日興電気通信株式会社様

取締役 品質統括 兼 品質管理部部長の宮内利治氏取締役 品質統括 兼 品質管理部 部長
宮内 利治氏
総務部 部長代理の山中一生氏総務部 部長代理
山中 一生氏

映像情報機器を用いたVisual Networkシステムなどの開発設計から製造・販売までを幅広く手がける日興電気通信は、2014年に情報セキュリティマネジメントシステム ISO/IEC 27001の認証を取得した。取締役 品質統括 兼 品質管理部部長の宮内 利治氏と総務部 部長代理の山中 一生氏に、ISO/IEC 27001導入の経緯と活用の状況についてうかがった。

顧客からの信頼を得るためにISO/IEC 27001導入を決断

近年の画像処理技術などの発展により、映像情報は多岐にわたる情報からユーザーが必要とする情報を自動抽出、加工することが可能となっている。日興電気通信は、映像通信技術にネットワークを融合させた「Visual Network」を提唱し、映像情報を「視る」「送る」「活かす」「見せる」といった幅広いニーズに対応する機器・システム・ソリューションを提供している。その用途は、空港や道路などの交通インフラの監視、河川や消防などの防災監視や防犯監視、工場等でのFA用途まで広がりを見せて いる。

同社が、ISO/IEC 27001の認証を取得することになった理由は、顧客からの情報セキュリティに関する要望であった。同社の事業は、主に大手情報通信システム会社から受注し映像監視システムを設計・製造するケースと、官公庁・公共機関向けに入札によってシステムを直接納入するケースがある。いずれも案件ごとにカスタムの映像監視システムを提供するもので、設計開発から運用に至るまで、同社が扱うほぼすべての情報について機密性を確保する必要がある。最大手の顧客である情報通信システム会社からは、日頃から情報セキュリティの強化を求められており、取引に当たってはISO/IEC 27001もしくは同等の情報セキュリティ体制を持つことを要望されていた。一方、官公庁入札においても、納入先や案件によって違いはあるもののISO/IEC 27001の認証が事実上の条件であるなど、情報セキュリティの状況が自社の評価に影響するケースが増えていった。

「設計開発業務のコンピュータ化が進むなかで、機密性の高い情報資産が急速に増えていきました。従来から独自のルールで機密情報を守っていましたが、お客さまの信頼を得るためにはISO/IEC 27001認証が不可欠と判断し、導入を決断しました」(宮内取締役)。

運用とハードの両面で準備を行う

2012年にISO/IEC 27001による情報セキュリティマネジメントシステムの構築に着手し、まず情報収集と規格の理解を進めた。同社は、すでにISO 9001、ISO 14001の認証を取得しており、マネジメントシステムについて知識や経験を持っていたが、ISO/IEC 27001には附属書Aに詳細な管理策が定められており、規格の構成の違いからその理解や適用には戸惑いを覚えた。特に、管理策の専門用語の解釈に迷うことも多かった。

同社では、担当者が、書籍やJQAの規格入門セミナー、研修機関が開催する内部監査員養成講座への参加を通じて規格の知識を深めるとともに、最大手顧客の調達部門に相談しながら情報セキュリティのルールづくりを進めた。

これと並行して、入退室を厳しく制限したサーバー室の設置や、社員通用口のICカード式の電子錠による入退室管理の導入など、物理的、環境的なセキュリティ強化を進めた。さらに、セキュリティレベルを考慮して、納品メーカーとの商談専用スペースを工場と区分けして設置した。

運用面では、運用ルールを全社員にわかりやすく伝えるため、同社独自の「情報セキュリティ・ルールブック」を作成した。規格が求める管理策や顧客からの要求事項を、わかりやすい言葉に書き直してまとめ、全社員が閲覧可能としている。

情報セキュリティマネジメントシステム構築から1年間の運用期間を経て、2014年1月に認証を取得した。

社員の意識向上と顧客の信頼獲得で成果

ISO/IEC 27001の認証取得から約3年間を経て、社員の情報セキュリティに関する意識および知識の向上と、事故の未然防止、顧客の信頼獲得などで成果を上げている。

「情報通信システムは技術の発展がめざましく、利便性の向上と同時にセキュリティリスクも拡大する傾向があります。そのようなリスクに対応していくために、マネジメントシステムで継続的な改善を続けています」(宮内取締役)。

システムを運用するなかでセキュリティリスクについて新たな気づきがあり、改善を図った例もある。例えば、複合プリンターから出力する書類や図面の放置や紛失を避けるため、本人のICカードで認証しなければ出力できないようにした。また、使用が許可されていないアプリケーションソフトをインストールした場合は、情報セキュリティ棚卸しで発見できるので、担当部門に改善を求めている。情報システムの運用監視の記録から、軽微なセキュリティインシデントが発生する傾向を分析し、インシデントを起こしやすい時期には事前に注意喚起を行い、事故の予防と啓発に役立てている。さらに、新入社員向けのセキュリティ・ルールブック入門編も作成した。

顧客からの信頼向上については、ISO/IEC 27001認証取得によって二者監査が簡略化されたことに加え、顧客のサプライチェーンを担う企業としての責任を果たすという意味でも成果をあげている。同社は、サプライヤーに対して同等の情報セキュリティが確保されるよう指導し、サプライヤーとの資料のやり取りについてのルール化を行っている。

「定着の3年間」から、「進化の3年間」へ

今後の戦略について、山中部長代理は次のように語る。
「ISO/IEC 27001認証取得からこれまでの3年間は、いわば『定着の3年』でした。次の3年間は『進化の3年』にしたいと考えています」。

同社では、リスク管理の観点から新しい情報通信技術の導入には慎重な姿勢で臨んできた。例えば、現在同社はオフィスのネットワークに無線LANを採用しておらず、クラウドシステムも活用していない。社員の情報セキュリティへの意識が定着してきたなかで、技術的にも安全性が担保されるならば、今後はこうした新技術も積極的に採用することが可能になる。

「先進技術を適切に活用することで、効率化や生産性の向上とともに、社員のはたらき方も含めた改善、改革を進めていきたいと思います」(山中部長代理)

「情報セキュリティを守ることは、いまや製造業全般の課題になっていると思います。当社は過去3年間で培った情報セキュリティの経験や知識を、今後の技術開発やソリューションにも生かしていきたいと思います」(宮内取締役)。

同社は、今後、ISO/IEC 27001とISO 9001、ISO 14001の統合を行い、一体的な運用で効果的な活用を目指していく。

ISMS組織図

ISMS組織図