取得率100%!ISMS認証が取得できるかはコンサル選びで決まる【株式会社UPF】|サイバーセキュリティ.com

取得率100%!ISMS認証が取得できるかはコンサル選びで決まる【株式会社UPF】



どうも、サイバ課長サイよー。

  • eコマースにおける販売記録データやPOSデータの活用に取り組む企業が、5年前に比べ3倍以上増加
  • Webサイトのアクセスログや動画/映像視聴ログ、ブログやSNSの記事データ、GPSデータ、防犯監視カメラデータの活用に取り組む企業が、5年前に比べ2倍から多いものでは5倍以上に増加

2020年、総務省が、日本企業におけるデジタルデータ活用の実態を把握するため、民間企業の従業員を対象としたアンケートを実施したサイ。

その中で、マーケティングや新たなサービス・商品の開発を目指したデータ活用が急拡大していることを示す、このような実態が明らかになったサイよ。

日本企業におけるデータ活用の現状「分析に活用しているデータ」より/総務省

このような背景から、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)認証に注目が集まるのも当然サイね。

ただ、ISMS認証を自社単独で取得するのは至難の業と言われているサイよ。

今回は、累計716社(2022年9月1日現在)のISMS取得支援実績を持つセキュリティーコンサルティング企業、株式会社UPFに突撃取材。

代表取締役 仲手川 啓 氏に、ISMSを取得するメリットやコンサルタント選びで失敗しないコツについてお聞きしたサイよ。

ごめんくだサーイ!

ISMS(ISO 27001)を取得する事業者数は?

ISMSを取得する事業者はこれからも増えるサイか?

ISMS認証登録数の推移(2022年度は8月26日現在)/一般社団法人情報マネジメントシステム認定センター


仲手川啓 氏(以下、仲手川)
はい。これからも伸びていくと思います。近年は特に、認証取得数の増加スピードが速くなっていますね。
ISMSを取得した会社は、今後も更新してずっと持ち続ける。
そして、ISMSを保有している会社は、取引先にもISMSの取得を求めます。
このため、これからもISMS取得事業者数は、掛け算式に増えていくはずです。

ISMSとプライバシーマーク、どちらがいいか迷うサイね・・

仲手川
「ISMSとプライバシーマークのいずれかを取るならどちらが良いか」というご質問、よくいただきますね。
「プライバシーマークよりISMSの方がなんとなくかっこいい」、というような印象を持っている人が多いですが、両者は全くの別物です。

ISMS(ISO 27001) プライバシーマーク
対象 組織が判断するすべての情報 主に個人情報
規格 JIS Q27001:2014(ISO/IEC 27001:2014) JIS Q 15001:2017
付与単位 組織が決めた適用範囲 法人単位
付与期間 3年間 2年間
審査機関 30団体以上の審査機関から審査費用や審査特色を確認し、選択可能 条件に合わせて固定されている。選択の余地がほぼない。

まず、保護対象が違います。プライバシーマークは主に個人情報を対象にしています。個人情報保護法が元になっている制度なので、個人情報を扱う企業がしなくてはいけないことを示すガイドラインとなる「JIS Q 15001」に沿ってシステム全体を構築することが大切です。

どちらかというと、プライバシーマーク認証取得を通して、コンプライアンス、就業規則を作っているようなものです。
一方、ISMSには明確なガイドラインはなく、基本方針を決定するところからスタートしなくてはいけません。
また、ISMSは個人情報だけではなく、情報資産全体に関わっていることも大きな違いです。

プライバシーマークに対しISMSは保護対象が広く、またルール作りの自由度が高いということサイね

仲手川
さらに、プライバシーマークは会社全体で取得しますが、ISMSには適用範囲という概念があり、企業単位ではなく部署単位でも取得できます。

よって、ISMSでは、この場所が、この部署が、この部屋が、セキュリティ上大丈夫かどうか、セキュリティのレベルが一定の基準を満たしているかどうかを審査しています。
そもそも、審査機関が違うというのもプライバシーマークとISMS認証の大きな違いです。

ISMS(ISO 27001)を取得するメリット

ISMSを取得するメリットを確認させてくだサイ!

