NISSHA株式会社に100%リモート審査を実施
新型コロナウイルス感染症拡大の状況に鑑み、ISOの認証、審査も対面で行うことが難しくなりました。審査の延期を行う企業が多いなか、NISSHA株式会社では2020年6月、ICTツールを用いたリモート審査を実施。リモート審査は審査全体の一部分で行われることが多いですが、同社では全17拠点、約3,200人を対象とした大規模なISO27001(ISMS)審査を、100%リモートで実施しました。
【NISSHA株式会社 会社概要】
1929年創業。従業員数795名、連結5,681名。印刷、コーティング、ラミネーション、成形、パターンニングをコア技術とする。主に産業資材・ディバイス・メディカルテクノロジー・情報コミュニケーションの4つの事業を展開。既存の事業領域だけにとらわれず、新たな事業の創出に向けた研究開発も推進。
インタビュアー(ビューローベリタス 以下、BV)
最初に貴社の情報セキュリティマネジメントシステム(ISMS)認証取得の経緯についてお聞かせください。
NISSHA株式会社 最高情報責任者(CIO) 青山様
上席執行役員 最高情報責任者(CIO)
最高サプライチェーン責任者(CSCO)
青山 美民(あおやま よしたみ) 様
2005年4月、個人情報保護法全面施行にともない、個人情報を取り扱っていた情報コミュニケーション事業で認証を取得しました。その後、事業の拡大により、お客様の新製品情報など、機密性の高い情報の取り扱いが増えたため、全社的な活動に発展させました。
認証取得後は、部門による自主管理を主体として定着を進めてきましたが、部門により管理レベルにバラつきがあり、また一部運用の形骸化・属人化がみられたため、2013年にISMS事務局が中心となり管理手法の標準化と運用の徹底を図るとともに、急速に拡大していたスマートデバイスやSNSなどインターネットサービスへの対応を強化しました。現在は、サステナビリティ委員会情報セキュリティ部会として運営しています。
BV
コロナ禍での影響で急な在宅勤務を強いられた企業も多いと聞きますが、御社はいかがでしたか?
青山様
2014年よりITインフラのクラウド化を推進し、2019年にクラウド化を完了しています。それと同時に、増加した海外の新規M&A先に対するセキュリティ管理向上のため、ISMSの海外展開を開始しました。あわせて、日本国内で行っている情報セキュリティインフラの海外展開を進めています。
こういった準備をしていたおかげで、今般のコロナ禍にも対応しスムーズにテレワークに移行できました。
BV
ISMSの活動や運用の中で具体的に工夫していることはありますか?
青山様
施策としましては、全社員が守るべき情報セキュリティポリシーを明確化し、毎年全社員に対し教育およびテストを実施しています。また、各部門で推進員が利用するISMS運用ツールおよび自己チェックシートを作成し、運用を徹底しています。
内部監査につきましては、ISMS要求事項に基づいて行い、内部監査室によるISMS事務局に対する運用監査を実施しています。
NISSHA株式会社 情報セキュリティ対策の変遷
BV
認証取得の効果・メリットはどのようなものがありましたか?
青山様
社内的には、社員の情報セキュリティに対する意識が高まり、運用を徹底することができたことです。ISMS要求事項であるPDCAを回すことにより、毎年情報セキュリティに関する運用レベルが向上していると思います。社外的には、認証を取得したことで社外から高い信頼を得ることができ、事業機会の増加や他社との差別化を図ることができました。お客様からのセキュリティ要求事項に対し、当社のセキュリティ管理レベルを容易に証明することが可能です。また、国際標準であるため、海外法人への展開がスムーズであったこともメリットだと考えております。
BV
標準化ツールを用いて運用をしているというお話でしたが、これはISMSに限らず、各部門で行うべき行動単位や手順などを定義しているものですか?
青山様
標準化ツールは情報資産目録や、リスクアセスメント、リスク対応計画など、一貫して使用できるツールです。手順通りに進めていけば、ISMSの運用計画ができ上がるようなツールとなっています。
リモート審査について
BV
今回、貴社の規模では珍しい100%リモートによる審査を受けられました。リモート審査を受けてみて、率直な感想をお聞かせください。
NISSHA株式会社 雀部様(以下、雀部様)
IT部
インフラストラクチャーグループ
グループ長
雀部 寧(ささいべ やすし) 様
現地への交通移動がないため、審査を効率的に実施することができたと思います。
審査を受ける社員もテレワーク中でしたが、出社することなく対応できたことも良かったと思います。また、新型コロナウイルスによる接触リスクも最小限に抑えられました。
書類を見ながらの審査は、ICTツールの画面共有で対応しました。オンサイトでの審査で必要な、各拠点での会議室の予約手配がなく、事前準備の時間短縮もできました。
初めてのリモート審査で不安もありましたが、事前にISMS事務局と審査員でICTツールによる打ち合わせをすることで、スムーズに審査を受けることができたと思います。
一方で、製品現物を管理している部門では、その写真を事前に撮って準備をしておく必要がありました。また、台帳など紙媒体をリモートで説明する際は、事前にPDFなどに電子化しておくなど、こちらも準備が必要となりました。
BV
100%のリモート審査を行うと決断した経緯は、どのようなものでしたか?
雀部様
審査の50%程度をリモートにするという案もありましたが、やはりコロナ禍という状況で、接触を減らすことを優先し100%の実施を決めました。また、すでに在宅勤務体制が整備できており、リモート審査が可能な環境にあったということも大きいです。
BV
先の青山様のお話にもありました通り、環境と教育の両軸で準備していたからこそ、リモート審査も円滑に進められたということですね。本社のISMS事務局から、各拠点にリモート審査の実施を伝えた時の反応はいかがでしたか?
雀部様
各拠点はテレワーク中だったため、テレワークをしながらできるのかという質問がありました。現物の写真を用意するなどの事前準備が必要で、それ以外はテレワーク中でも十分可能であると説明しました。
BV
ICTツールを用いたコミュニケーションに問題はありませんでしたか?
雀部様
特にありませんでした。机の上に書類を広げて話をするより、画面共有をしながらピンポイントで話を進めることができ、むしろスムーズに進んだ印象があります。
BV
今後の課題と、方向性について教えてください。
雀部様
世界各国で個人情報保護法令の規制が強まっており、各国での法改正情報をいち早くキャッチアップし、延滞ない対応をするための仕組みを構築しなければならないと考えています。また、それと同時に情報セキュリティの脅威は日々進化するため、その対応と社員への教育も継続した課題だと考えています。
今回リモートでの審査を受け、海外を含めリモートでの内部監査の仕組みを構築することも考えなければならないと思います。
BV
内部監査をリモート化するにあたり、現在課題となっていることはありますか?
雀部様
リモートでできることは便利なのですが、やはり時差があるため難しいサイトもあります。
しかしそれ以外は、今回のリモート審査を経て、円滑にできるのではと感じています。
※本文中の写真・画像はNISSHA株式会社ご提供
(2020年7月20日取材)
【ビューローベリタスのサービス】
ISO27001(情報セキュリティ)
ISMSマネジメントシステムが組織の情報資産を守る ―導入編―
情報セキュリティに関する取り組みは、事業を継続する上でのリスク管理としてスタンダードになりつつあります。認証取得にあたり、「何からはじめたらよいのかわからない」「認証取得までの流れが知りたい」といった導入時に参考となる資料をダウンロードいただけます。