顧客事例 - 太陽インキ製造株式会社(埼玉県比企郡嵐山町)

太陽インキ製造株式会社は2018年6月、ISMS/ISO27001認証(以下、ISMS認証)を取得しました。ジェイティ エンジニアリング(以下、JTE)へコンサルティングを依頼した最初のきっかけは、共通の友人からの紹介だったとのことです。詳しい経緯と取り組みの成果、JTEが果たした役割などについて、情報セキュリティ推進チーム(以下、推進チーム)の皆さんにお話しを伺いました。

(太陽インキ製造株式会社について)

太陽インキ製造

スマートフォンやパソコンなどのIT機器、デジタル家電、車載用電子機器といった各種エレクトロニクス製品の心臓部に使われるプリント配線板(PWB)用部材を中心に扱う、ソルダーレジストのトップメーカーである。

北山事業所

主要製品である「ソルダーレジスト」(電子回路を熱や湿気、ほこりなどから守り、製品の機能性・信頼性を確保するための保護膜)では、世界シェアトップ。近年はPWB用部材の開発で培った様々な技術を応用し、LEDなどオプトデバイス分野を始めとする、生活をより豊かにする新製品の開発にも注力している。太陽HDグループにおける開発・製造・販売の中核企業として、創業以来の理念を引き継ぎ、「社会の未来を照らす製品」を世界に向けて提供し続けている。創業;1953年9月。本社;埼玉県比企郡嵐山町。従業員数;288名(2018年3月31日現在)。

ジェイティ エンジニアリングへの依頼内容

JTEへのご依頼内容をお話しください。

太陽インキ製造株式会社は2016年12月、JTEに情報セキュリティマネジメントに関するコンサルティングを依頼しました。

JTE福田さんのコンサルティングのもとで情報セキュリティポリシーに関する文書の策定、社内教育の実施、そして2018年6月にISMS認証を取得しました。

相談のきっかけは 共通の友人からの紹介

JTEへ依頼することになったきっかけをお話しください。

相談のきっかけとなったのは、弊社の渡部と福田さんとの間に共通する友人がいたことです。その人から産業系のシステムとセキュリティに詳しいコンサルタントとして、福田さんの紹介を受けました。

そこから福田さんへ情報セキュリティマネジメントに関してのコンサルティングを依頼することになったのですが、当時の情報システム部では「これから生産管理システムの更新をどう進めるのか」という大きな課題がありました。JTEはエンジニアリング会社として工場の設備に詳しく、生産管理システムの構築経験もありましたので、まずはその点を相談することにしました。

その過程で、福田さんはサイバーセキュリティに関する本を書かれており、情報セキュリティ全般に関して相談できることがわかりました。情報セキュリティの重要性が社会的に高まる中、社内の情報セキュリティ管理が時代の流れに追いついていないという課題もありました。そして、自然と情報セキュリティに関する相談へと移っていきました。

時代にあわせた情報セキュリティのポリシー作りが課題

従来の情報セキュリティ管理について詳しくお話しいただけますか。

「福田さんの話はとても勉強に
なりました。長いお付き合いが
できればと思っています」
(情報システム部
藤森秀雄氏)

もちろん最低限の取り組みは行っていました。株式の上場時にはコンサルティング会社のサポートを受けて情報セキュリティポリシーを作っていましたし、情報資産管理台帳も作ってルールに則って管理していました。また社内のセキュリティ意識を高めるために啓蒙や教育を実施していました。

ただ作成後約10年が経過し、その間に外部環境や社内状況が大きく変わりました。そのため時代にあったポリシーの作り直しと、それを継続して改善できる取り組みが必要だと感じていました。

ISMS認証取得は、このような弊社の課題を解決するには最適な手段です。ISMSはグローバルに認知された国際標準ですし、時代の流れに応じて規格の内容が改定されます。認証を維持するには毎年外部の認証機関から客観的な評価(審査)を受ける必要もあります。よって、時代にあったセキュリティ管理のもと継続的な改善につながると考えました。

