プライバシーマーク 98万円 / ISO27001( ISMS ） 198万円 / TRUSTe 39.8万円
中小規模事業者様向けに低価格/簡単/短期間の取得をご支援いたします。

受託開発を中心としたソフトハウスです。この際、ざっくばらんにいえば、まごうかたなきニッポンの零細ソフトハウスです。でも仕事の質には自信がありますよ。現在は社員26人で年商7億4000万円。お客様のお引き合いのおかげです。

--　ざっくばらんな自己紹介をいただいたので、では、こちらもざっくばらんに質問させてください。今回ウッドベルがISMS認証を取得したのは、ズバリ、「取引先や元請けの会社から、『ISMS取得を取引条件とする』と言われた」というのが理由でしょうか？

いや、ぜんぜん違います。ISMSを持っていなくても仕事はとれる。これは明言できます。

--　では、なぜISMSを取得しようと思ったのでしょうか。

これには二つの理由があります。

１．自分の性分として、取得したかった。

経営者としての私の性分として、セキュリティ体制など業務の手順がきっちり整っている状態が好きです。

２．長期的な経営計画の一環として、先手を打って取得するべきと考えた。

ISMSの取得を通じて、社内に、セキュリティという考え方を根付かせること。それは、今後、金融機関や公共団体の仕事を受注しようとするとき、重要視されるでしょう。こうした認証は、取引先に『言われたから』取得するというよりは、言われなくても自発的に取得するという方が、当然、印象も良いでしょう。ISMS取得は、弊社の長期的な利益にプラスになると考えました。

--　率直に言って、ウッドベルの会社規模でISMS取得を目指すとは、またずいぶん敷居の高い規格に取り組んだ物だと思いました。なぜいきなりISMSだったのですか。

同じことを、色々な人から言われました。友人・知人に『今度、ISMSに挑戦するよ』と話すと『馬鹿言ってるんじゃないよ。あんな難しい規格、アンタのところみたいな零細企業が受かるわけないじゃないの。身の程を知らないと』といさめられました。

--　すみません。実は私も若干同じような感想を持っていました。あらためてお聞きします。なぜISMSだったのですか。

実はISMSがどれほど難しい規格なのか、当時はまったく分かっていませんでした。分かっていなかったから怖くもなかったのです。知人が偶然ISMSコンサルタントになっていたので、「じゃあ、そのISMSとかいうの、やってみるわ」という、軽いノリだったのです。

--　怖い物知らずだったのですね。

知識がないおかげで、恐怖心もおきませんでした。身の程知らずだからよかったのです。何のかんのといって、最後は合格しましたし。

--　ISMSは一発で合格したのでしょうか。

いえ、二回目の挑戦で合格しました。最初の挑戦は、はっきり言って大失敗。一次審査を受ける前の、予備審査の段階で、いやになってやめてしまいました。

--　どういう点で、いやになったのでしょうか。

いやになった要因は、以下の三点です。

１．ISMS規格そのものが理解不能。何がなんだか、さっぱりわからなかった。

２．情報資産の洗い出しからリスク分析作業の、あまりの煩雑さにくじけた。

３．現地審査の時の審査員に、ぼろくそに言われて、精神的にもめげた。

--　では一つずつお伺いしたいと思います。最初の要因「ISMS規格そのものがさっぱりわからなかった」というのは具体的には。

ISMSにおいては、情報資産の扱い方について、いろいろと規定や要求があります。しかし最初の頃は、何が期待されているのか、どう応えればいいのか、さっぱりわかりませんでした。

最初のイメージでは、ISMSという何かの細かい規則があって、わからないなりにも、それを鵜呑みにしておけば、合格点がもらえるのだろうと思っていたら、これが大きな間違い。そうではなく、ISMSは、その基本思想なり全体の骨格なりを理解していないと絶対に合格できない規格でした。

例えば、日本史の試験問題なんかで、「大化の改新は何年ですか」といったタイプの問題なら、大化の改新の意義など知らなくても、645年と答えておけばマルがもらえます。しかし、「大化の改新が日本史に与えたインパクトについて述べよ」という設問には、自分なりの日本史観がないと回答できないでしょう。

