審査員も認めるISMS運用。９割女性のIT企業が実践する高水準の情報管理

今回のISOプロが訊くは、九州は鹿児島に拠点を置く『株式会社エム・ディ・エス』様にリモートインタビューでお話を伺いました。エム・ディ・エス様はデータ入力やシステム開発のアウトソーシングを手掛け、直近ではシステム開発にも力を入れています。約15年前からPマーク（プライバシーマーク）を取得し、Ｐマーク以上の高い水準で個人情報の管理を徹底してきました。今回、自治体の案件を入札すべくISO27001（ISMS）認証の取得をしています。
今回のインタビューでは個人情報管理を徹底してきたエム・ディ・エス様のISO27001の取得背景やISOプロの取得サポートについて詳しく伺ってきました。

アウトソーシングの情報処理サービスを提供するエム・ディ・エス様

－－早速ですがエム・ディ・エス様の事業内容について教えて下さい。

橋元様：
弊社は鹿児島に拠点を置き、九州を中心に全国の企業や公共団体、自治体向けにシステム開発やデータ入力、ITインストラクターのアウトソーシング全般の業務を行っております。総勢125名が在籍しており、全体の9割が女性です。元々、親会社からデータ入力部門が分離独立して現在の会社に発展した経緯もあり、現在も多くの女性が活躍しています。
高度な技術と共にお客さまに寄り添った細やかな気配りで最高のサービスをご提供することを特に心がけています。

－－さまざまな事業を行っているかと思いますが、今でもデータ入力系の仕事が多いのでしょうか？

橋元様：
最近だと紙媒体から電子化への流れもありますので、データ入力の案件は減ってきております。逆にシステム開発の案件の方が段々と割合を占めてきていますね。

－－拠点が鹿児島でいらっしゃるので、やはり九州のお客さまが多いのでしょうか？

橋元様：
お客様の大半は鹿児島の会社様が占めておりますが、九州内ですと福岡にも拠点を置いています。九州外でも業務が発生することがあり、その時は業務発生の度に出張するという形を取っていましたが、最近では東京や茨城などに拠点を置き始めています。

入札に参加できなかった悔しさからISO27001取得へ

－－ISO27001を取得される以前からPマーク（プライバシーマーク）を取得されていらっしゃったとお聞きしています。

橋元様：
弊社はお客さまの会社が持つ個人情報を扱っております。2003年に個人情報保護法が公布されてすぐにPマークを取得いたしました。当時からPマークが求めている水準以上で取り組み、厳格な運用を心掛け実践しておりました。重要な情報を取り扱い、その情報を管理する重大な責任があると考えています。

－－とても徹底されていらっしゃいますね。そんな中、今回ISO27001の取得に踏み切った理由についてお聞かせいただけますか。

橋元様：
弊社は各自治体様のお客さまが多く、入札に参加することが多いです。近年、入札条件としてISO27001の認証取得が求められることが増えてきていたので、数年前からISO27001の取得を検討していました。
そんな中、どうしても入札したい案件が公示されたのですが、ISO27001取得が必須条件だったため参加できずに非常に悔しい思いをしました。

－－その悔しさからISO27001取得に向けて動き出したんですね。

橋元様：
はい。今回のような機会損失をしないように早期取得を目指すことにしました。

本業に支障なし。負担を感じることなくISOを取得

－－早期取得を目指すにあたって、どういった課題がありましたか？

橋元様：
認証取得のための専任者を確保できなかった点です。そのため自分たちだけで取得をしようとすると、かなりの労力と時間がかかると判断し外部のコンサルへ依頼することにしました。そこから複数社調べていく中で、ISOプロ様を見つけました。

－－今回、ISOプロへご依頼いただいた決め手についてお聞きしたいと思います。

橋元様：
ISOプロ様へお願いしたのは、「スピードプラン」があったことが主な理由です。
“4ヶ月で取得したい”などの私たちの要望をISOプロの営業の方がしっかり受け止めた上で、「大丈夫です」と言ってくださったことで、任せても大丈夫そうだという印象を受けました。要望をしっかり聞いてくださる点やスピーディーな対応、コスト面、担当者の人柄など総合的にみてISOプロ様へご依頼することに決めました。

－－ありがとうございます。実際ご利用いただき取得はスムーズに進みましたでしょうか。

橋元様：
おかげさまで、業務が滞ることなく審査に向けて順調に進めました。正直なところ、“早期取得”ができるかどうか半信半疑の部分もありましたが、打ち合わせやヒアリング、マニュアル作成などを迅速に進めていただけて概ねスケジュール通りに取得することができました。通常業務に支障をきたすことなく、負担に感じることも本当になかったので助かりました。

審査員に評価された高水準の運用

－－今回のISO27001の認証取得で業務プロセスに変化はありましたか？

橋元様：
Pマーク以上の水準で情報管理を行っていたこともあり、業務プロセスの大きな変更は必要ありませんでした。審査員の方からもマニュアルだけでなく、実際の運用も適切にできていると評価いただけました。

－－情報管理を徹底しているからこそですね。従業員の動きに変化はありましたでしょうか？

橋元様：
Pマークを10年以上も運用していたこともあり、個人情報に対する従業員の意識は元々高かったと思います。ISO27001の認証を取得してからは個人情報だけではなく、さまざまな情報セキュリティに対する意識が高まってきました。具体的にはチェックリストを細かくしたり、漏れがないようにしたりと各個人が自主的に取り組んでいます。

－－今後の課題を教えてください。

橋元様：
取得したISO27001を維持し改善していくのが今後の課題かと思います。いまは指摘を受けたところがきちんとできているかの確認や今後どのような目標を立てていくのかなどアドバイスを貰いながら進めています。自分たちだけでは気づけないところをISOプロ様にご指摘いただきながら、一緒に取り組んでいければと考えています。

－－私どものほうこそ、今後ともよろしくお願いいたします。
橋元様、本日はお忙しい中インタビューにお答えいただきありがとうございました。

まとめ

今回のインタビューを振り返り、エム・ディ・エス様の情報セキュリティへの意識の高さと責任感の強さが伺えました。エム・ディ・エス様のお客さまは公共団体や自治体が多いこともあり、個人情報保護法が公布されてすぐにPマークを取得し、求められる水準以上で管理運営してきました。入札参加のためにISO27001取得へ舵を切った際に大きな業務プロセスを変更せずに取得することができたのも、高水準で管理運営してきたことが活きたのだと思います。
ISO認証ではマネジメントシステムの継続的な改善が求められます。お客様の情報を守る責任を妥協せずに徹底するエム・ディ・エス様の“改善し続ける”姿勢はISOを有効活用する上で非常に強力な武器になっています。

案件を公示している官公庁や取得を求める取引先も、ISO取得企業は“継続的な改善を行っている”という前提・信頼のもとで依頼をしています。形だけISO認証を取得しても、「価値ある継続的な改善」に繋がらなければ、その信頼を裏切ることになりかねません。
継続的な改善を実現するためにも、企業の実情に合わせたISOを構築することが重要だと、エム・ディ・エス様へのインタビューで改めて気付かされました。