また、単にポリシーの整備だけでは守るべきルールがあるだけで、その運用を徹底することが難しいと感じていました。しかし、ISMS認証を取得するとなれば、明確な組織の活動として取り組みが浸透できます。

外部環境や社内状況の変化として、リスクを感じておられた具体例をお話しください。

例えば、近年心配していたのがクラウドサービスの利用です。名刺管理などの無料サービスが、知らぬ間に社内で使われていることがありました。クラウドサービスを使うにあたっては、そこにどのようなリスクがあるのか認識する必要があります。サービスを提供する側は積極的にリスクを公表しませんから、サービスを使う側がリスクに対して感度を高めることが重要だと思いました。

また近年、外出先からモバイル端末を使った社内情報へのアクセスが増えています。これには海外拠点も含まれます。このような利用環境の変化への備えも必要ですので、これまで以上にセキュリティに対する危機意識がありました。

ISMS認証取得に関しては、お客様からの要請もあったのでしょうか。

具体的にISMS認証が取引上の要件ではありませんが、お客様から情報セキュリティ対策の現状調査といったアンケートへの回答依頼が多くなっていました。そのためお客様のセキュリティ意識が高くなっているという実感がありました。また、このようなアンケートがあった時も、ISMS認証を取得していれば回答が簡潔に済むことがあります。さらに、化学メーカーでISMS認証を取得しているところも少ないため、認証取得はビジネス上の強みになると考えました。

ISMS認証の適用範囲を教えてください。

技術開発部、事業推進部、PCB営業部、パッケージマテリアル部、情報システム部です。情報システム部以外の部署は、わかりやすくいうと営業部門と技術部門です。営業部門はお客様の情報を取り扱いますし、技術部門は弊社製品の重要な技術情報を扱います。いずれも情報の取り扱いは厳密でなければなりません。また、外部と多くの情報を受け渡しするのもこれらの部門です。そして、これらの部門に共通するサーバーやシステムを管理している情報システム部を適用範囲に含めました。

ISMS認証取得にあたって心配したことは社内の合意形成

ISMS認証取得を意志決定されたのはいつですか。

情報システム部として福田さんに相談をはじめた2016年10月頃には、将来的なISMS認証取得を見据えていました。そこで福田さんのサポートのもと、12月から本格的に新しい情報セキュリティポリシーの策定をはじめました。

ただし、社内で認証取得することを明言したのは2017年4月です。我々がISMS認証を取得するにあたって懸念していたことは、社内のコンセンサスがスムーズに得られるかどうかです。どのタイミングなら受け入れやすいかを考えながら、全社的に周知するタイミングを見計らっていました。結果的には毎年4月に行われる経営計画発表会が良い機会だと判断し、そこでISMS認証を取得するまでのロードマップを示しました。

社内のコンセンサスを得る上で不安だった要因を具体的に教えてください。

弊社はすでにQMS/ISO9001(品質マネジメントシステム)とEMS/ISO14001(環境マネジメントシステム)の2つのISO認証を取得しています。これらのISO活動をはじめた時代は、ISO活動に対する負担がとても大きかったと聞いています。そのイメージでISMSをはじめるとなると、各部門から反対の声が上がるのではないかと心配していました。

ただ福田さんから、時代とともにISOの規格が求める内容も変わり、現在ではそれほど負担は重くならないとの説明を受けていました。よって、事前に各部署のマネージャー層に対して、活動の負担はそれほど重くないことを伝えながら、社内の理解を深めていきました。そして、全社的なアナウンスをした際にはほとんど社内の抵抗はなく、スムーズに協力を得ることができました。

ISMS認証取得までの経緯とジェイティ エンジニアリングのサポート

ISMS認証取得の社内体制を教えてください。

情報システム部の渡部が「情報セキュリティ責任者」、藤森が「情報セキュリティ管理者」となり、他の部署から選抜したメンバーを加えて「推進チーム」を結成しました。

「福田さんには情報資産の洗い出しやリスクアセスメントのやり方を、手とり足とり教えていただきました」
(推進チームの皆さん。上段左から;PCB営業部 靏見知盛氏、パッケージマテリアル部 依田健志氏、時澤豊成氏
下段左から;技術開発部 東海裕之氏、渡辺正恵氏)

