グループの未来を支える情報セキュリティ

家電量販店最大手のヤマダ電機を中心とするヤマダグループの持株会社で、グループ会社の将来を見据えた取り組みと企業価値の向上を図っている株式会社ヤマダホールディングス。ISO27001（情報セキュリティマネジメントシステム：ISMS）の取得経緯と運用状況、スリーエーコンサルティングとの取り組みなどについて、ITDX本部 戦略企画部 IT統制課 課長 齊藤 哲氏、同部 同課 釜形 和里氏に話を伺いました。

情報セキュリティのフレームに基づいた教育が必要

ーーまずは、ISMSの認証が必要になった背景をお聞かせいただけますか？

きっかけは取引先からの要望です。ISMSを取得した2005年当時、生活のなかにインターネットが当たり前のように存在する時代となったことで、情報セキュリティのガバナンス整備が業界全体で求められるようになりました。そこで、注目度が増していたのがISMSやPマークといった公の認証です

ーー取引先からの要望が背景というわけですね。社内的に情報セキュリティに対する認識はどういった状況だったのでしょうか？

まさにそこがポイントです。取引先からの要望を踏まえつつ、当社がISMSを取得した大きな理由は、会社全体でセキュリティ意識の向上を図っていくためです。インターネットが普及し、サイバー攻撃に晒される危険性が高まったのは事実ですが、そこはシステムを整備すれば対処できます。しかし、会社および従業員におけるセキュリティの意識は、身の回りの整理整頓からクリアスクリーンに至るまで、デファクトスタンダードである情報セキュリティのフレームに基づいて教育しなければ、容易には向上していきません。

ーーPマークではなくISMSを取得されています。個人情報に特化したPマークは、御社のスコープとは異なるということでしょうか？

そうではありません。ISMSは部門単位で取得できることが取得の理由です。Pマークの場合、会社全体で取得する必要があるため、手間も時間もかかります。その点、ISMSは部門単位で徐々に認証範囲を広げていくことが可能。そこでまずは、顧客情報や機密情報が多い3つの部門、ITシステムを管轄する事業部、入札に関連してセキュリティの枠組みが必要な法人事業部、インターネット事業部の3事業部でISMSを取得しました。

ーーISMS取得されてから20年も運用されています。運用と更新を継続するだけでも大変ですから敬服いたします。現在、認証範囲は広がっていますか？

認証範囲の拡大とともに運用が追いつかなくなる

ーー信頼できるベンダーの支援を得ながらISMSを取得し、その後も同様の体制でISMSの取得範囲を広げていったと伺っています。しかし、現在はスリーエーコンサルティングのコンサルティングのもと、ISMSを運用しておられます。なぜ、スリーエーコンサルティングにコンサルティングを依頼されたのでしょうか？

グループ会社が増え認証範囲の拡大が加速化していくと、既存の体制では運用が追いつかなくなっていきました。実際、ITシステムの企画や導入支援といった本来の業務を行いながら、ISMSのドキュメント作成および規程の周知、さらには教育支援のために全国のグループ会社を飛び回っていたため、まったく時間が足りません。ベンダーの支援は我々の部門に対するコンサルティングに限定されていたため、ISMSの実質的な運用は我々だけで行っている状況でした。このままでは本来の業務に支障をきたしてしまうと考え、ISMSに特化したコンサルティング会社を探すことにしました。

ISMSの専門家にお任せできるというのは非常に魅力的だった

ーー情報セキュリティに特化したコンサルティング会社は、ネットで検索すれば多数ヒットします。御社は複数のコンサルティング会社を比較・検討されましたか？また、スリーエーコンサルティングに依頼した決め手をお聞かせいただけますか？

