手軽に始められる「サブスク型オンラインISOコンサルティングサービス」を12月からスタート

ISO規格の導入コンサルティングを手がけるサイバービジネスは、2021年12月からISO9001、14001、27001の認証取得に向けた体制構築から運用までを、対面とオンラインでサポートするサブスク型のISOコンサルティングサービスを開始する。また中小企業を対象に、国内外で強化される方向にあるプライバシー情報マネジメントシステム（PIMS）構築を支援する新サービスもスタート。サービスの概要と狙いについて聞いた。

対面とオンラインでISOの認証取得から継続・更新までをサポート

――12月からスタートする、サブスク型のISOコンサルティングサービスとはどういうものですか？

戸田　ISO9001（品質マネジメントシステム）、ISO14001（環境マネジメントシステム）、ISO27001（情報セキュリティマネジメントシステム／ISMS）の認証取得から1年後および2年後の継続審査、3年後の更新審査までのサポートを、月額数万円で提供するサービスです。

入り口としては、お客様の事業目的と、実際に導入を希望される規格とのマッチングをはかり（後述）、ISO規格を自社の事業に活かす体制を構築しながら導入をサポートする一方、当社が提供するオンラインサービスを通じて、日々のISOの運用にかかる手間や労力を軽減するツールとしてお使いいただけるものです。

――ISOの認証取得に向けた体制作りをどう支援するのですか？

戸田　基本的には、社内にISO推進チームを作っていただき、認証取得のための準備作業を進めていきます。

ISMSに関する国際規格のISO27001なら、顧客情報や製品技術情報を始めとする情報資産の洗い出し、認証を取得する範囲に存在するリスクを分析・評価するリスクアセスメント、リスク対応のためのルールやリスク対応計画書の作成、ISMSマニュアルや教育テキストの作成などのさまざまな作業が必要です。

それらについて、お客様が作成したデータを共有させていただきながら、それに対するコメントやアドバイスを行い、何か問題が生じた場合にはミーティングを実施して、解決策を模索していくという流れを考えています。

――具体的にどんなアドバイスを行いますか？

戸田　たとえばISO27001の場合、自社の情報資産をリストにまとめた情報資産管理台帳の作成が求められますが、当社では、従業員にも情報とリスクの関係がわかりやすくなるように、一般にどんな情報資産のリスクがどう評価されるのかを整理した資料をオンラインで提供します。それをもとに、お客様のケースに当てはめて考えていただきながら、リスクアセスメントやリスク対応が、自社の情報資産にマッチしているかどうかを検討していきます。

戸田（和樹）　今、Googleの業務アプリ開発プラットフォーム「APPSHEET」ベースで開発を進めていますが、紙媒体ベースやデータ媒体ベースの情報資産を、機密情報や社外秘の情報、公開情報などの区分に指定する際の参考として、どんな情報資産にどういうリスクがあるのかが表示されます。

戸田　また、お客様のリスク対応計画などに不足しているものがないかを確認することも大切で、「重要な書類は鍵付きの棚に保存する」というだけではなく、「重要度に応じて色分けしていますか？」「書類を出しっぱなしにしていませんか？」と、より具体的な管理方法まで踏み込んでサポートしていく必要があります。

――オンラインで日々の運用サポートが受けられるのが大きな特徴です

戸田　たとえばISO27001の認証を取得する際、ISMSがきちんと構築されているかに加え、情報セキュリティの管理策がきちんと実行されているかなどをチェックしなければなりません。

日々の運用がしっかりできていれば、情報資産管理台帳を始め、情報セキュリティリスクアセスメント対応の結果や情報セキュリティリスク対応の結果などの運用記録が、認証取得審査の前に揃うのですが、実際には、審査の直前になって関連文書を作成していることが少なくないのです。

そこで当サービスでは、お客様が日常的に業務を進める中で運用記録が残るように、オンラインで管理ツールを提供していきます。

たとえばチェックリストで日々の管理事項が確認できるようにしたり、リマインダーで必要なときに必要なチェックを促す。あるいは社内で適用範囲となる部署に関連する最新のセキュリティ情報などを発信していく予定です。

ISO規格の認証取得を目指す中で、当サービスを利用し運用記録を取りながら、自社の管理環境を構築しレベルアップさせていくことが可能になります。

――主にどんな業種にサービスを提供していきますか？

戸田　当サービスが最も適しているのは、成長途上のIT系中小企業やベンチャー企業です。当サービスを通じて、ISOの認証取得に向けた管理体制の構築をサポートさせていただきながら、日常的に生じる面倒な作業の軽減や管理体制のチェックに役立つ情報を発信していきます。

これは情報セキュリティについてですが、品質マネジメントに関する取り決めであるISO9001についても、IT系中小企業やベンチャー企業のニーズは大きいと思います。

というのも、とくに若いIT企業ではソフトウェア開発にしても、作業に着手して製品が完成し納品できればよいという感覚が少なからずあるからです。

つまりソフトウェア開発の途中段階で、作業プロセスのチェックを重ねていくことで最終的な品質が保証されるという、品質マネジメントの重要性が理解されていない可能性があるのです。