仲手川
ISMSを取得するメリットは、大きく2つです。まず、情報セキュリティインシデントの発生を未然に防げること。そして、第三者認証を取得することで、対外的な信用を高められることです。
入札の条件として、ISMS取得済みであることが求められることも増えています。

僕が発注側だとしても第三者のお墨付きがある企業に発注したいサイね

仲手川
ISMSは、SaaS系のサービスを提供しているIT企業や、クラウドサービスを展開している企業が取得することが多いです。

第三者に認証されているということは、その企業の開発環境やビジネスモデルが、100%とは言えないながら、少なくともISOの基準をクリアしている、ISMSの基準を満たしていることを意味します。
ISMS取得が入札の条件として明示されていない場合でも、未取得の企業よりも高い評価を得られることは言うまでもありませんよね。

自社単独で取得を目指してもメリットほぼなし!逆にコスト増

ISMSの必要性は分かったけど、自力で取得するのは難しすぎるサイね・・

仲手川
そうですね。ISMS取得を検討し始めた企業は、「手間が増えるのが嫌だな」、「本当に取れるのかな」、「取得した後が大変なんじゃないかな」と悩み、コンサルタントを入れることを検討します。
とくに中小規模企業では、一般社員が通常業務をしながらISMSの勉強をすることは現実的ではありません。

僕も通常業務で精一杯。同感サイね・・

仲手川
社長から「ISMSを取得するから勉強しなさい」と指示を受けたものの、日常業務をしながらの勉強に無理が生じてしまう担当者も少なくありません。
一般社員にあれもこれもと強いることは、結果、コンサルタントを活用するより人件費がアップしてしまいます。

残業する社員も、残業代を支払う会社も不幸サイね・・

仲手川
次に、プロの手を借りるべく、コンサルタント会社選びを始めるわけですが、多数の会社がある中、「どこを選べばいいのかな」と迷っているうちに、コンサル選びを失敗する方がいるのです。
この、コンサル選びという最初のステップでの失敗を防ぎたい。

UPFに寄せられたコンサル選びの失敗談を教えてサイ

仲手川
まず、自社だけで取得しようとして、結局つまずくというパターンです。
そのような企業は、「ちょっと自分たちでやってみたんだけど、上手くいかなかったから助けて欲しい」と、UPFに相談に来られます。

自力で取得を試みた企業の場合は、ギブアップも早い!
でも、このように早めに相談してくださるのはありがたいですね。
マネジメントシステムの構築段階からコンサルタントと組んで取得を目指す方が、絶対に効率的なので。

その他のパターンは?

仲手川
一番多いのが、自社のスタンスと合わないコンサルタント会社と組んでしまい、目標が達成できずにUPFに相談に来られるパターンです。
コンサルタントが「取得できる」って言うから契約したものの、結局達成できずに終わり、最終的に当社に相談にいらっしゃる。

ISMSコンサルタント会社は大きく分けて3タイプ

それはひどい!コンサルタント会社も様々なタイプがありそうサイね。

仲手川
ISMSの取得支援を行うコンサルタント会社は、大きく分けて次の3タイプに分かれます。

コンサルタント会社のタイプ 特徴
セミナー・レクチャー型 ISMSの概要や取得方法などの基本的な知識を、セミナーやレクチャー型で提供することを主体にする。
代行型 マネジメントシステムの構築・運用、レビュー、申請書類の作成などを一貫して請け負う。「丸投げ型」もある。
伴走型 基本的な知識を伝えつつ、実務においては現場でサポート。一部、業務の代行も担う。

ISMS取得のためには、コンサルタント会社の選び方が非常に重要です。コンサル選びからISMS取得の取り組みが始まっているといっても過言ではありません。

安さ重視でコンサルを選ぶのはいかがサイか?

仲手川
コンサルタントを入れた方が良いことは知っていて、コンサルタント会社に支援を依頼したが、安いだけの会社を選んだために、「必要なことをやってくれなかった」「結局取得できなかった」という方が少なくありません。
そのようなコンサルタント会社から、「あなたの会社が悪かったから取得に失敗したのですよ」と言われてしまったと、当社に相談に来られた方もいらっしゃいました。

取得できなければお客さんのせいとは、ひどいサイね!

仲手川
「とにかく安い」というのが売りのコンサルタント会社は、セミナー・レクチャー型の会社に多いですね。
安いだけの会社では、申請書類を一切作らず、書類の作成はお客さんがすべて行うというパターンが多い。
質問を受ければ回答するが、そもそもお客さんが、自分が何を分からないかが理解できないため質問すらできない状態に陥ります。

UPFの場合は、「ISMSとプライバシーマークどちらか」とか基本的なことも相談できるサイか?

仲手川
もちろん。例えば、人を送り込む立場にある人材派遣業だと、「個人情報の取り扱いについて教育済みの人材を送り込めます」と顧客企業にアピールできるため、プライバシーマークの方を取得します。

一方、SaaS系・クラウド系のビジネスを展開している企業は、ISMSを取得する場合が多いですね。
人材派遣も行っているIT企業では、ISMSとプライバシーマークの両方を取る場合もあります。

このように、ISMSとプライバシーマークのどちらが最適かは、企業によって異なりますので、お客様のお話を伺ってアドバイスさせていただいています。

それなら安心サイな!

