経営企画・財務担当のトバです。プレイドが、情報セキュリティマネジメントシステム(ISMS)認証を取得しました。今回は、その取得の経緯を書きたいと思います。
目次
ISMS認証取得の目的
情報セキュリティマネジメントシステムとは、企業が持つ情報資産を管理するための仕組みです。企業は多くの価値のある情報を保有していますが、それを適切に管理する必要があります。その管理手法が国際基準に沿って作られていると審査機関から判断された場合、企業は、ISMSの認証取得ができます。
プレイドが提供するウェブ接客プラットフォーム「KARTE」は、企業サイトの貴重な情報をお預かりするサービスです。この情報を厳重に取り扱うことは、弊社として重要な課題と考えています。その観点から、社内の情報資産を適切に管理する仕組みを構築するのみではなく、その信用性を担保すべく国際的な基準に準則させたいとも考えて、ISMSの認証取得を行うこととしました。
準備活動の段階で注意したこと
ISMS認証取得に向けて活動をスタートさせたのは11月初旬。準備活動を通じて留意した点は2点あります。
第一に、ISMSの認証取得を目的としないという点です。ISMS認証取得そのものを目的とした結果、テンプレートをそのまま適用し、実態に合致しない管理体制が出来る企業が多いと聞きました。プレイドがISMS認証取得を行った背景は、適切な情報管理体制を整備するという点ですから、それは避けたいと考えました。結果、認証基準が要求する114項目の管理策(ISO27001:2013付属書A) について、プレイドではどういう管理体制を取るのか、一つ一つ検討していきました。結構大変でしたが、認証基準を準則しつつ社内的にも運用のし易い管理体制が出来上がりましたので、結果的には良かったと考えています。
第二に、社内に工数負荷をかけないという点です。ISMS認証取得はKARTEのリリースと並行した作業になりましたが、そのためにリリースを遅らせることは絶対に避けなければならないと考えました。そこで、認証基準に準則した管理体制を検討する際、現状を踏まえつつ、情報資産のリスクレベルに応じたできる限りの体制を構築することにしました。社内の理解もあり、最終的には、サービスとして期待される必要な管理体制はできたと考えています。
以上の二点を意識した上で社内体制を構築し、その文書化と帳票作成、そして内部監査等の活動を行いました。70前後の文書を作成しましたが・・(笑)。上記のような点に留意したため、運用しやすいセキュアな管理体制が構築できたと考えています。
ISMS認証取得!!
2月と3月にISMSの審査を実施しました。結果、不適合箇所はゼロで、無事にISMS認証取得に至りました。11月から準備活動をさせ、2ヶ月で社内体制構築、4ヶ月で認証取得に至ったのは最短なのではないでしょうか。
無事にISMS認証取得ができた訳ですが、認証取得がゴールだとは考えていません。「KARTE」を安心してご利用いただけるよう、継続して、情報セキュリティ対策の維持・向上に努め、利用者の皆様・社会からの信頼性向上に取り組んでいきたいと考えています。