ISMSもそれと同じで、ISMSが求めるセキュリティ像を把握し、それを自分の言葉で説明できるようでないと、合格できないのです。でも、当時の私のセキュリティ理解は、「脆弱性って、何それ？」という、お話にならないレベルでしたから。

--　次のポイント、「情報資産の洗い出しからリスク分析作業のあまりの煩雑さに挫折した」というのは具体的には？

ISMSとは「社内の情報資産を管理するための手法、規格」とも言えます。ですので、まず最初に、社内の情報資産を洗い出し、リスク分析しなければならないのですが、この作業の繁雑さにはほとほと参りました。

--　「情報資産」の定義は何ですか？

社内に存在する「情報」で、「なくなったり不備があったりすると経営に支障をきたすもの」が「情報資産」です。ということは、サーバ内の顧客情報や、経理情報はもちろんのこと、見積書の控えや注文書の控えなども、情報資産に該当します。それら一つ一つにつき目録をつくり、管理の手法や保管の年限を定義しなければならない。面倒この上ない作業です。

--　例えば、どんなふうに面倒なのでしょうか。

そこの本棚に「わかるAccess97」という本がありますね。これも一種の「情報資産」と見なせます。この本の扱い方を例にしてご説明しましょう。もしこの本を、情報資産として扱おうとすれば、以下のような質問に答えなければならなくなります。

1. 現在、社内のAccessは、Access2003である。Access97で作ったプログラムを納品することはない。だとすれば、なぜここにAccess97の本があるのか、理由を述べよ。
   
   （これに対し、「単なる入門書ですから」とか「これでとりあえず概要をつかんで…」といったあいまいな回答は許されません）
   
   
2. （上記の質問に対し、「わかるAccess97」が必要な理由はかくかくしかじか…といった回答をした場合、次には以下のような質問が来ます）
   
   「わかるAccess97」が業務に必要な情報資産であるというのなら、その管理方法を定義しなければならない。今後、何年間の間、どのような体制で保持管理するのか、管理方法を定義せよ。
   
   （これに対し、「本なのだから本棚に入れておくだけです」といった回答は許されません）
   
   
3. 「わかるAccess97」が業務に必要な情報資産であるというのなら、その本の中に誤字脱字、誤記述がどの程度あるのか、調査せよ。もし誤記述があるのなら、それが業務にどの程度、影響を及ぼすのか定義せよ。
   
   （これに対し、「そんなの知るか！」と回答してはいけません）

ISMSの場合、一次審査に先立って予備審査を受けることが出来ます。予備審査は、本試験の前の模試みたいなものです。予備審査においては、審査員の質問に的確に回答できなければなりません。

しかしながら、このときの審査員の質問にはほとほと参りました。

--　どう参ったのでしょうか。

弊社のような中小企業がISMSを受けることは、彼にとっては非常識なことだったようです。何を回答しても否定されました。例えば、弊社では、経理や人事、総務などの管理業務は、すべて社長の私が行っていますが、これが彼の目には、理解しがたい野蛮な体制に映ったようです。

--　中小企業において、経理、人事、総務を社長が兼任するのは、しごくありふれた話だと思いますが…。

ところが、その審査員に言わせると、「そんな管理はありえない。それで企業が成り立つはずがない」といって、頑として認めない。そんなこと言ったら「じゃあ、アンタの目の前にある、このウッドベルという会社はどうなるんだ。こういう体制で十数年経営してきたオレはどうなるんだ」ということです。目の前の現実を認めようとしない、硬直した考えの審査員でした。

ISMSは分からない。情報資産の洗い出しは発狂寸前の面倒くささ。さらに予備審査ではぼろくそに言われる……。こんな面倒ならISMSなんか取れなくていいやと、すっかりやる気がなくなり、いったんは投げ出してしまいました。2005年の初め頃のことです。

--　そうしていったんは中断したISMSの取り組み。どういうきっかけで再開したのでしょうか。

やっぱり一度始めたことは最後までやり遂げなきゃなと、時を経るうちに、そんな気持ちになってきました。ワークストラストのコンサルタントである相馬さんと知り合ってたのは、その頃です。なかなか良さそうな方だったこともあり、よし、もう一度やってみるかという気になりました。これが2005年の初夏のことです。