ISMS認証取得はどのような流れで進みましたか。

まず2016年12月から2017年3月までの4ヶ月間で、新しい情報セキュリティポリシーの土台を作りました。その後、半年かけて社内へ浸透させるための従業員教育を実施しました。

従業員教育が一通り終わった後は、運用フェーズです。2017年末に各部門から推進チームのメンバーを選抜し、情報資産の洗い出しやリスクアセスメント、内部監査を行いました。そして、外部審査となる第一段階審査と第二段階審査の受審が続き、2018年6月に認証を取得することができました。

以上が、ISMS認証取得までのおおまかな流れです。

情報セキュリティポリシーの策定はどのように行いましたか。

福田さんと2週間に1回ぐらいの頻度で打ち合わせを行い、そこで話し合った内容から福田さんに文書をまとめていただくという流れで進めていきました。

内容に関しては、弊社にとって明らかにオーバースペックとなるルールは避けたいと考えていました。そこで、福田さんにISMSの規格要求を満たした上で、できるだけミニマムなラインで内容を考えてもらいました。

従業員教育はどのような形で実施されたのですか。

従業員教育は「マネジメント層向け」と「一般社員向け」に分けて実施しました。

最初に実施したのがマネジメント層向けの教育です。福田さんに講師を務めていただき対面型のセミナーを開催しました。内容は、ISMS認証取得の意義や目的、新しい情報セキュリティポリシーの概要についてです。1コマ1時間半くらいで何回かに分けて実施しました。

一般社員向けの教育は、Eラーニングを使って新しい情報セキュリティポリシーの周知・浸透を図りました。

内部監査はどうされたのですか。

内部監査は、情報システム部の藤森と管理部の小山、経理財務部の萩原の計3名が内部監査員となり、それぞれ分担して実施しました。事前に外部の教育機関が開催する「ISMS内部監査員研修コース(2日間)」を各々で受講しました。ただし、今回の内部監査が初めてだったこともあり、実施にあたっては福田さんのサポートが欠かせませんでした。

「初めての内部監査は、福田さんのサポートがあって助かりました」
(左から;管理部 小山尚人氏、経理財務部 萩原敏彦氏)

ISMS認証取得に向けた取り組みの中で、ご苦労されたことをお話しください。

推進チームの取りまとめ(情報セキュリティ管理者 藤森)として苦労したのは、各部署のコンセンサスを得ることと社内のスケジュール調整です。特に推進チームの各メンバーが顔を合わせての会議開催は、それぞれ多忙なメンバーの業務都合をあわせるのが難しかったです。

また、推進チームのメンバーが苦労したのは、各部門における情報資産の洗い出しです。以前からあった情報資産台帳をベースにしつつ、あらためて情報資産を棚卸しました。ここ10年くらいの組織変更に伴い、物理的に保管場所が変わったところもあったので、思った以上に手間のかかる作業となりました。ただ、福田さんから「こういう整理の仕方もありですよ」といったアドバイスがあったので、それを参考に負担を軽減することができました。

外部審査はスムーズに行きましたか。

外部審査に向けて、福田さんに模擬審査をしていただきました。事前にいろいろアドバイスをもらい、しっかり準備した上で本番に臨むことができました。実際の外部審査では、模擬審査と同じような質問もありました。ISO関連の審査を受けた経験がなく不安を抱えるメンバーもいたので、事前に心の準備ができて大変よかったです。

ISMS認証取得を通して社内のセキュリティ意識が向上

ISMS認証取得に今回取り組んだ成果についてお話しください。

「福田さんにはプロの
コンサルタントとしての
プライドを感じました」
(情報システム部長
渡部健氏)

最大の成果は、各部門の情報セキュリティに対する意識が高まったことです。「怪しいメールが届いた」など社内のちょっとしたことでも、情報システム部に相談や報告がくるようになりました。この件数は、ISMSを運用する前と比べて明らかに多くなりました。