その意味で、ISO9001の認定取得を通じて、あるプロセスのアウトプットが次のプロセスのインプットになるという、ISO9001の基本概念である「プロセスアプローチ」を採り入れる意義は大きいと思います。

当サービスでは、「この製品はこういうプロセスで成り立っているから、この段階のアウトプットについてはこんな保証をするべきで、次の段階のアウトプットではこれをこう保証しなければならない」という検討を積み重ねながら、ISO9001を事業に役立つツールとして活用していくためのサポートを行っていきます。

オープンソースのプロジェクト管理ソフトウェア「Redmine（レッドマイン）」も使って、プロセスアプローチを実践しながら工数を管理し、次のプロセスとの兼ね合いの中で、生産性をどう高めていくかを把握できるようにするほか、全体的な工程計画をどう立てていくのかというところもサポートできるような結果を残していきたいですね。

――対面のコンサルティングでフォローするのはどんなことですか？

戸田　ISOの認定を取得し維持していくうえで、日常的にやらなければならない業務を、オンラインのツールなどでサポートする一方、ISOを自社の事業にどう活かすのかという戦略的な部分を、お客様と一緒に考えていくことに時間を振り向けようというのが、当サービスを開始する趣旨です。

その意味で、対面は非常に重要で、お客様が本当におっしゃりたいことや重要な問題点が、直に会ってみるとよくわかるということが少なくありません。

たとえばISOの審査に対する不安や心配がその典型。実際には、私たちがアドバイスしている内容をおさえていただければ、それほど恐れるものではないのですが、ISOの審査が非常に厳格なものではないかと勘違いされるケースが多いのです。

そういう事情を踏まえ、ご要望があればISO審査への立ち会いも行うほか、お客様が社内で実施することを義務付けられている内部監査の段階でも、できる限り立ち会い、「審査ではこういうことを聞かれます」ということをお伝えしていきたいと思います。

「情報セキュリティ」「品質」「環境」に共通するISOの軸

――ISOコンサルティングで重視している戦略的な部分とは何ですか？

戸田　基本的に、自社の事業目的とISO規格をどうマッチングさせていくかというところです。本来、企業が提供する製品およびサービスの品質マネジメントや環境対応、情報セキュリティ対策はすべて、事業目的に含まれるべきものであり、それらが別立てで考えられていること自体がおかしいと私は思います。

ですから、たとえば情報セキュリティを会社の事業と切り離して考えるのではなく、あくまで会社の事業の目的に沿って、情報セキュリティマネジメントにおける目的が位置付けられなければ意味はありません。会社の事業の目的を達成するうえで、情報セキュリティはどうあるべきかという発想に立つべきなのです。

だとすれば、ある企業が数年後にEC（電子商取引）をグローバルに展開していくという事業目的を立てた場合、その中で、情報セキュリティマネジメントはどうあるべきかという目的がまずなければいけません。それをきちんと定めてから、具体的に何をしていくかを考えていきましょうというのが、当社のISOコンサルティングにおける方針です。

品質マネジメントも同様に、たとえばお客様が手がける顧客サービスを考えた場合、まず事業の目的があり、その中で自社が提供すべき品質はどうあるべきか、ということを考えなければなりません。逆にいえば、それがISOの認証を取得するうえで、最も大切なポイントになると私は思っています。

その意味で一番難しいのは環境マネジメントです。自社の事業目的の中に環境マネジメントを統合していくのは、実は非常に難しいことなのです。今、多くの企業が環境対策に取り組んでいますが、自社の事業における環境マネジメントの意味や位置付けまでを考えている企業は、おそらく少数にとどまるでしょう。

企業が「ゴーイング・コンサーン（継続企業の前提）」として存続を目指す中で、解決していかなければならないさまざまな問題がありますが、環境問題もその１つです。そういう前提に立ったうえで、自社の事業における環境マネジメントのあり方を考えていかなければなりません。

――会社の事業目的を達成していく中で、ISO規格をどう位置付けていくのですか？

戸田　お客様の事業環境をヒヤリングするうえで、まず企業理念の部分からスタートし、事業目的についてお聞きしていきます。

それをふまえて、お客様が取得を目指す規格に応じて、事業目的を達成するには、どんな品質目的、環境目的、セキュリティ目的を達成しなければならないのかを考えます。SWOT分析も並行して行い、自社の強み・弱みを把握すると同時に、いわゆる「機会」や「脅威」を明らかにしていくのです。

これは、ISO規格にはISO9001、ISO14001、ISO27001などに共通する要素（上位構造）があり、その中で「リスクおよび機会への取り組み」、すなわちリスクマネジメントが求められているからです。

ここでいう脅威とは事業目的の達成に対してマイナスに働くリスクで、機会はプラスに働く要因ですが、プラス要素ではあっても「目的に対する不確かさの要因」となるリスクとして、ISO規格では扱われます。

これらをふまえたうえで、会社の事業目的の中にISO規格をどう位置付け、それぞれ品質目的、環境目的、セキュリティ目的を達成するうえで、どんな体制を構築していくかという具体論に入っていくわけです。