--　そうして、約半年後の2006年4月には、見事ISMS認証に合格しました。今、振り返ってみて、合格の要因となったのは。

以下の４点が要因であったと思います。

１．相馬さんの指導が的確だったこと。

２．ワークストラストから提供されたPRAMというリスクアセスメント ソフトウエアが、「使えるソフト」であったこと。

３．自分自身、ISMSに対する理解が格段に深まっており、一次審査、二次審査において堂々と受け答えできたこと。

４．社員が、ISMS取得の必要性を理解してくれたこと。その上で情報資産洗い出しなどの面倒な作業も、一致協力して取り組んでくれたこと。

--　では一つずつお聞きしたいと思います。一つめのポイント「相馬さんの指導が的確だったこと」というのは具体的には。

相馬さんは、説明が上手い。論理を押しつけるのではなく、たとえ話など使って、相手に分かるように、流れをつくっていくタイプの説明でした。流れが見えれば、「全体像」もつかみやすい。一次審査、二次審査で、審査員の変化球の質問に堂々と答えられたのも、事前に、「全体像」を把握できていたからだと思います。

先ほど述べたとおり、社内の情報資産の洗い出しからリスク分析まで、そして管理方法の定義には、非常な忍耐力を必要になります。しかしPRAMを使えば、そういう作業が簡単にシステマティックに行えます。これは助かった。PRAMがなかったら、また途中でいやになって投げ出していたかもしれません。本当に便利でした。

--　具体的にはどのように便利だったのでしょうか。

箇条書きで順々に述べるならば、以下のようになります。

１．一回入力した項目を転記せずにすむ。更新やメンテがラク。

２．次々と入力していくことで、無意識のうちにISMSに準拠した管理が出来る。

３．帳票まわりが充実している。極端に言うと、PRAMの出力画面を印刷すれば、それがそのままISMS審査機関に提出するドキュメントとして使える。

--　PRAMなしで作業を進めるとしたら、どうしていたでしょうか。

最初に取り組んだ時にはPRAMの様なツールを持っていなかったので、ExcelやWordを使って、力業で作業していました。そして以下の問題点が出てきました。先ほど述べたPRAMの長所と裏返しの問題点です。

１．Excel管理の場合、一回入力したデータを元に、別のドキュメントを作るときに「転記」が発生する。

２．転記が発生するということは、一つのデータが、複数箇所にコピーされてるということ。変更、修正はきわめて困難。

３．ExcelだとISMSを意識出来ない「作業」になってしまう。

４．提出ドキュメント（帳票）は自分で作らなければならない。打ち直し、入力し直し。

このようにExcelを使うと、大変な面倒を負うことになります。百歩譲って、もし試験を一回パスすればそれで終わりという話なら、ExcelでもOKです。要は、面倒だろうが何だろうが、忍耐と根性でドキュメントを作って、提出してしまえばよいからです。

しかし、ISMSの場合は、一回で終わりではありません。毎年の維持審査、三年に一回の更新審査があります。このたびに、Excelでいちいちドキュメントを作っていたのでは、疲労困憊です。

ISMSのリスクアセスメントにPRAMを使うか、それともExcelを使うのか。これは、経理において、弥生などの会計ソフトを使うか、それともExcelで力業で頑張るか、というぐらいに効率に差が出ます。

--　ISMSを取る際の適用範囲は二通りに分かれます。部門だけを適用範囲にするのか、それとも、営業や経理など全社全部門を適用範囲にするのか。今回、ウッドベルは、全社適用を選んでいますが、これは部分適用に比べて、準備作業も多くて大変だったと思うのですが、なぜあえてキツイ道を選んだのでしょうか。

ウチのような小さな会社で、部分的にISMSを取得してもあまり意味がないという、正論が理由の一つ。もう一つの理由としては、社長である私の名刺や、営業マンの名刺に「ISMS取得済み」と刷りたかったということがあります。

