事例紹介
豊富な実績と高度なノウハウに基づくコンサルティングサービスを活用し、情報セキュリティマネジメントシステム(ISMS)を短期間で取得
株式会社ヤマダ電機 様
ソリューション、製品・サービス
2010年12月01日

SUMMARY
- サービス名称:情報セキュリティコンサルティングサービス、ISMS(情報セキュリティマネジメントシステム)
認証取得支援コンサルティングサービス、ISO/IEC 27001対応継続審査支援コンサルティングサービス - サービス概要:企業の情報セキュリティに関するコンサルティングを包括的に行うサービス及び、
経験豊富な認証取得ノウハウを持つコンサルタントによるISMS認証取得支援サービス。
INTERVIEW

認証取得プロジェクトチーム
上席理事
IT事業本部 システム事業部
システム開発部 部長
赤穂俊次氏
USER PROFILE

設立:1983年9月(創業:1973年4月)
資本金:単体707億円(2009年3月31日現在)
従業員数:単体1万7498人(2009年3月31日現在)
本社所在地:群馬県高崎市栄町1-1
主な事業内容:家庭電化製品ならびにオーディオ機器・健康器具・介護関連機器・OA機器の販売と修理、ビデオソフトレンタル、ソフトセル、書籍の販売
本事例に掲載された情報は、取材時点のものであり、変更されている可能性があります。なお、事例の掲載内容はお客様にご了解いただいておりますが、システムの機密事項に言及するような内容については、当社では、ご質問をお受けできませんのでご了解ください。
導入の背景 家電量販店業界トップの社会的責任を果たすためにISMSを導入
「情報管理を徹底させる」経営ポリシー

ヤマダ電機様は、2005年に国内専門量販店において初の売上高1兆円を達成すると同時に、47都道府県すべてで店舗ネットワークを構築。名実ともに業界のリーディングカンパニーの地位を確立した。その後も「お客様第一」の視点で「創意工夫」を実践し、キャッシュフローを重視したローコスト経営によって成長を続け、2009年度の売上高は1兆8000億円を突破している。現在、地域密着型のフランチャイズ事業、コンテンツビジネスの強化、リサイクル事業への取り組みなどを通して他社との差別化を図りながら、「売上高3兆円」と「市場シェア30%」を目標に経営を推進中だ。
同社はCSR経営を実践するため、コンプライアンス、労働、環境、顧客満足(CS)の4つをテーマに掲げている。情報セキュリティ対策はその施策の1つ。「情報管理意識を徹底させる」経営ポリシーのもと、早くから社内にセキュリティ委員会を設け、対策に取り組んできた。
その過程で、2005年4月に個人情報保護法が全面施行となり、個人情報の管理に対する世間の関心が一気に高まる。
IT事業本部 システム事業部 システム開発部 部長 赤穂俊次氏は、同社の情報セキュリティ管理について次のように語る。
「当社のような大型家電量販店は、一般企業と比べて従業員の平均勤続年数が短く、人の入れ替わりも頻繁にあります。また、従業員も正社員だけではありません。パートタイマーやヘルパーなども合わせると、かなりの数にのぼります。個人と法人合わせて取り扱うお客様の個人情報は膨大で、情報漏洩の危険性は決して低いとはいえません。そのため当社は、個人情報保護法の施行前から、セキュリティ委員会で情報管理を徹底する施策を検討し、実行してきました。とはいえ、当時の段階では十分な対策ができているとはいい難いものでした。個人情報漏洩が自社の基盤を揺るがしかねない状況の中で、セキュリティレベルの向上は急務だったのです」
PDCAを回すことで、適切なセキュリティレベルの維持・向上を図る
一方、個人情報保護法が施行される2005年前後から、家電量販店業界全体に情報マネジメントシステムの構築機運が急速に高まっていた。そこで、同社は第三者機関による情報セキュリティ認証制度であるISMS認証の取得を決断する。
「ヤマダ電機は、業界トップ企業として社会的責任を果たす義務があります。同業他社がISMSやPマークを取得していく中で、遅れを取るわけにはいきません。そこで、ISMS認証を短期間でいち早く取得し、PDCAを回すことで、適切なセキュリティレベルを維持・向上させることを目標に掲げました」(赤穂氏)

