「ISMSは業務効率の邪魔」従業員の苦情殺到…本当の原因は?

「Pマーク」および「ISMS」は、情報セキュリティ対策について一定の基準をクリアしていることを示す規格です。きちんと対策を施しているというアピールにもなるため、いずれかの認証を受けたいと希望する会社は少なくありません。しかし、同時取得により無駄な業務が増え、かえって非効率が生じるケースが起こりがちです。本記事は『そのセキュリティ対策が会社を潰す』(幻冬舎MC)から抜粋・再編集したものです。

規格ごとの認証ルールを運用した結果、業務が非効率化

以前紹介した記事『よく聞くけれど、知ってる?「Pマーク」と「ISMS」の違い』では、それぞれの規格の違いと取得の必要性を解説しました。情報セキュリティ対策の導入や変更にはコストがかかります。よかれと思って取得した認証が自社の業務に適合せず、想定外の悪影響を及ぼした場合、どう対処すればよいのでしょうか。

 

【事例1】PマークとISMSのダブル取得により生まれた業務の非効率を解消したい

 

 

<A社の概要>

業種:広告会社

従業員数:100人

 

A社はチラシやカタログのデザイン、CMなどを手がけている広告会社で、10年ほど前にPマークを取得、数年前にISMSを取得しました。無事両方の認証取得に成功した情報セキュリティ委員会の担当者がほっと胸を撫で下ろしたのもつかの間、現場から苦情が殺到します。いわく「なんでもかんでもダブルチェックしていたんじゃ、仕事にならないだろう」とのことでした。

 

実際A社はミスをゼロにするために、ダブルチェックを徹底していました。来客記録もダブルチェック、サーバ室入退室記録もダブルチェック、USB貸出管理表もダブルチェック…。そのせいで、いつ見てもオフィス内にはハンコを求めて歩く従業員の姿があったほどです。

 

「ISMSは業務を効率化する仕組みのはずなのに、運用すればするほど、従業員の貴重な時間を奪う結果になってしまう。でもどうしたらいいかわからない」A社の担当者は悩みました。

 

なんでもかんでもダブルチェックしてたら、仕事にならない!と現場から苦情が殺到
「こんな非効率な確認体制では仕事にならない!」と現場から苦情が殺到

 

広告業界やシステム開発業界などでは、PマークとISMSの両方を取得する企業は少なくありません。しかし同時に、二つの認証ルールが並存していることで、無駄な業務が増えている企業が多いのも事実です。A社では次のような無駄が生じていました。

 

●同じような内容の書類を、認証ごとに一つずつ作成している

●内部監査を別々に実施している

● 審査の時期をバラバラに設定しているせいで、審査準備や指摘事項対応が二度手間になっている

 

などこのようなケースでは、PマークとISMSを統合する形でコンサルティングを行う場合もあります。両方の認証に問題のない範囲でルールを一本化することで、効率化を図るわけです。

 

しかしA社のケースで実施した改善策は、「Pマークの返上」でした。Pマークの残念な特徴の一つに、「書類作成業務がかさみやすいこと」が挙げられます。というのも、Pマークを取得するためには、要求事項に挙げられている内容を忠実に実行する必要がありますが、そのためにはどうしても一定数の書類が必要になるのです。それでも多くの企業がPマークを取得するのは、個人情報を取り扱う事業を行う以上、この認証がなくてはならない「免許」のようなものだからです。

 

ところが、A社が展開している事業はチラシやカタログのデザイン、CMなどで、エンドユーザーの個人情報を取り扱う事業はほとんど行っていませんでした。Pマークが必要になるのは、あくまで個人情報を取り扱う場合だけです。広告業界で商売をするなら必ずPマークとISMSの両方が必要というわけではありません。

 

つまり、A社にはそもそもPマークは必要なかったのです。A社は先にPマークを取得していたので、ISMSのルールもPマークのルールを前提として構築されていました。Pマーク返上後もそのままにしていれば、どうしても非効率が生じてしまいます。

 

そこで一度ゼロベースから情報セキュリティを見直し、現時点の組織にとって最適なルールにつくり直そうということになりました。具体的には以下のような変更を行いました。

 

<従来のルール1>

ホワイトリストの条件を満たしていないソフトウェアの使用は禁止。
 

問題点:ホワイトリストの更新が追いつかず形骸化。ルール上禁止されているソフトウェアを使っている人が増加した。

 

↓こう変えた!