仲手川
ISMS認証取得にあたり、推進担当者など人材の選出と役割の決定が求められますが、UPFでは、顧客企業内のチームメンバーの選出についても支援しています。

実際、「誰をチームに入れたら良いのか分からない」という質問は良くいただきます。
「このような属性の人だと取得が早いですよ」とか、「こういう人が担当者を務める傾向がありますよ」とか、細かくアドバイスさせていただいています。

ただ、推進担当者には、UPFが一からレクチャーさせていただいて、知識を蓄積していただけるので、正直なところ、どのような方が担当者になられても大丈夫なのですけどね。

ISMSコンサルタント選びで最も大切なこと

コンサルタント会社を選ぶときに一番重要な点を挙げると?

仲手川
「自社とスタンスが一致したコンサル会社と組むこと」です。
ISMS取得の取り組みは、コンサルタント会社選びから始まっています。
会社選びを間違えてしまうと、ISMSを取ることができないまま、二軒三軒とたらい回しになってしまい、お金だけがかかってしまう。
コンサル選びのステップで間違えてしまう方は、驚くほど多いです。

まず、自社のスタンスを知るべきということサイね。

仲手川
面倒なことをやってくれた上に、会社の体制を整え、かつ担当者の方にもレクチャーをしてくれるというコンサルタントが最適な場合もある。

逆に、コンサルタントに頼りすぎず、自社で手と足を動かして書類を作成したい。コンサルタントにはレクチャーだけをして欲しい。面倒なことを自分たちでやればそれだけ覚えるし、勉強できるからという場合もある。
また、安さ最優先なら、分からないことだけ質問できる・レクチャーだけをしてくれるコンサルタントが良いかもしれません。
コンサルタント会社の違いを理解して、自社のスタンスに合ったところを選んで欲しいですね。

自社の代わりに全部やってくれる「丸投げ型」コンサルだと楽そうサイが?

仲手川
はい。実際、丸投げできるコンサルタント会社を求めている人もいる。
事実、本当に丸投げですからね。
実際のオフィスの状況とは異なる内容で書類を作成して、審査を通す、テクニカル的に認証だけを取るということもプロならできる。
ただ、事故が起きてしまうリスクを放置したまま、認証だけを取っている状態であることを理解しなくてはいけません。

「丸投げ型」コンサルで認証を取った後はどうなるサイか?

仲手川
そもそも、マネジメントシステムの認証とは、企業での実際の業務に沿って、セキュリティの仕組みが機能していることを認証することです。
コンサルタント会社に丸投げして形だけ整えた仕組みが、その会社で運用できるはずがありません。

実際に、情報漏洩などのインシデントが発生したときに、この机上のマネジメントシステムが全く機能しないことが露呈してしまうのです。

年に1度の更新審査や毎年の維持審査もあるサイね

仲手川
更新審査や維持審査を通過してISMSを維持するためにも、面倒なことはやってくれるけど、しっかりと体制を整えながら企業の担当者が理解できるように導いてくれる、そんなコンサルタント会社を選ぶべきですよね。

ISMS取得支援実績716社 国内シェアトップクラス

UPFのISMS取得支援実績は716社にも上るサイね(2022年9月1日現在)

仲手川
セミナーだけの参加企業も足したら、さらに数字が上がりますね。
UPFの新規契約企業の87.4%が、既存のお客様からのご紹介です。
顧客企業とはISMS認証取得後も密に関わっているからこそ、新しいお客様を紹介していただけるのだと思います。

そもそもUPFがセキュリティコンサル事業をはじめたきっかけは?

仲手川
UPF自身は、最終的には、コンサルタントに頼らず自力でプライバシーマークを取得しました。
社内にコンサルができる者がいたこともあり、自社で認証を取得する過程で得たノウハウをお客様に付加価値として提供し始めた、というのがはじまりです。

“最終的には”とは?