選定理由 短期間の取得を目指してコンサルティングサービスを活用
選定の決め手は高度なノウハウと豊富なコンサルティング実績
ISMS認証の取得において、ヤマダ電機様はスピードを最優先に掲げた。2005年当時、同社は他のISO関連を含めて、第三者評価機関の規格を取得した経験がない。そのため、認証を取得するまでに「何を」「どのように」「どこまで」やるべきかといった、ノウハウは持ち合わせていなかった。自社で認証を取得するとなると、すべてを一から勉強しなければならず、膨大な時間を要することは明らかだ。そこで、「少人数のプロジェクトメンバーで、かつ短期間にISMS認証を取得するため、日本ユニシスのコンサルタントのノウハウを最大限活用することにしました」と赤穂氏は振り返る。
同社は、複数のコンサルティング会社でコンペを実施した中から日本ユニシスをパートナーに選定した。採用の決め手となったのは、実績とノウハウだ。日本ユニシスは、2001年に情報セキュリティ管理の国際標準であるBS7799認証を日本で初めて取得。翌2002年にはISMS認証を取得し、以来強固なセキュリティ管理環境を、多くのクライアントに提供してきた。
「日本ユニシスは、ISMS取得に関して高度なノウハウを持ち、コンサルティングの経験も豊富です。そのため、短期間に効果的なセキュリティ対策を実現したい当社の要求にマッチしていました。また、過去には情報漏洩防止ソリューションや、簡易セキュリティ診断サービスなどの導入実績があり、サポート力の高さやレスポンスの良さは高く評価していました」(赤穂氏)

高度な情報管理が要求される本社の3部門に先行導入
2005年9月、ISMS認証のプロジェクトチームが組織され、認証取得プロジェクトがスタートする。プロジェクトメンバーは、ヤマダ電機様6名、日本ユニシスのコンサルタント1名の総勢7名だ。
ISMSの導入範囲は、スピードを優先して絞り込み、高度な情報管理が要求される本社の法人事業部、情報システム部、Web事業部の3部門とした。対象となる社員数は3部門合わせて50名程度。
「ISMSで保護すべき情報として、法人事業部は取引先の名簿、見積り情報、与信情報などがあります。情報システム部は、基幹システムで扱う受注/販売/在庫/商品マスターや、システムの開発/運用/保守に関する情報などが対象です。Web事業部は、Web通販に関する商品情報、顧客情報などすべてを含みます」(赤穂氏)
コンサルティングのポイント 的確なアドバイスを受け、スムーズにリスクアセスメントを実施
PDCAを回しながらセキュリティリスクを最小化

