情報セキュリティ強化の一環として『ISMS認証取得』&『Pマーク更新』しました!

こんにちは!

突然ですが、みなさまは「情報セキュリティ」や「ISMS」という言葉をご存知ですか?
情報セキュリティとは企業や組織の保有する情報資産を守ること。ISMSとは、その情報セキュリティを管理するための仕組みを指す言葉です。

高度な情報化社会となった現代において、企業や組織は情報セキュリティを強化する事が重要視されています。
RRJでは、個人情報の取り扱いが基準を満たす企業に与えられる「プライバシーマーク(以下Pマーク)」の運用を10年以上継続しています。
そしてこの度、新たにISMS認証を取得いたしました!
本記事では、ISMS認証の取得とPマークの更新についてご紹介いたします!

ISMSとは?

ISMSとは「Information Security Management System(情報セキュリティマネジメントシステム)」の略称で、企業や組織が保有する情報資産の漏洩や改ざんなどを防ぎつつ、適切に有効活用できる仕組みです。
第三者であるISMS認証機関に、企業や組織が構築したISMSの取り組みが基準をクリアしていると認められると「ISMS認証」を取得する事ができます。

ISMS認証を取得することでその企業や組織のセキュリティレベルが向上し、取引先や顧客の信頼にも繋がります。また、情報を取り扱う体制が整備されるため業務の効率化も期待できるというメリットもあります。

ISMS認証を取得するまで

それでは、具体的にどのような流れでISMS認証の取得に至ったのでしょうか?
RRJのPマーク運用と今回のISMS認証取得の取り纏めを担当している社員に話を聞いてみました!

認証取得への経緯を教えてください

ISMSの取得はRRJグループ会長の昔からの念願でもありました。
RRJがISMSを取得する目的は以下の2点です。

  • RRJが個人情報のみならず、情報セキュリティ全般をISMS基準に従って管理していることを内外に示す
  • 社員の情報セキュリティ管理についての意識を高め、管理体制を強化する

RRJではPマークを2024年に7回目の更新をしました。Pマークの運用については10年以上の経験があるため、社員の成長を鑑みて、このタイミングでISMSを取得する運びとなりました。

ISMS認証を取得するまでの流れを教えてください

工程1
取得計画の策定・スケジューリング
ISMSを取得する目的や認証範囲、取得するまでの目標期間を決定します。
また、社内のISMS委員会の設立、社内教育や内部監査、ISMS認証後のISMSパトロールなど、年間を通じて実施するアクションのスケジューリングを行います。
工程2
認証機関の選定
ISMSを認証する審査機関を決定します。
弊社では株式会社マネジメントシステム評価センター(MSA)様に審査の依頼をすることに決定いたしました。
工程3
ISMSの構築
ISMSの規格要求事項に合わせて社内ルールを策定します。
情報セキュリティポリシーの策定・リスクアセスメントの実施・リスク対策の決定と実施などを行いました。
工程4
ISMSの運用
実際に決めた社内ルールに従って、ISMSの運用を行います。
また社内教育もこの時点で実施しております。
社内ISMS委員会により内部監査とマネジメントレビューを実施しました。
これら一連の流れを文書化し、記録しました。
工程5
一次審査
一次審査をMSA様に実施いただきます。
主にISMS文書が適切に整備されているかどうか、この時点で該当のISMS文書の不備等がないか等の確認が行われます。
不備が多い場合、次の二次審査に進むことができません。

ISMS文書とは

認証にあたり、ISMSを構築する上での基本方針や目標内部監査の管理規程情報資産管理のマニュアルなど、複数の文書の作成が求められます。

工程6
二次審査
引き続き、MSA様に実施いただきます。
ISMS文書に沿って実際の運用状況の確認が審査員により行われます。
一次審査で確認した書面上のルールが実際に機能しているのかの確認が行われます。
実際には二日間にわたっての審査となりました。
またサーバルームの確認など、ハード面の確認もここで実施されます。
工程7
認証
審査を通過すると認証となります。
RRJは4/25に認証をいただきました。
※認証内容の詳細はこちら

ISMS取得にあたり苦労したことやエピソードを教えてください。

まずは膨大な文書の量、そして範囲の広さに圧倒されましたが、Pマークとの共通点も多く、情報を整理しながら準備をすすめてまいりました。
同時に社内の体制作り教育用マニュアルの作成など行うべきことは多岐にわたりました。

中でも、ISMSにおいてもっとも大がかりなアクションとして「情報資産管理台帳」の作成があります。具体的には社内に存在するすべての情報資産を洗い出す作業です。
情報資産の棚卸というべきアクションでしたが、ISMS委員会に属する役員や、各グループリーダーが率先して情報資産の洗い出しをすすめてくださいました。
結果、情報資産を改めて整備することができたのはISMS取得アクションの効果として非常に意味がありました。

あわせて物理的な会社設置機材の点検や見直しなど、よいタイミングで実施するいい機会となりました。

また印象深いものとしては、ISMSでは「事業継続計画」というものがあります。「事業継続が困難な状況に陥った際、あらかじめ復旧手順など計画を準備しておき、その計画に基づき訓練(トレーニング)を行う」というアクションです。
今回はクラウドサービスで障害が発生した際の対策について計画を策定し、訓練を実施いたしました。システム上の防災訓練のようなものとなりますが、改めて実際にやってみることの重要性を実感いたしましたし、とてもよい経験になりました。

Pマーク更新について

続いて、Pマークの更新についても教えてもらいました!

Pマークの運用を継続する目的はなんですか?

既に運用面で10年以上の実績があることが、取引先様への安心感につながると考えております。今回は7回目の更新ですが、常に個人情報の取り扱いについては最新の情報にアップデートしていく必要性を感じており、 また社員の教育の為にも非常に重要かつ有効であることから、引き続きPマークを更新することにいたしました。

7回目の更新にあたり、どのような所が大変でしたか?

前回から今回の更新に至るまで、フォーマットの変更規程の変更などがあり、都度、最新版に更新しておく必要があります。 またそれに合わせて個人情報保護マニュアルの更新等、アップデートを行っていきました。 非常に複雑かつ理解が困難な部分についてはコンサルタントの方にご相談しつつ整備を行いました。 併せて、RRJ公式サイトや各種サービスサイトの更新作業も行っております。 社員のPマークの教育については十分に行き届いているため、確認テスト等でも問題は見受けられず、 Pマークの運用が会社に継続的に定着していることを改めて実感いたしました。

最後に、ISMSとPマークの運用についての展望をお聞かせください

ISMS・Pマークを社内規範の一つとして位置づけることで普段の業務の標準化・効率化につながり、結果として事故を未然に防ぐことに非常に有効だと考えています。そのため、ISMSもPマークも取得すること以上に、運用を継続・維持することが重要だと考えています。 お客様から安心して業務をお任せいただける、お取引きをさせていただく信頼の証として、社員一丸となって引き続き運用していきたいと考えております。

まとめ

以上、RRJのISMS認証の取得とPマークの更新についてご紹介しました。
ISMS認証の取得には時間と労力を要しますが、厳しい審査を通過することで高い信頼性を得られることが分かりました。
そして運用を継続していくには企業のメンバーが常に情報資産の取り扱いを意識し、状況に合わせて改善していく事が大切なんですね。
具体的な工程を初めて知り、改めて情報セキュリティの重要さを感じる事ができました。
貴重なお話をありがとうございました!