これは推進チームのメンバーによる日常活動の成果でもあります。例えば、机の上に名刺が放置されていた場合「名刺は個人情報なので、引き出しの中に保管するようにしましょう」といった指摘を都度しています。そのような地道な活動を繰り返しながら、徐々に意識レベルが上がってきていると思います。情報セキュリティに対する活動が形骸化しないよう、これからも継続していくことが重要だと考えています。

今後の課題はどうなりますでしょうか。

今回策定した情報セキュリティポリシーは、あくまでもセキュリティ上のルールです。今後は(可能な範囲で)そのルールを「仕組み」にしていくことが課題となります。つまり、社員が意識的にルールを守るというより、業務を行う中で必然的にポリシーが満たせる仕組みづくり(ツール等の導入)を進めることです。例えば、自動でメールの添付ファイルを暗号化するツールや、パスワード入力に代わるワンタイムパスワード認証の導入などです。利用者の負担を軽減するとともに、ヒューマンエラーをなくすために、情報システム部で適切なツール類を選定しているところです。

「皆で取り組もう」という雰囲気づくりにも貢献したジェイティ エンジニアリング

福田さんのコンサルティングを受けたご感想をお話しください。

基本的には、JTEの福田さんがいなければ今回の取り組みが円滑に進むことはなかったと思っています。私たちが福田さんにコンサルティングを依頼して良かったと感じていることは、次の3点です。

(1)ISMSの専門知識

情報セキュリティポリシーを作るにはISMSの専門知識が必要です。ISOの規格を社内規程として文書に落とし込むテクニックは、我々素人には難しいことです。そこはまさに専門家としての領域でした。

(2)プレゼン能力の高さ

プレゼンテーションのプロと評される福田さんです。マネジメント層向けの教育では、とても話が面白く退屈することがありませんでした。情報セキュリティの説明と聞くと、なにか難しくてつまらないようなイメージがあります。しかし、福田さんの話は決してそのようなことがなく、誰もが集中して最後まで聞いていました。

実はこのマネジメント層向けの教育には、もう一つ重要な目的がありました。それはISMS認証を取得することに対して、マネジメント層に対して「皆で取り組もう」という雰囲気づくりをすることです。「ISMSは面倒くさいだけで意味がない」というイメージが醸成されてしまうと、その後の取り組みがスムーズに進みません。情報セキュリティの重要性について、皆が納得できるよう説明していただいたことは、今回の取り組みで重要な意味を持ちました。教育を受けた後に「ISMSなんていらない」とはいえない、暗黙の雰囲気づくりができました。これに関しては、本当に感謝しています。

(3)結果へのこだわり

福田さんには、情報セキュリティポリシーの策定から教育支援、そしてISMS認証取得に至るだけでなく、それらに関連する新入社員研修や審査会社(認証機関)の選定まで幅広い相談ができました。特にその中でも、ISMS認証取得に関しては「確実に認証を取る」といった、結果にこだわるプロのコンサルタントとしてのプライドを感じました。

「情報セキュリティの意識を高めるには、地道な活動の繰り返しが重要です」
(太陽インキ製造株式会社 情報セキュリティ推進チームの皆さん)
※左列中央は弊社 福田

JTEへの今後のご期待をお話しください。

推進チームのメンバーとしては、ISMSの規格に詳しい人材がまだ不足しています。今回は福田さんの支援を受けながらリスクアセスメントや内部監査、マネジメントレビューなどを実施しました。次回から自社だけの体制で行うことを考えると、正直まだ不安な面があります。できれば福田さんのサポートを継続して受けたいところです。どのような形で関与していただくか、これから具体的に検討していきたいと考えています。

また、福田さんには新入社員に対する情報リテラシーの研修も担当していただきました。その中でも面白い話が満載でとても勉強になりました。今後も長いお付き合いにしていきたいと考えています。

太陽インキ製造株式会社様、お忙しい中、ありがとうございました。


※太陽インキ製造株式会社のWEBサイト

※取材日 2018年7月

ページトップへ