株式会社ヤマダホールディングス　齊藤　哲様

間違いなく、我々の負担は大きく軽減された

ーースリーエーコンサルティングがコンサルティングに携わっている現在のISMSの運用状況をお聞かせいただけますか？

スリーエーコンサルティングにコンサルティングを依頼してからは、年間を通じてISMSの運用を計画的に遂行できるようになりました。例えば、情報資産の洗い出し、内部監査、規程の見直し、教育などは年間スケジュールに沿って実行しています。規程の見直しについては、情報は当社から提供しますが、ドキュメントに落とし込む作業はスリーエーコンサルティングにお任せできます。間違いなく、我々の負担は大きく軽減されました。

ーーお客様の負担軽減は、スリーエーコンサルティングが最初に目指すところですから、安心しました。負担が軽減されたことでISMSの運用に変化はございますか？

以前は目の前の実作業に追われるだけでしたが、現在はグループ全体でどのようにISMSを運用していくかについて深く考えることができます。情報セキュリティガバナンスの仕組みづくりにポジションを移している現在は、理想的な運用の姿といえるかもしれません。

こうしたスリーエーコンサルティングの支援を評価し、現在はISMSのコンサルティングのほか、グループ会社に向けてISMSに準拠した情報セキュリティのフレームづくりを支援していただいています。

ーー「グループ会社に向けてISMSに準拠した情報セキュリティのフレームづくり」とは、どういった支援なのでしょうか?

グループ会社のなかには、ISMSの取得を必要としていないところも少なくありません。しかし、セキュリティリスクを最小限に抑えるためには、情報セキュリティのフレーム自体は必要です。そこで、当社で運用しているISMSのフレームをもとに、ISMSに準拠する形でグループ会社に落とし込んでいく取り組みをスリーエーコンサルティングにお願いしています。

具体的には、1カ月ないし2カ月に1回のペースで個々のグループ会社とスリーエーコンサルティングとでミーティングを実施。情報セキュリティの状況をヒアリングしていただき、個々のグループ会社に合ったドキュメント作成と、グループ会社の特色を活かした運用体制の構築を支援してもらっています。

我々の要求に対して素早いレスポンスで、正確かつ我々が欲するもの

ーースリーエーコンサルティングをフル活用していただいているわけですね。大変嬉しく思います。こうしたスリーエーコンサルティングの支援について、どのように評価されていますか？

満足度は100点満点です。最初に感銘を受けたのは、我々の要求に対してすぐに答えが返ってくる素早いレスポンスです。しかも、その答えは正確かつ我々が欲するもの。例えば、情報機器の取り扱いに特化した教育資料をお願いすると、5〜6時間後には完璧な資料が届きます。また、あるグループ会社の規程を作成したいという要望に対しては、他社の事例を挙げながらすぐに草案が出てきます。本当に素晴らしい対応だと感心しています。

状況に応じた現地対応にも感謝しています。基本的にミーティングはオンライン、内部監査は現地ですが、それ以外もインシデントが発生した際などは状況に応じて現地に足を運んでもらっています。先日も第三セクター方式の障害者雇用モデル企業の情報セキュリティを向上させたいと考え、我々と一緒に回っていただきました。

今後もISMSの認証範囲を広げていくことは間違いありません。グループ会社の方からもISMSの認証が欲しいという声が届いていますから、予算を考慮しつつ、スリーエーコンサルティングのアドバイスを得ながら検討していきたいと考えています。

ーーISMSの取得や運用に悩まれている企業は、世の中にたくさんあるのではないかと推測しています。そういった企業に向けて、ISMSを円滑に運用されている御社からアドバイスをお願いできますか？

株式会社ヤマダホールディングス　釜形　和里様

コンサルティング会社が入ることにより、ISMSの運用計画を一任できるのはもちろん、何よりも各社のセキュリティ状況やサイバーセキュリティの取り組みなどの最新情報を入手できます。つまり、ISMS運用の負担軽減に加え、情報セキュリティの知識を常にアップデートすることが可能になるわけです。そのコンサルティング会社のなかでも、当社が支援をお願いしているスリーエーコンサルティングは、声を大にしておすすめだといえます。ISMSの取得・更新に悩むご担当者は、ぜひご検討ください。

企業紹介文