 

<新ルール1>

「信頼性が低いサイトからのソフトウェアのダウンロードは禁止」というシンプルなルールを設定。ホワイトリストの更新の必要性がなくなると同時に、禁止されているソフトウェアが明確になった。

 

<従来のルール2>

スカイプなどによるオンラインミーティングはすべて禁止。

 

問題点:遠方の取引先との打ち合わせには、取引先に足を運んでもらうか、こちらが出向く必要があった。

 

↓こう変えた!

 

<新ルール2>

オンラインミーティングの利用を「可能」として、どのように利用するかを社内で明確にルール化した。具体的にはツールの限定と使い方、オンラインミーティングを実施する環境等を明確にした。これにより全国各地の取引先との打ち合わせが可能になった。

 

<従来のルール3>

ウイルス対策ソフトは各自導入していればよく、特別な指定はなし。

 

問題点:従業員によってバラバラのウイルス対策ソフトを使っているため、バージョン管理などが行き届かず、情報保護の観点からリスクがあった。

 

↓こう変えた!

 

<新ルール3>

社内の全端末に、会社として購入したソフトをインストールすることにした。これにより情報漏えいのリスクが引き下げられた。

 

結果として、それまであったルールと現実のギャップがなくなり、パイプ式のファイルで15冊分もあった膨大な書類も格段に減少。従業員に配布していた分厚いルールブックも、10ページ程度のシンプルなものになりました。従業員が納得して実践できる情報セキュリティになったのです。

 

これにより従業員が協力的になったため、PDCAサイクルもスムーズに回り始め、ますますISMSの運用の効率化が進んでいきました。適切な情報セキュリティ対策を構築するためには、A社のように抜本的な方針の変更が必要な場合もあるのです。

コンサルの導入で「人的コストの大幅削減」が実現

【事例2】主担当者一人だけでPマークとISMSを運用したい

 

<B社の概要>

業種:システム開発会社

従業員数:120人

 

ISMSの取得をするにあたって、大きく経済的コストと人的コストを考える必要があります。このうち人的コストは数値化しにくく、事前の把握がおろそかになりがちです。しかし作業量や所要期間などを把握しないままに情報セキュリティ対策の導入を始めてしまうと、想定外の遅れが頻発し、モチベーションが下がってしまい、最終的にプロジェクト自体が頓挫してしまう可能性も出てきます。このような事態を防ぐためには、どの程度の人的コストが必要になるのかを、きちんと検討しておかなければなりません。

 

ISMSの取得における人的コストには、主に次のようなものが想定されます。

 

(1)文章の作成やリスクアセスメントの実施などに必要な人的コスト

(2)決めたルールを運用するにあたっての手間や、現場からの相談対応・状況確認のための人的コスト

(3) 審査を受けるための人的コスト

 

自社単独で認証取得を目指す場合、これらすべてが負担になってきます(1)でいえば、リスク評価のための帳票類の作り方を調べ、フォーマットを作成し、評価基準を定めて…とさまざまなことを考えて、決めて、実施する必要があります。具体的に何時間かかるかは、担当者の能力や会社の状況にもよりますが、「ちょっと残業すればOK」というレベルの作業量でないことだけは確かです。

 

ISMSのルールは入室管理などの物理的なものから、システム関係まで幅広く設けられます。情報セキュリティ委員会の担当者がシステムやITに詳しくない場合、現場から相談を受けても対応するのに必要以上の時間がかかってしまいます。すると部門外のシステムに詳しい人に協力してもらうことになりますから、人的コストはさらに膨らんでいきます。

 

もしこれを、たった一人で処理しなければならなくなったら…。想像しただけで目まいがしそうです。

 

しかし実のところ、多くの中小企業では情報セキュリティ対策の主担当者は一人です。B社の状況も同じでした。同社はすでにPマークを取得しており、今回新たにISMSを取得することが決まったものの、主担当として確保できる人員は一人だけだったのです。しかもこの人はすでにPマークの管理者を務めていたため、情報セキュリティ関連の業務を一人で切り盛りすることになります。危機感を抱いた担当者は、上長にコンサルタントの導入を直談判します。

