家電量販店最大手のヤマダデンキを中心とするヤマダグループの持株会社で、グループ会社の将来を見据えた取り組みと企業価値の向上を図っている株式会社ヤマダホールディングス。ISO27001（情報セキュリティマネジメントシステム：ISMS）の取得経緯と運用状況、スリーエーコンサルティングとの取り組みなどについて、ITDX本部 戦略企画部 IT統制課 課長 齊藤 哲氏、同部 同課 釜形 和里氏に話を伺いました。

スリーエーコンサルティングに依頼した効果

ISMSの運用に関わる人的リソースの最適化

スリーエーコンサルティングの支援がなければ、グループ全体のISMSを運用する事務局のスタッフは、少なくともあと4～5人は必要になります。加えて、事務局の業務は情報セキュリティの知識やコミュニケーション能力が必須のため、人数を増やせば対応できるわけではありません。その点、スリーエーコンサルティングは情報セキュリティの知識やコミュニケーション能力はもちろん、仕事のスピードと正確性も兼ね備えており、何もいうことはありません。人数を増やさなくても、スリーエーコンサルティングだけで十分に対応できています。人的リソースの最適化という意味で、スリーエーコンサルティングは非常に優れたパートナーです。

情報セキュリティに関係するインシデントが半減

スリーエーコンサルティングに教育を担っていただいているおかげで、これまで社内で発生していた情報セキュリティに関係するインシデントは半減したと実感しています。例えば、伝票の紛失といった単純なインシデントは格段に減っています。こうした状況は、我々の負担軽減という意味でも助かっています。

ISMSの取得理由：情報セキュリティのフレームに基づいた教育が必要

本日はヤマダホールディングス様におけるISMS の運用状況をお伺いさせていただければと思っております。お忙しいところお時間をいただき、誠にありがとうございます。まずは、ISMSの認証が必要になった背景をお聞かせください。

きっかけは取引先からの要望です。ISMSを取得した2005年当時、生活のなかにインターネットが当り前のように存在する時代となったことで、情報セキュリティのガバナンス整備が業界全体で求められるようになりました。そこで、注目度が増していたのがISMSやPマークといった公の認証です。

取引先からの要望が背景というわけですね。社内的に情報セキュリティに対する認識はどういった状況だったのでしょうか。

まさにそこがポイントです。取引先からの要望を踏まえつつ、当社がISMSを取得した大きな理由は、会社全体でセキュリティ意識の向上を図っていくためです。インターネットが普及し、サイバー攻撃に晒される危険性が高まったのは事実ですが、そこはシステムを整備すれば対処できます。しかし、会社および従業員におけるセキュリティの意識は、身の回りの整理整頓からクリアスクリーンに至るまで、デファクトスタンダードである情報セキュリティのフレームに基づいて教育しなければ、容易には向上していきません。

PマークではなくISMSを取得されています。個人情報に特化したPマークは、御社のスコープとは異なるということでしょうか。

そうではありません。ISMSは部門単位で取得できることが取得の理由です。Pマークの場合、会社全体で取得する必要があるため、手間も時間もかかります。その点、ISMSは部門単位で徐々に認証範囲を広げていくことが可能。そこでまずは、顧客情報や機密情報が多い3つの部門、ITシステムを管轄する事業部、入札に関連してセキュリティの枠組みが必要な法人事業部、インターネット事業部の3事業部でISMSを取得しました。

ISMS取得されてから20年も運用されています。運用と更新を継続するだけでも大変ですから敬服いたします。現在、認証範囲は広がっていますか。

現在は持ち株会社のヤマダホールディングスの下、グループ会社の部門単位で認証範囲を拡大。現在は40弱まで広がっています。2024年も金融部門と保険部門でISMSを取得しました。なお、個々のグループ会社でISMSを取得する選択肢もありますが、その場合、情報セキュリティガバナンスの構築における一体感が生まれないという問題があります。我々としてはヤマダホールディングス共通のフレームのもと、グループ全体でISMSを運用していくことが一体感を醸成し、情報セキュリティガバナンスの構築につながっていくと考えています。

背景・課題：認証範囲の拡大とともに運用が追いつかなくなる

信頼できるベンダーの支援を得ながらISMSを取得し、その後も同様の体制でISMSの取得範囲を広げていったと伺っています。しかし、現在はスリーエーコンサルティングのコンサルティングのもと、ISMSを運用しておられます。なぜ、スリーエーコンサルティングにコンサルティングを依頼されたのでしょうか。

グループ会社が増え認証範囲の拡大が加速化していくと、既存の体制では運用が追いつかなくなっていきました。実際、ITシステムの企画や導入支援といった本来の業務を行いながら、ISMSのドキュメント作成および規程の周知、さらには教育支援のために全国のグループ会社を飛び回っていたため、まったく時間が足りません。ベンダーの支援は我々の部門に対するコンサルティングに限定されていたため、ISMSの実質的な運用は我々だけで行っている状況でした。このままでは本来の業務に支障をきたしてしまうと考え、ISMSに特化したコンサルティング会社を探すことにしました。

依頼理由：最初に問い合わせたときのファーストインプレッションに感銘

情報セキュリティに特化したコンサルティング会社は、ネットで検索すれば多数ヒットします。御社は複数のコンサルティング会社を比較・検討されましたか。また、スリーエーコンサルティングを選定した決め手も教えていただけますでしょうか。

