建設業向けの工事原価管理システム「本家シリーズ」の開発・販売・保守を手掛ける株式会社アイキューブは、2009年6月にISMS(ISO/IEC 27001)認証を取得されました。認証取得後も継続的にマネジメントシステムを維持し、2015年5月に規格の移行を伴う再認証審査を経て、認証継続となりました。
今回の規格の移行プロジェクトについて、取締役の山本由己氏にお話をうかがいました。
プロジェクト体制:
代表取締役社長 |
山本 武史 氏 |
取締役 |
山本 由己 氏 |
システム営業部 |
市川 沙菜絵 氏 |
i-3c 株式会社 |
池田 秀司(担当コンサルタント) |
i-3c
株式会社 |
鈴木 靖(オブザーバー) |
|
貴社の事業内容(主力製品)をご紹介ください。
山本:当社が開発した「本家シリーズ」は、建設業向けの原価管理や工事の進捗管理を支援するシステムです。システムを導入することで、プロジェクトの収支や利益率がリアルタイムで把握できるようになります。また、主要な会計システムと連携が可能なことから、経理仕訳や給与計算の手間も省くことができます。年商10億〜100億円の優良企業が当社のシステムを導入されています。
なぜISMS認証を取得されたのでしょうか。
山本:2008年まで遡りますが、当時は取引先が相次いでISMS認証やプライバシーマークの取得をされていました。そこで、色々と情報収集を行っていたのですが、東京都の外郭団体が主催するセミナーに参加しました。ちょうどその時に担当コンサルタントが講師をされていて、そのセミナー受講してISMSは当社にとって必要だと判断したからです。
ISMS新規取得に引き続き、規格の移行対応についてもi-3cにご依頼頂きましたが、i-3cのコンサルティングはいかがでしたか。
山本:担当コンサルタントより提供して頂いたISMS文書について当社の規模や業態に合わせてアレンジする相談に丁寧に対応頂きました。その時に構築した仕組みが今でも継続しています。その考え方は、単なる情報セキュリティの認証取得のノウハウではなく、当社の業務のやり方やネットワーク等のシステムに対する考え方について色々とヒントを頂きました。これを契機に社内・社外の取り組み全体に波及していきました。
これまで認証を継続できたのも当時教えて頂いたアドバイスがあったからだと思います。 規格の移行対応も初めは何をすればわからなかったのですが、規格の変更点や考え方、代替案についてアドバイスを頂き、無事に認証を更新することができました。
特に今回は、審査前に審査の予行演習を行って頂いたのが良かったと思います。担当コンサルタントは、審査員としての業務もされているので、非常に実践的な内容でした。予行演習の後は、審査に対する不安は全くなくなりました。
ISMSのメリット・デメリットはどのように感じられていますか。
山本:社内のISMSを推進する立場として、適切な言葉でないかもしれませんが、正直「窮屈」なところがあります。例えば、これまで各自の判断で自由に持ち出せていたものが申請を行わないと持ち出せないようになったこと等です。ただ、全てを担当者に任せてしまうとなると、リスクアセスメントを実施したのですが、やはり当社にとってはルールが必要という判断になります。最近の世の中で発生している情報セキュリティ事故の事例を聞くと、やはりISMSをやっていて良かった、正解だったと思います。
今後の計画について教えてください。
山本: 今の情報セキュリティのレベルを維持していくことが重要ですね。情報セキュリティは、100%というのはあり得ませんので、継続していくしかないと思います。特に全従業者に対する情報セキュリティの教育は、セキュリティを啓発する絶好の機会ですので、少なくとも1年に1回行うのが必須だと考えています。 今後、新規の事業を開始する場合や業務形態や取引形態が変わった場合でも、今の情報セキュリティの考え方は引き継いでいかなければならないと思います。
株式会社アイキューブ 会社概要 |
本社所在地 |
東京都新宿区山吹町333 江戸川橋アクセス7階 |
事業内容 |
建設業向けの工事原価管理システム「本家シリーズ」の開発・販売・保守 |
設立 |
1996年11月25日 |
資本金 |
30,000,000円 |
URL |
http://www.icubenet.co.jp/ |
【担当コンサルタントより】
株式会社アイキューブさんは、構築開始よりISMS審査(第2段階登録審査)を終え、登録の手続きに入るまでに7ヶ月という期間でした。担当コンサルタント自身のこれまでの認証取得支援の最短記録となっています。構築当時はリソースのマネジメントも大変であったことかと推察します。
株式会社アイキューブさんがISMSで結果を出している要因の一つとして、単にISMS認証を取れば良いのではなく、これを業務にどのように活用していくかという取り組みがあります。この考え方は、非常に大切だと思います。情報セキュリティ対策は、コストではなく投資と言われていますが、残念ながらそれを本当に実践できている組織に出会うことはそれほど多くありません。
仮に世の中から悪い人が全ていなくなり、社員もミス・間違えを起こさないということであれば、面倒なルールや対策が要らなくなります。しかし、それは理想論であって、現実的には、あり得ないですね。今は対策が出来ていても、将来は新たなリスクが発生するかもしれないということも考えられます。
ISMSの考え方としてリスクアセスメントが根幹にありますが、情報セキュリティ事故を絶対に起こさないということよりも、むしろ、情報セキュリティ事故を起こさないためにはどのような対策をしなければならないのか、起きてしまったらどのように被害を最小化するのかという現実的なアプローチを行います。
「継続は力なり」という言葉もありますが、今後も継続的にISMSを貴社のビジネスに活用して頂きたいと考えております。 |
|