仲手川v
その当時は、プライバシーマーク取得というのは、どの企業にとっても一大プロジェクトのようなものでした。UPFでも、プライバシーマーク取得にあたり、最初はコンサルタントを依頼しましたよ。
でも、今思えば、何でコンサルを入れたのだろうというような、粗悪なコンサルタント会社だったため、自力での取得に切り替えました。その後、2019年にISMSを取得していますが、このときは、初めから自力で取得していることは言うまでもありません。

わずか十数年前なのに、認証取得の敷居が高かったサイな

仲手川

仲手川氏は書籍も出版している専門家です

当時はコンサルタントへ依頼すると、200万円~300万円と高額な上、そのサービスの質が金額に全く伴わないものでした。上から目線なコンサルタントも多く、サービス業なのにサービス業っぽくない。
当時、そこに違和感を覚えたのは事実です。

周りのコンサルタント会社に対して感じたそのようなストレスを解消してくれる会社、自分たちが求めていたことを具現化してくれる会社、そんなコンサルタント会社が必要な人がいるならUPFでビジネス化して、広げたかったというのがセキュリティコンサル事業をはじめた理由の一つですね。

ISMS審査員の裏事情

UPFでは、ISMS認定審査員がコンサルタントとして活躍中とのことサイね

仲手川
ISMS認定機関にて現役で審査員を務めている者が、コンサルタントにいます。
UPFでは、認定機関による審査の前にリハーサルを実施していますが、審査員の目線でアドバイスするからこそ、本番の審査でミスを防げるのです。

審査員自らがコンサルもしているって、意外サイね・・・

仲手川
実は、ISMSのコンサルタントもしている現役の審査員は、少なくありません。
審査員だけでは食べていけないのですよ。副業として個人でコンサルをする審査員も多いです。
要注意なのが、審査員をしていることと、ケースについての知識があることとは全く別物という点です。

審査員がコンサルだから万全ということではないサイね

仲手川
審査員がコンサルタントをしていたとしても、個人のコンサルタントだと顧客企業と一緒に、うんうんと唸りながら一から答えを導き出さないといけないところがある。また、それが最適解とも限りません。

審査員がコンサルタントをしていることよりも、最新の審査の傾向や数多くのトラブル事例を理解していることのほうが重要。ケーススタディがあることのほうが大切なのです。

UPFではどのような体制を組んでいるサイか?

仲手川
UPFの場合、コンサルタントに現役の審査員が名を連ねているだけではなく、コンサルタントたちがプロジェクトチームを組んでいます。

支援先企業が審査で指摘を受けた場合、一人のコンサルが属人的に解決するのではなく、チームでの最適解を支援先にフィードバックしています。
審査員もしているコンサルタントをメンバーに含む、チーム全体で導き出した最善の解をフィードバックしています。
チームで問題を解決する体制を取っているのは、UPFだけだと思いますよ。

個人の力よりチームの力・・納得サイ

仲手川
UPFには、業種業態ごとにISMS取得事例が蓄積しており、指摘事項情報共有システムを通じて、コンサルタントチーム全員に情報が共有されています。

また、書式作りのカリキュラムも実施しています。
だからこそ、いつでも最適解を提供することができるし、新しい業態や新しい問題にも対処できるのです。

分かりやすい!良いコンサルタントはここで見分ける

素人でもパッと見で良いコンサルタント会社を見分けられるポイントはあるサイか?

仲手川
分かりやすいポイントとしては、「コンサルタント会社自身がISMS認証を持っているか」というのがあります。

株式会社UPF

ISMSの取得支援を業務としているのに、ISMS未取得の会社があるのかと思うかもしれません。
実態は、あるどころではなく6~7割のコンサルタント会社が取得していないのが現実です。

ISMS取得支援をするコンサルタント会社にはそれを管理する法律も、業界団体も存在しません。
だからこそ、ISMSの取得支援をする会社であれば、経験値として自らも取得しておこうと考えるのが普通ですよね。

ISMS認証の有無でコンサル会社の事業姿勢が垣間見られるサイね

仲手川
ISMSコンサルは国家資格ではないので、名刺一枚あればコンサルタントと名乗れます。
このため、規定やフォーマットだけ手に入れて、内容はテンプレートからコピーして終わりとか、もっとひどくなると、「内容はお客さんが自分で考えろ」みたいなコンサルタント会社が多い。
この現実には、本当に危機を感じています。

最後に、UPFを利用したお客様からのコメントを聞かせてくだサイ

「想像していたよりも仲手川
UPF
がやってくれた、動いてくれた」というコメントは、多くいただきますね。
ISMS取得の相談で最初に来社されるときは、神妙な顔をしているんですよ。
それが、ISMSの取得が完了する頃には、笑顔になっていく。
不安から安心に繋がる過程を見るのは、やっぱり嬉しいですね。

取材を終えて

株式会社UPFで話を聞いて、ISMS取得の取り組みは、「誰と組むか」が重要だと分かったサイよ。
実は、コンサルタント会社の選び方のポイントについては、さらに詳しくお話を伺っているサイ。
詳しくは、「<ISMSコンサルタント会社の選び方のポイント>」にまとめているので、是非ご覧くだサイ。
ISMS取得の取り組みを経て、すべての企業の情報管理体制が整備されていくことを願っているサイよ。

SNSでもご購読できます。