【事例】やって良かった!? ISMS(ISO27001)

 

 

 

 

 

 

~ゴールを決めれば認証取得は成就する~
栃木県南 マーケティング会社 社員数30名 / インタビュー対応者 社長

当社は、PマークかISO27001なのか

栃木県で25年間、マーケティングを主とした事業を展開するA社。3年前に、ISO27001(以下、ISMS)をめでたく認証取得できたのだ。実はこの会社は、過去にプライバシーマーク(以下、Pマーク)に2度もチャレンジした経緯があった。

1度目は、Pマークが出始めた2002年(平成14年)である。実際、この時点では、A社はPマークに挑戦すべきか、ISMSに挑戦すべきか、とても迷ったのである。社内の幹部会でも、このことが議論された。

その判断の基準となったものは、何とも単純な発想であった。Pマークは「個人情報」で国内が対象、一方ISMSは国際規格のISOである。よって日本を相手にするよりも世界を相手にするISMSの方が、難易度が高いとの判断に至ったのである。

ハードルが低かったのはどちらの規格!?

2002年といえば、まだ世の中に「個人情報保護法」が正式に施行されていない時期であった。A社は、他社に先駆けて、何としてでもいち早く認証取得を目指そうという事になったのである。6人のプロジェクトメンバーも選出され、社内の雰囲気も盛り上がり、自社のホームページにも「Pマーク取得挑戦中!」との表記が堂々と出された。担当コンサルタントであった私も、この意気込みならいけると確信したほどだった。

しかし、プロジェクトが開始して5ヶ月目、システムを構築する規程類、帳票類が大方出来上がり、いよいよ本格的に運用に入ろうとした頃である。社内に突発的な、大きな仕事が舞い込んできたのである。プロジェクトメンバーのうち、半数以上の4人がその仕事に関わることになった。

そうなるとプロジェクトが遅れはじめ、更に運が悪いことに、残った2人のうちの一人が、諸事情により退職となってしまったのである。A社の社長が下した決断は、プロジェクトの一時停止であった。当初、3ヶ月間の停止期間を予定していたが、6ヶ月9ヶ月と伸び、あっという間に1年間手つかずの期間を過ごしてしまった。

挙句の果てに、社長が下した判断は、Pマークプロジェクトの中止であった。

1度あることは2度あるとは言うが・・・

それから3年が経過した2005年(平成17年)の4月に「個人情報保護法」が正式に施行された。そして翌年の2006年、A社の取引先からの緩やかなPマーク取得(またはISMS)の認証取得要請がかかったのである。

社長は、再度、私に声をかけてくれ、以前のPマーク規格をバージョンアップさせたJIS規格でのプロジェクトが再開されたのである。しかし、意気込んだのもつかの間、プロジェクトが開始されて5ヶ月を経過した時点で、またしてもイレギュラーが発生した。今回は、プロジェクトの中心を担っていた管理責任者のN君が、家族の都合により、退職になってしまったのである。私は、このN君にプロジェクトの成功を一任したいたので、大変に気落ちした。

時を同じくして、プロジェクトは、中心的な立場で推進していく方が誰もいなくなり、2度目の自然崩壊となってしまったのである。

 

ハードルが低かったのはどちらの規格!?

そして2016年、またしても動きがあった。この時は、社内で扱っている機密情報の取り扱いが、クラウド化の推進により、不安定な環境に在るとの懸念から、再度、私に矛先が向いたのである。当初は、Pマークに3度目の挑戦との思いで、社長は話を持ち掛けてきた。しかし、私が話を聞くと、今回は個人情報の取り扱いを強化するというより、社内の情報全般の管理強化をしたいのだという。

そこで私は、ISMSの認証取得を提案したのだった。

理由は2点。

1.個人情報全般の管理強化ではなく、重要な事業分野の情報資産を限定した上で、管理強化を進め、BCP(事業継続計画)を想定した運用を図るため

2.プロジェクトのスタート間もない時期に審査日をゴールとして日程を決めることができ、皆が、不測の事態でも認証取得までやり切れるようにする。
 ※Pマークは、システムを構築して運用後、内部監査、代表者による見直しを完了させてからでないと審査の申請をすることができない


私の読みは、見事的中した。プロジェクト開始2ヶ月後、審査機関と調整し、その第1次審査と2次審査の日程を決めてしまったのだ。すると、中だるみする5ヶ月後ごろ、審査の期日が迫っていることが、いい意味でのプレッシャーともなり、何とか審査日を迎えることができたのである。あとは、1次審査、2次審査とトントン拍子に進み、多少の指摘はあったものの、比較的軽い是正処置対応で、プロジェクト開始から8ヶ月目で認証取得が完了したのである。

実際、関わったプロジェクトメンバーの感想を聞くと、一見Pマークよりもハードルが高そうに見えるISMSは、やってみると帳票も少なく、現実的な規定をつくることができ、とてもやりやすいモノであったとの意見であった。

是非、食わず嫌いを止め、この汎用性が高いISMSに触れてみて欲しいのである。
きっと、「やって良かった!」と感じるはずである。

                                   株式会社エルシーアール 専務取締役 荒井 浩通

ISO27001 情報セキリュティマネジメントについての詳細はこちら