ISMS認証の導入に際し、同社は準備段階として書類の整理と社員の意識改革から始めた。赤穂氏は次のように語る。
「プロジェクト開始前まで、社員のセキュリティ意識は高いとはいえませんでした。書類の整理が十分にできておらず、デスクには書類が山積み。パソコンのディスプレイに情報を表示したまま長時間離席している社員もいました。倉庫内には、複数部署の書類が乱雑に保管され、どれがどの書類か見分けがつきません。また、部署内の入口に入退室管理システムを装備しているにも関わらず、ドアを開放したままにしていることもありました。そこで、不要な書類は整理・廃棄し、入退室管理を徹底するなどして、社員にセキュリティの重要さを訴えました」
その後、部署内の書類が整理され、不要な情報を廃棄するなどして社員の意識が高まった段階で「リスクアセスメント」に移行する。まず、日本ユニシスのコンサルタントの支援を受け、情報資産を洗い出し、脆弱性や脅威を明確にするリスク分析を実施。さらに分析結果に基づき、リスクの高い順にセキュリティ対策を施していった。
「最も苦労した作業は、情報資産の洗い出し作業やリスク分析といったリスクアセスメントです。リスク分析の結果を見て、経営陣が指定したレベルより高いリスクに対してはセキュリティ対策を実行しました。セキュリティ対策を講じてもリスク値をクリアできなかったものについては、別方向からのセキュリティ対策を講じました。複数の対策を立てて検証を繰り返しながら、課題を一つひとつ克服していきました」(赤穂氏)
リスクアセスメントに要した期間は約1カ月半。赤穂氏は「日本ユニシスの的確なアドバイスのもと、情報量の多さを考慮すると予想以上に作業をスムーズに進めることができました」と語る。
マニュアル、手順書などの作成に日本ユニシスの豊富なテンプレートを活用
ISMS認証の導入には、大量の文字で埋め尽くされた複雑な規程やマニュアルの作成がつきものだ。プロジェクトではユーザー向けマニュアルを簡略化することで、徹底して解りやすさを追求。ユーザーの利便性を考慮し、規程やマニュアルはユーザー用と管理者用の2種類に分けた。
「マニュアルは読んでもらわなければ意味がありません。そこで、マニュアルは2種類に分けました。また、解りやすい図や絵を使い、理解を助けるための工夫をしています。これは、日本ユニシスの助言によるものです。自社だけでは、どのようなマニュアルが適当か分かりません。その点、日本ユニシスには豊富な経験と実績があります。マニュアル作成に関しても『必要な要素が盛り込んであれば問題はありません。分かりやすいマニュアルを作りましょう』と提案していただきました」(赤穂氏)
ポスター、スクリーンセーバー、シール等を活用してセキュリティ対策を徹底
一方、社内では、セキュリティポスター、啓発スクリーンセーバー、啓蒙シールを作成。社員一人ひとりが確実にセキュリティ対策を実施するための工夫を凝らした。
「セキュリティポスターには、“整理整頓”“シュレッダーを活用”といった、社員が気をつけるべき項目を8個記し、社内の目立つ場所に貼りました。啓発スクリーンセーバーは、パソコン上にセキュリティ対策の項目が順次表示されるように設定しています。また、ISMS啓発シールを社員のデスク周りに貼り、セキュリティ意識の浸透を徹底させました」(赤穂氏)

同時に、社内のセキュリティ委員会において、プロジェクトチームがISMS認証取得の意義や重要性を説明。会長や社長をはじめとする役員に対し、協力・支援を訴えた。ポスターやスクリーンセーバーがボトムアップ型とすれば、役員からの協力・支援は、トップダウン型の対策だ。同社はボトムアップとトップダウンの両方を活用することで、セキュリティレベル全体の底上げを図ることに成功したのだ。
【効果と今後の展望】社員の意識改革と、情報管理の徹底化が実現
コンサルティングの活用で客観的なリスク分析を実行
マニュアル・規程作成、記録書類作成、セキュリティ教育の実施および内部監査等、数々の工程を踏み、同社はISMS認証の取得を申請。第1次、第2次の審査を経て、2006年7月5日に認証を取得した。プロジェクト開始から取得まで、わずかな期間で完了することができた。導入プロジェクトについて、赤穂氏は次のように評価する。
「日本ユニシスのノウハウや経験をフルに活用することにより、短期間に効率的な対策が実施できたことは大きな成果です。また、セキュリティの専門家の意見を積極的に採り入れたことで、投資対効果の高いセキュリティ対策が実現しました」
ISMS認証の導入によって、最も大きな効果が現れたのは、社員の意識改革だ。赤穂氏は「社員の中に“情報管理を徹底しなければならない”という意識が浸透しています。デスクも常に整理整頓され、機密情報が放置されることがなくなりました」と強調する。
また、2008年4月から始まった内部統制報告制度、いわゆるJ-SOX法に対してもISMSのPDCAで回してきたノウハウを活用することで、スムーズに対応できた。
全社的な拡大と、グループ企業への展開を検討中
ヤマダ電機様は、他社には類を見ないほどのスピード感で経営を推進されています。そのため、PDCAサイクルは非常に短く、何ごとも短期間で行わなければなりません。ISMS認証の取得に際しては、実績豊富な日本ユニシスのノウハウやテンプレートを積極的に活用することで、短期間に取得されました。
ISMS認証は、取得して終わりではありません。導入後も常にPDCAサイクルを回しながら改善を重ねていく必要があります。ヤマダ電機様も1年に1回の更新作業を継続して実行されていますが、当社も規格のバージョンアップや監査等で支援させていただいています。外部の第三者が入ることで適度な緊張感を保つことにつながり、結果的にセキュリティレベルの向上に貢献できているのではないでしょうか。
1年に1回の監査によって、実施すべきセキュリティ対策は常に明確になります。2008年7月にヤマダ電機様の本社が前橋市から高崎市へ移転した際も、毎年の更新作業によって実施すべき課題がクリアになっていたため、早い段階からセキュリティ対策を組み込むことができました。その結果、本社移転によってヤマダ電機様のセキュリティレベルは格段に進化を遂げ、理想的な環境が実現しています。