--　全体適用でないと、ISMS取得済みと名刺に刷れないのでしょうか。

例えば、情報システム部門を適用範囲としてISMSを取得した場合、「ISMS取得済み」と名刺に刷って良いのは、情報システム部門の社員だけです。社長や営業マンの名刺に「ISMS取得済み」と刷るのはルール違反です。

でもISMSを会社の信用拡大につなげたいのなら、外に出て行く立場、つまり社長や営業担当の名刺に書けないと意味がありません。こういう事を考えても、中小企業がISMSを取得するなら、全社を適用範囲にしないと効果が薄れると思います。

--　とはいえ、営業部門をISMSの適用範囲にするのは躊躇しませんでしたか。率直に言って、営業部門をセキュリティでがんじがらめにすると、仕事にならなくなる、つまり売り上げが上がらなくなると思うのですが…。。

いや、それは大丈夫です。ISMS規格のうち、自社の営業体制に合わないものは、採用を拒否すれば良いのです。

--　でも拒否したら認証がもらえないのでは。

そのようにみなさん思いこんでいますし、そういう指導をしているコンサルタントもいるようですが、単なる勘違いです。ISMSには127の管理案がありますが、実はこれら全てを受け入れなくても、審査に合格することは可能です。ただし、その場合は、審査員を十分に納得させるだけの理由を説明できなければなりませんが。

--　つまり、「自社に合わない決まり」に対しては「受け入れません」と宣言してしまえばよいと。

宣言するだけではだめです。拒否するからには、それなりの理由が説明できなければなりません。理由を聞かれて口ごもるようなら、そこで不合格です。

--　では、審査員にこう聞かれたらこう答えるといった、「想定問答集」を準備しておく必要があると。

いや、そういう問答集はたぶん役に立たないでしょう。審査員もプロですから、おざなりの回答はすぐに見抜きます。「あなたは今＊＊と言いましたが、では、＊＊の場合はどう対処しますか？」というように、様々な角度から、応用質問を投げかけてきます。それに堂々と答えられないと合格できません。

--　今回、鈴木社長は、審査員の前で堂々と理由を述べて、見事合格したわけですね。

まあ、何とかなりました。これは相馬さんのコンサルティングに負うところも大きかった。事前にISMSの全体像をしっかり把握できていたので、余裕を持って本番に望めました。審査員の応用質問、ひっかけ質問に堂々と対応するには、全体像を骨太に把握しておくことが必須ですから。

また、堂々と答えるだけでなく、論理的に答えなければなりません。論理的に答えるためには、自社の情報資産の状況、リスク分析情報を「論理的、体系的に」把握していなければなりません。この点においては、PRAMが大いに役立ちました。PRAM上では、社内のリスク状況を、論理的、体系的に表現されています。PRAMにデータを登録していけば、ごく自然に体系的な理解が進みます。

--　今後はワークストラストとどのように関わっていく予定でしょうか

現在、ワークストラストのコンサルタントと共同で、ISMSの継承規格であるISO27001を取得する活動をしています。ISO27001は、ISMSとほぼ同等ですが、それでもいくつか差分の項目があります。そこを効率よく、学習するために、やはりコンサルタントの協力、そしてPRAMの活用が必要になるでしょう。現在のセキュリティレベルを今後も維持していくのは、なかなか大変なことですが、しかしせっかく取得したISMS。継続しなければ意味がありません。その意味でもワークストラストの今後の支援に期待したいところです。

--　最後に、現在ISMS取得を目指している全国中小企業にひとこといただければ。

ISMSを恐れることはない。中小企業でも、やる気になれば取れる。それを声を大にしてお伝えしたいですね。相馬さんのような良いコンサルタントに巡り会え、PRAMを利用すれば、本番でも堂々と説明できるようになります。やればできます。がんばってください。

--　今日は貴重なお話を有り難うございました。

こちらの事例はpdfファイルでダウンロードできます。
こちらを右クリック「対象をファイルに保存」を選択してPCにダウンロードして下さい。
　　　　　　　　
※ ウッドベルシステムのWebサイト
※ 取材 カスタマワイズ
※ 取材日時 2006年3月