な「要求事項」という114個の管理策があり、その内容を取得審査に向けて整理する必要があります。
コンサルをいれればある程度のテンプレートとアドバイスに沿って内容をまとめていくことは可能ですが、いれない場合はこの管理策を紐解き参考書などを読みながら書類を作っていく必要があります。この点、集中力と忍耐力があれば独自取得出来るとは思いますが、なかなか厳しい構築となっていくかとは思います。
コンサルを入れるメリット/デメリットは以下と考えてます。
◆弊社の事業概要と担当適正について
また、取得に向けて進めた弊社がどのような事業を行っている会社で、どんな中の人が仕切って進めていったかを参考としてご紹介しておきます。
弊社の2021年10月現在における事業概要は以下となります。
1) データを利活用した事業開発に関わる支援 2) リサーチデータ、POS、Webログ、位置情報データ、その他ビッグデータの解析 3) セルフ型オンラインリサーチシステムの提供および、運営 4) ビッグデータ分析基盤の構築・提供 5) クラウドプラットフォームの構築・提供 6) Eコマースサイトの構築・コンサルティングサービスの提供 7) マーケティングオートメーション導入支援 8) データサイエンス分野における研究・研修・情報発信など |
このようにクライアントのデータを預かり、そのデータを使った分析基盤や業務支援を行う事業を行っている会社で、今回のISMS認証の適応範囲としてまとめた内容としては以下となります。
・データを利活用した事業開発に関わる支援と基盤の提供 ・データサイエンス分野における研究・研修・情報発信 |
一方、筆者は今回の取得を推進したISMS責任者となります。
社内ではディレクターという立場で様々案件の進捗コントロールしたり、様々なツールを組み合わせ運用構築~実行する業務を多く行っており、また社歴も長く各部署の状況や、社内の各システムやツール周りの状況なども大体把握しているといった感じです。
おそらく会社規模が大きければ大きいほど全社横断プロジェクトとなるので、上記の会社の把握は特に必要になってくるかとは思います。またシステム面での話も多く検討していくことが必要なので、ある程度システム系の情報管理方法やツールや仕組みなどの知識が必要になると思いますが、実質はプロジェクトを推進するための情報収集・整理、方針決定を含めた推進力、各方面への調整力(コミュニケーション力)のほうが重要かと思います。
今回ざざっと概要をまとめましたが、ではどうやってコンサルなしでという肝心なお話は、次回からになります。どのような手法でどんなポイントにつまりながら取得に向けて進めたか含めお話をしていければと思います。