定型化されているため、負担も少なく進めることができたと思います

ピープルソフトウェア株式会社様は、「＠楽座-rakzua-」シリーズをはじめとする各種サービスの提供、受託ソフトウェア開発、パッケージ開発/販売、ASPサービスを行われている会社です。2015年7月にISO27001を新規取得されました。

ISO27001ご取得のきっかけは？

当社では3年前の設立30周年を迎えた際に、企業理念・経営方針の見直しを行いました。新たな企業理念である「感動価値創出企業」を目指すうえで、5つの経営方針を掲げておりその中の1つに「Compliance経営」があります。ソフトウェア開発を行う上で、特に情報セキュリティに関するコンプライアンス強化が重要と考え、その象徴的な取り組みとしてIS27001の認証取得を目指すことになりました。
また、既にPマーク、ISO9001は取得済みでしたが、取引先からの入札要件としてISO27001の認証取得も要件となる案件が出てきたことも今回取得を目指した理由の１つでもあります。

取得作業中に苦労された点はありますか？

苦労した点としては、拠点が3拠点(岡山、東京、大阪)ありますし、社外に出ている社員も多くいるため、社員全員にISMSの運用を展開していくところが大変でした。特にリスクアセスメントについては拠点や部門の違いによる評価や認識の統一が難しかったです。
ISMSの文書作成については、Pマーク、ISO9001を取得していたことでマニュアルについては社内でベースとなるものがありましたし、バルクさんから頂いた文書類のテンプレートも活用させてもらいましたので、比較的スムーズに進められたのではないかと思います。
全体的には社内で関係者がバックアップしてくれたところもありスムーズに進められたと思います。

審査はいかがでしたか？

1次審査は東京本社で2日間行われました。当初私共が想像していたほど厳しいものではありませんでしたが、豊富な知識と経験を持たれたベテラン審査員の方でしたので、大小さまざまな貴重なアドバイスを頂きました。これがのちの2次審査や、弊社の運用面での向上に対して、大いに寄与しています。
2次審査は東京本社で1日、大阪営業所で0.5日、岡山本社で3.5日審査が行われました。こちらからのたっての希望として一次審査時にお世話になった審査員の方にお願いして、1週間かけて審査を行って頂きました。かなり細かい部分まで見られましたが、いわゆる形式的な審査ではなく運用面を重視した審査で、今まで考えもしなかった部分も審査員の視点でチェックされたので、非常に為になりました。

バルクのコンサルタントはいかがでしたでしょうか？

満足しています。取得までのスケジュールが遅れることもなく、スムーズに進めていけたと思います。
当初リスクアセスメントを理解して運用できるかが不安でした。バルクさんの支援ではこの部分がツールを利用して実施できることで定型化されているため、負担も少なく進めることができたと思います。

取得後の運用を開始されていますが、いかがですか？

取得時に比べて、運用の成熟度は上がっているのではないかと思います。今期、部門毎にセキュリティ目的の策定を行いましたが、取得時よりは実践的な内容で取り組めるようになったのではないかと考えます。
また、自社のSaaSサービスにおける事業継続計画の策定・実施についても検討しています。

今後の課題はありますか？

自社でSaaSサービスを提供していますが、今後は個人情報保護法の改正やマイナンバー制度の開始もあり個人情報の取り扱いや情報セキュリティに関してより一層、顧客の要求も厳しくなっていくと考えています。その要求に対して社員がしっかりと応えられるようにしていくことが重要であると感じています。
社内勤務者についての情報セキュリティに対しての意識の高さは把握できていますが、社外勤務者については把握し辛く、意識のずれが無いか不安があります。弊社では社内勤務者よりも、社外常駐者の方が大きなリスクに接する機会がより多いと考えているので、意識を高めていくことが課題です。ISMSの運用を通してより高いレベルを目指していければと考えています。

ありがとうございました。