 

情報セキュリティコンサルタントに依頼して認証取得を進める場合、特に(1)の人的コストは大幅に削減することが可能です。

 

土台となる文書やリスクアセスメントの手法、評価の基準はコンサルタント側で用意できるため、自社の人的コストはそれらの調整と実施だけになります。(2)に関しても、業界の事情などに精通しているコンサルタントであれば、迅速かつ的確に対応できますから、自社でやるよりも人的コストを引き下げられます。

 

メリットに納得した会社側は、コンサルタントの導入を許可。その結果、筆者のところに依頼が回ってきたのです。

 

依頼を受けた筆者が実施した改善策は大きく二つ。すなわちPマークとISMSの統合、そして従業員への教育です。

 

統合については、前述したように二つの認証ルールの一本化を目指して調整を行いました。一から同時取得を目指す場合は、最初からPマークとISMSを一本化して情報セキュリティを構築していきますが、B社の場合は、Pマークの運用体制をすでに確立していたため、Pマークのルールをもとに統一していく作業を行いました。

 

既存のルールからそのまま引用したものもあれば、業務に合わせて書き換えたものもあります。Pマークの継続に影響が出そうなものに関しては無理に一本化せず、Pマーク用のルールとして残しました。

 

教育については社内の定例会議の時間を使い、主担当が講師を務める形で研修を実施。参加がむずかしい従業員は研修の様子を録画しておき、その動画を見てもらう形で教育を進めました。

 

主担当の教育に関しては筆者が直接行い、研修のためのテキストと、その後の確認テストもこちらで作成したものを使いました。ただし、一度や二度、研修と確認テストをしただけでは情報セキュリティ意識の向上は実現できません。そのため教育に関しては継続することが大切です。

 

二つの認証ルールを統合し、従業員一人ひとりの情報セキュリティ意識をレベルアップさせていった結果、現在のB社は本当に主担当一人だけでPマークとISMSの認証を維持し続けています。

 

また、教育を通じて主担当の情報セキュリティへの理解が深まり、従業員からの質問に対して自信を持って回答できるようになったことも、B社での成果の一つです。

 

高いモチベーションを維持しながら働くためには、自分の仕事への自信が必要不可欠です。一人の従業員に情報セキュリティ関連の業務を任せる場合、その従業員がストレスやプレッシャーで体調を崩したり、退職したりするだけで、一瞬にして社内の情報管理が危うくなります。

 

このようなリスクを考えると、たった一人の担当者には気持ちよく働いてもらわなければなりません。教育を通じて担当者に、自分の仕事への自信を持ってもらうことは、巡り巡って情報漏えいリスクの低減にもつながるのです。

 

コンサルティングを依頼することによって発生する経済的コストと、担当者にのしかかる人的コストのバランスは、会社として頭の痛い問題です。しかし確保できる人員が極めて少ない場合は、リスクヘッジの観点からも外部の手を借りることを視野に入れておくことをおすすめします。

 

 

 

幸松 哲也

LRM株式会社 代表取締役 CEO

LRM株式会社
 代表取締役 CEO

新卒で大手システムインテグレータのTIS株式会社に入社しその後外資系IT企業、システム会社を経て2006年12月にLRM株式会社を設立。
「情報は『守る』ためにあるのではなく、『使う』ためにある」をポリシーに、セキュリティダイエットの実現に向けて多伎にわたる提案をしている。
ISMS認証審査機関において主任審査員として審査業務にも携わってきた経験も持つ。

著者紹介

連載その「セキュリティ対策」が会社を潰す

そのセキュリティ対策が会社を潰す

そのセキュリティ対策が会社を潰す

幸松 哲也

幻冬舎メディアコンサルティング

毎年相次ぐ大手企業の情報漏えい事件。その原因の多くは「間違った情報セキュリティ対策」にあります。セキュリティ対策ソフトの導入や情報の持ち出し規定の強化など、一見対策を行っているように見えても、実際には内容が更新…

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

登録していただいた方の中から
毎日抽選で1名様に人気書籍をプレゼント!
会員向けセミナーの一覧