情報誌 ISO NETWORK Vol.25

組合せ審査によるISO 27001 & JIS Q 15001認証取得事例 テクノスクエア株式会社 将来の発展を見越して、会社が小さいうちに情報セキュリティの浸透を図る

代表取締役 小峰則明氏 代表取締役 小峰 則明氏

神奈川県川崎市を拠点に、コンピュータシステム、ソフトウェア、ハードウェアの開発・販売など、幅広い事業を展開するテクノスクエア株式会社は、2012年11月、個人情報保護のJIS Q 15001と情報セキュリティのISO 27001の組合せ審査を受け認証を取得した。代表取締役の小峰 則明氏に、両規格を組み合せて認証を取得するメリットや、成長過程にある企業が情報セキュリティに取り組む意義などについてうかがった。

経営上のメリットを考えプライバシーマークからJIS Q 15001とISO 27001へ

テクノスクエア株式会社は、2002年10月に設立、社員の平均年齢31歳という若い会社でありながら、大手企業のソフトウェアシステムの開発など、幅広い業務を手がけている。同社は、2011年2月にプライバシーマークを取得したが、更新時期を迎え、JIS Q 15001とISO 27001を組み合わせた認証取得へと切り替えた。これには、どのような経営判断がはたらいたのか、まずそのあたりをうかがった。

「2年前、情報セキュリティに関する認証が必要だと考え、プライバシーマークを取得したのですが、当社は一般のお客さまを対象にする業態ではないので、事業にマッチしなかったのです。実際に大手のお客さまと契約を行う場合も、情報セキュリティに関してはISO 27001の認証取得を求められることが多く、経営上もその方が有利になると判断しました」(小峰則明代表取締役、以下同)。

ISO 27001を取得したことで、お客さまから送られてくる取引開始契約書の枚数が半分になったケースもある。従来の契約書には、4〜5ページにわたって情報セキュリティに関する文書がついてきたが、それがなくなった。

一方、個人情報に関しては、事業の分野では扱っていないものの、会社の信頼確保のためにはその適切な管理が重要になる。社員の情報はもちろん、採用関係でも個人情報を扱うため、それを守る意識はもっていたいと考えた。そこで個人情報保護の規格JIS Q 15001があることを知り、ISO 27001と合わせて認証を取得することを決定した。

ところで、テクノスクエアの名刺からプライバシーマークが消えてしまうことで、デメリットはなかったのだろうか。「お客さまからは『Pマークはどうしたの?』と、尋ねられることがありますが、『その代わりにJIS Q 15001を取りました』と説明しています。しかし、如何せん認知度が低いことは課題だと思います。『JIS Q 15001って何ですか?』と聞かれるのです。Pマークのように分かりやすいネーミングがあると、アピールしやすくなりますよね。それによって規格の認知度も上がり、営業面でのメリットにもなっていくと思います」。

では、プライバシーマークとJIS Q 15001の規格の違いはどこにあるのだろうか。テクノスクエアでは、プライバシーマークからJIS Q 15001に、まったく問題なく移行できたし、どちらの認証を取得しても同じ効果が得られるという。「むしろ今回のポイントは、JIS Q 15001とISO 27001の組合せ審査を受けたことにあります」。

コストや手間の面でも大きい組合せ審査のメリット

組合せ審査を受けるにあたって、テクノスクエアでは、2つの規格の要求事項を共通化するよう工夫した。具体的には、管理規定などの文書について、同じような部分を共通化したり、別々にあったものを1つにまとめたりした。この狙いは、長期的な運用を考えて、システムを簡素化することにあった。会社として1つの仕組みとして扱えるように共通化することで、運用効率を高めたのだ。

組合せ審査に関して、JQAでは、同じ審査員が、両方の規格の審査を同時に行っている。同社はこのメリットは大きいと評価する。

「もしも、プライバシーマークを更新し、さらにISO 27001認証を取得しようとすれば、大変なことになっていたと思います。二重に仕組みを作らなくてはならないですし、審査についても、最後は人間が判断することなので、プライバシーマークの審査員とISO 27001の審査員で意見が食い違う場合もあるでしょう。審査機関が同じなら、こちらの仕組みも共通化しやすいし、審査のまとまりもよくなると思います」。

じつは、マニュアルの共通化や簡略化についても、審査員の言葉がヒントになった。また審査の工数については、前回のプライバシーマークが2日、今回はISO 27001とJIS Q 15001の組合せ審査で2日、コストもほぼ同じだった。

営業部 坂内雅之氏 営業部 坂内 雅之氏
総務部 岩田優氏 総務部 岩田 優氏

社員数が少ないうちに新しい仕組みの構築・浸透を図る

プライバシーマークからJIS Q 15001とISO 27001への切り替えには、もう一つ、将来の事業拡大を視野に入れた重要な理由がある。

「新たな仕組みを作る場合、社員数が少ない方が浸透しやすいのです。当社の社員数は次年度、おそらく50人を超えますが、その前に新しい仕組みを作ってしまおうと考えました」。

社員数が200人、300人の状態で新たな仕組みを導入すると、一大事業になってしまう。じつは、プライバシーマークを取得したときも、社員数が20人を超えたばかりだったため、コンサルタント抜きでやれると判断し、自力で取得したといういきさつがある。

「私は、『会社が小さいから、まだいいじゃないか』という発想は逆だと思います。小さいうちに仕組みを作った方が、きちんと運用できますし、後から入ってくる人は、その仕組みに自然と馴染んできます」。

新たな仕組みの浸透に向けて、テクノスクエアでは、どのような取り組みが進められているのだろうか。ISO 27001認証取得によって、情報セキュリティに関する社員のモチベーションは上っている。

また、JIS Q 15001認証取得によって、個人情報保護についての確実な取り組みへの意識づけができているという。現在、新入社員はe-ラーニングで学習しているが、全員の意識を共有化するには、実際の教育の場が必要になってくる。そこで、四半期に一度、全員が集まる会議を重点的に活用している。また、お客さまとの名刺交換も、重要な機会だ。

「当社の名刺には、2つの規格のマークがついていますが、お客さまに尋ねられた際に、マークの意味を説明できように知識を蓄えておく必要があります。そもそも認証を取得することが目的ではなく、事故を防ぐことが目的ですから、社員に浸透させていくことは、会社の将来に向けた重要なステップなのです」。

テクノスクエア株式会社の概要

所在地 神奈川県川崎市
創 立 2002年10月
従業員数 43人(2012年4月現在)
業務内容 コンピュータソフトウェアの開発および販売、コンピュータハードウェアの開発および販売、コンピュータシステムの企画・設計・開発およびコンサルティング
ISO 27001初回登録 2012年11月2日
JIS Q 15001初回登録 2012年11月2日