おっしゃる通り、インターネットで検索した数社で比較・検討しました。スリーエーコンサルティングを選定した理由はファーストインプレッションです。気持ちの良い電話の対応や要望に対する的確な答えなど、最初に問い合わせたときのファーストインプレッションが非常に素晴らしく、ぜひお願いしたいと思いました。また、ISMSのドキュメントにおいては実際に手も動かしてくれるとのこと。ドキュメント作成は非常に負担がかかる作業ですから、ISMSの専門家にお任せできるというのは非常に魅力的でした。

取り組み：2系統のコンサルティングを依頼

スリーエーコンサルティングを選定いただき、誠にありがとうございます。それでは、スリーエーコンサルティングがコンサルティングに携わっている現在のISMSの運用状況をお聞かせください。

スリーエーコンサルティングにコンサルティングを依頼してからは、年間を通じてISMSの運用を計画的に遂行できるようになりました。例えば、情報資産の洗い出し、内部監査、規程の見直し、教育などは年間スケジュールに沿って実行しています。規程の見直しについては、情報は当社から提供しますが、ドキュメントに落とし込む作業はスリーエーコンサルティングにお任せできます。間違いなく、我々の負担は大きく軽減されました。

お客様の負担軽減は、スリーエーコンサルティングが最初に目指すところですから、安心しました。負担が軽減されたことでISMSの運用に変化はございますか。

以前は目の前の実作業に追われるだけでしたが、現在はグループ全体でどのようにISMSを運用していくかについて深く考えることができます。情報セキュリティガバナンスの仕組みづくりにポジションを移している現在は、理想的な運用の姿といえるかもしれません。

こうしたスリーエーコンサルティングの支援を評価し、現在はISMSのコンサルティングのほか、グループ会社に向けてISMSに準拠した情報セキュリティのフレームづくりを支援していただいています。

「グループ会社に向けてISMSに準拠した情報セキュリティのフレームづくり」とは、どういった支援なのでしょうか。詳しくお聞かせください。

グループ会社のなかには、ISMSの取得を必要としていないところも少なくありません。しかし、セキュリティリスクを最小限に抑えるためには、情報セキュリティのフレーム自体は必要です。そこで、当社で運用しているISMSのフレームをもとに、ISMSに準拠する形でグループ会社に落とし込んでいく取り組みをスリーエーコンサルティングにお願いしています。

具体的には、1カ月ないし2カ月に1回のペースで個々のグループ会社とスリーエーコンサルティングとでミーティングを実施。情報セキュリティの状況をヒアリングしていただき、個々のグループ会社に合ったドキュメント作成と、グループ会社の特色を活かした運用体制の構築を支援してもらっています。

評価：素早いレスポンスと正確な答えに満足

スリーエーコンサルティングをフル活用していただいているわけですね。大変嬉しく思います。こうしたスリーエーコンサルティングの支援について、どのように評価されていますか。お聞かせいただけますと幸いです。

満足度は100点満点です。最初に感銘を受けたのは、我々の要求に対してすぐに答えが返ってくる素早いレスポンスです。しかも、その答えが正確かつ我々が欲するもの。例えば、情報機器の取り扱いに特化した教育資料をお願いすると、5～6時間後には完璧な資料が届きます。また、あるグループ会社の規程を作成したいという要望に対しては、他社の事例を挙げながらすぐに草案が出てきます。本当に素晴らしい対応だと感心しています。

状況に応じた現地対応にも感謝しています。基本的にミーティングはオンライン、内部監査は現地ですが、それ以外もインシデントが発生した際などは状況に応じて現地に足を運んでもらっています。先日も第三セクター方式の障害者雇用モデル企業の情報セキュリティを向上させたいと考え、我々と一緒に回っていただきました。

ご評価いただき、ありがとうございます。それでは、御社におけるISMSの今後の展開をお聞かせください。

今後もISMSの認証範囲を広げていくことは間違いありません。グループ会社の方からもISMSの認証が欲しいという声が届いていますから、予算を考慮しつつ、スリーエーコンサルティングのアドバイスを得ながら検討していきたいと考えています。

ISMSの取得や運用に悩まれている企業は、世の中にたくさんあるのではないかと推測しています。そういった企業に向けて、ISMSを円滑に運用されている御社からアドバイスがあれば、ぜひお聞かせください。

大事なのは、ISMSを取得すると同時に情報セキュリティガバナンスを構築することです。しかし、多くの企業はISMSの運用に必要なリソースが不足していることが多いため、ドキュメント作成や更新などに追われるなど、目の前の作業をこなすだけになりかねません。そこで、活用してほしいのがコンサルティング会社です。

コンサルティング会社が入ることにより、ISMSの運用計画を一任できるのはもちろん、何よりも各社のセキュリティ状況やサイバーセキュリティの取り組みなどの最新情報を入手できます。つまり、ISMS運用の負担軽減に加え、情報セキュリティの知識を常にアップデートすることが可能になるわけです。そのコンサルティング会社のなかでも、当社が支援をお願いしているスリーエーコンサルティングは、声を大にしておすすめだといえます。ISMSの取得・更新に悩むご担当者は、ぜひご検討ください。