株式会社ゼストは2023年12月7日付けで情報セキュリティマネジメントシステム(ISMS)に関する国際規格である「ISO/IEC27001:2022」の 認証を取得しました!
本記事ではISMS取得に至った経緯とどのようにして取得したかについて、ご紹介できればと思います。
なぜISMSを取得しようと思ったのか?
上記のプレリリースにもある通り、弊社は在宅医療・介護のスケジュール調整を⾃動化する『ZEST』を運営しています。医療現場のDXを事業領域としているため、個人情報を取り扱う機会が発生します。昨今の医療現場へのサイバー攻撃の増加も背景にあり、情報セキュリティの向上はますます重要視されています。今回、より安心してお客様に弊社のサービスをご利用頂ければと思い、ISMS取得に至りました。
取得に際して
ISMSを取得する際は、コンサルティングを依頼する企業も多いかと思います。コンサルティングサービスを利用することにより、ISMS取得経験のある方のサポートを受けることができ、無駄な作業を省き、速度感を持って、取得することができます。反面、懸念点としては、いつしかISMS取得が目的となってコンサルタントの方に頼りきりになり、社内で十分に理解しないまま情報セキュリティマネージメントシステムを構築してしまうといったところでしょうか。加えて、費用面も気になるところです。
上記を鑑みて、私たちはコンサルティングサービスの利用はしないことにしました。
一方で、自社のみでのISMS取得を目指すと時間や労力の観点で困難が予想されることも事実です。
そのため、自社推進でのISMS取得をサポートしてくれるサービス*1である、SecureNavi株式会社が提供しているSecureNaviを利用することにしました。
SecureNaviは、情報セキュリティマネージメントシステム構築をナビゲートしてくれ、情報資産の登録から、セキュリティリスクやアセスメントの自動登録、文書管理機能等、多岐にわたってISMS取得をサポートしてくれます。 チャットサポートも充実しているため、ISMS取得が初めての場合でも迷わず進めることができました。
またプランによっては、SecureNaviの方に相談しながら、進めることも可能です。
リスクアセスメント
ISMS取得で時間がかかる作業の一つとして情報資産の洗い出しとリスクアセスメントが挙げられるかと思います。
弊社では業務の大半をSaaSに頼っているため、紙媒体の資産が少ない反面、利用しているSaaSが多いのが難しい点でした。幸いなことにジョーシスを利用していたため、ほぼ全ての利用SaaSを一覧化できていました*2 。
そのため、全部署で利用SaaSのヒアリングを行い、シャドーITが存在していないかの確認を効率よく進めることができました。
なお、情報資産登録後の、対応するリスクやリスク作成、リスクアセスメント完了後の情報セキュリティマニュアル作成において、SecureNaviのアシストもあり、こちらも効率よく進めていけました。
とはいえ、登録した情報資産が多かったため、全工程で一番時間がかかった作業になります。
社員教育
ISMSでは社員の情報セキュリティ教育も求められます。
ISMS取得経験のある知人からは、コンテンツの準備以上に期間内に全員受講を終えてもらうのに何度もリマインドして骨が折れたといった話も聞いていて少し心配していたのですが、弊社の場合は無事全員が設けた期日までに受講完了でき、杞憂に終わりました。
全社会で事前に取り組みへの意義や内容を告知をしていたこと、社員全員が協力的で取り組みへの重要性を理解していたことなどがうまくいった要因だと考えています。
まとめ
ISMSの取得プロセスを経験することで、私たちはセキュリティ対策の強化だけでなく、情報セキュリティマネジメントに対する深い理解と組織全体のコミットメントを育むことができたと感じています。
ISMSは取得して終わりではなく、定期的なレビューと監査を通じて、セキュリティ対策の継続的な改善が促されます。今後も安心なサービスを提供できるよう、ISMSに関わらず、情報セキュリティの向上に邁進し、ビジネス価値向上につなげていきたいと思います。