日本ユニシス担当者からの一言

今後は、当初からの目標であった対象部署の全社的拡大を検討している。グループ企業に対してもISMS認証の取得を積極的に推進していく考えだ。「現在、ISMSの導入を検討しているグループ企業が複数あるので、実現に向けて動き出したいと思います。その際、当社のメンバーが主体で導入コンサルティングを担当し、日本ユニシスにサポートを依頼する体制で臨めれば、導入コストの削減につながるでしょう」と赤穂氏は展望を明らかにしている。
事例のポイント
ヤマダ電機様の今回の事例は、ISMS認証を短期間に取得して社内の情報セキュリティ対策環境の向上を図り、企業としての姿勢を明確に打ち出すためのものだ。
ISMS認証導入のポイントは以下の通り。
・スピード経営を掲げるヤマダ電機は、短期間にISMS認証を取得するためにコンサルタントを活用。パートナー選びでは、実績とノウハウを重視して日本ユニシスを選定した。
・ISMSの導入範囲は、スピードを優先して絞り込み、高度な情報管理が要求される本社の法人事業部、情報システム部、Web事業部の3部門とした。
・リスクアセスメントでは、日本ユニシスのコンサルタントの支援を受け、情報資産への脅威を洗い出した。リスクレベルを設定し、PDCAを何度も回しながら、課題を一つひとつ克服。場当たり的なセキュリティ対策から投資対効果の高いセキュリティ対策が実施できた。
・マニュアルは、日本ユニシスの助言の下、図や絵を使いながら、解かりやすいものを作成。手順書や帳票類などの書類は、日本ユニシスの豊富なテンプレート(ひな型)を活用し、大幅な時間短縮を実現した。
・社内では、セキュリティポスター、啓発スクリーンセーバー、啓蒙シールを作成。社員一人ひとりがセキュリティ対策を実施できるように工夫を凝らした。同時に、社内のセキュリティ委員会でISMS認証取得の意義や重要性を説明。会長や社長をはじめとする役員に対し、協力・支援を要請した。
・リスクアセスメント、マニュアル作成、書類作成等の作業を経てISMS認証の取得を申請。2006年7月5日にISMS認証を取得した。
・日本ユニシスのノウハウを活用することで、短期間に効率的な対策を実施。また、セキュリティの専門家の意見を積極的に採り入れたことで、客観的なリスク分析ができた。
・ISMS認証の導入によって、社員のセキュリティ意識は大幅に向上。デスクは常に整理整頓され、機密情報が放置されることがなくなった。
・導入後は、1年おきに更新しながら情報セキュリティ対策を進化させている。2008年4月のJ-SOX法対応の際も、ISMSのPDCAで蓄積したノウハウを活用することで、スムーズに対応できた。
- *iSECURE、SECUPOPは、日本ユニシス株式会社の登録商標です。
- *その他記載の会社名および商品名は、各社の商標または登録商標です。