会社の事業目的の中に「品質目的」「環境目的」「セキュリティ目的」をどう位置付け、それぞれの目的を達成するためにISO規格をどう活用していくかを検討。SWOT分析も行い、強みや弱みに加え、機会と脅威も把握し、事業目標の達成に対してマイナスにもプラスにも働く「リスク」をマネジメントする

――ISO規格について学べる動画を無料で提供しています

戸田（和樹）　YouTubeチャンネルの「ISO　Japan　ドット　net」（https://www.youtube.com/channel/UCYr_5n72Ny3CCGic5qfT6pg）に、「ISO動画解説」（ISO規格と事業目的とのマッチングなどについて解説）や、ISMSおよびISO27001の導入にあたり、基本となる考え方を解説する動画を掲載しています。現在ISO9001の関連動画を制作中で、今後コンテンツを増やしていく予定です。

各動画の概要欄に設けたリンクをたどり、サービス詳細を記した当社ホームページを参照していただくことが可能です。

個人情報保護はすべての事業者に対応が求められる共通課題

――中小企業に向けて、EUのGDPR（EU一般データ保護規制）を始め、各国で今後規制が強化される可能性の高い個人情報保護対策サービスも開始しました

戸田　GDPRについて話を進める前に、基本的に規模を問わず、個人情報を扱うすべての事業者が個人情報保護法の対象になっているという認識が欠けていると思います。

政府広報オンラインでは、個人情報保護法は「大企業だけでなく、小規模事業者やNPO、町内会・自治会などの団体も含め、個人情報を事業に利用するすべての事業者・団体が守らなければならないルールです」と解説されています。

――違反した場合に高額な罰金が課されるGDPRを心配する中小企業の声は？

戸田　まだ具体的にはありませんが、かなり気にしている企業があることも事実です。インターネットで商品を販売している企業の中にも、海外のお客様が商品を購入しているケースがあると思いますが、そういう場合に個人情報の管理をどうしたらいいのかというご相談を、実際に受けたことがあります。

そのクライアントの場合、基本的には日本国内で行っているインターネット販売なので、国内法への対応で十分でしょうという話をしました。

――国内のネットショップでも、EU域内に住んでいるお客様が商品を購入して取引が発生した場合、GDPRにかかってくるのでしょうか？

戸田　EU域内に住んでいる方の個人情報を扱う、ということで考えれば適用範囲になります。でも日本国内に立地し、日本国内で運用されているネットショップが、仮にEU域内に住むお客様の個人情報を漏洩したからといって、EUの規制当局が日本国内のネットショップに対し、どうやって法を執行するのかという話になります。

ただし、EU域内に拠点のある会社は、GDPRで定められた義務に違反した場合、その拠点が制裁の対象になる可能性があるので注意しなければなりません。

――GDPRでは個人情報の暗号化が求められています

戸田　暗号化に関しては、今後、日本の個人情報保護法にも導入されるとみられ、国内でも対応せざるを得なくなってくるでしょう。個人情報保護法は、3年に1度見直しが行われますが、見直しを通じて徐々にGDPRを始めとする世界の個人情報保護規制に合わせているので、まずは日本の個人情報保護法への対応を進めておけば、それほど大きく困ることはないと考えられます。

――中小企業に向けて、どんな個人情報保護対策を進めていきますか？

戸田　もちろん、国内の個人情報保護法への対応を進めていくわけですが、2019年にプライバシー情報マネジメントシステム（PIMS）を構築するための指針となるISO27701という規格が発行されました。そこで、同規格に定められているUSBメモリや外付けハードディスクドライブなどの「取り外し可能な媒体」の使用や保管方法、パソコンのハードディスクドライブなどの「媒体の処分」を始めとする管理策を導入し、個人情報保護体制の強化をサポートしていきます。

実際には、個人情報の利用目的をお客様にきちんと理解していただき、こういう形での目的外使用はしませんということを説明し、同意していただいたうえで個人情報をお預かりするということを、従業員に徹底させていくところから始めることになると思います。

ISO27701は、ISO27001に付加する「アドオン規格」で、GDPRを始めとする各国の個人情報規制に対応可能な体制作りに役立ちます。ISO27001の認証をまだ取得していないお客様には、まず同規格の取得をお勧めしていく考えです。

――今後どんな国や地域で個人情報保護に関する規制が強化されていく見通しですか？

戸田　最近、EUのGDPRに準じた法規制を採り入れようとする動きが、アジア地域で起こり始めています。インドではまもなく個人情報保護法（現行法は「2011年個人情報保護規則」。「2019年個人情報保護法案」を審議中）が成立する見込みです。ASEAN域内ではマレーシアでの動きが早そうですが、ベトナム、タイなどでも追随する動きが起こってくるかもしれません。

いずれの国も日系企業の工場が多く、中小企業も多数進出しています。GDPRに準じた法規制のもとでは、従業員の人事情報を日本の本社に送る場合でも対象になる可能性が高いので、各国の規制の動向に注意を払いながら、自社の個人情報保護体制作りを進めていく必要があります。

「取材・構成　ジャーナリスト　加賀谷貢樹」