ISMSって？

ISMS（情報セキュリティマネジメントシステム）とは、平たく言うと「企業が情報資産を安全に管理・運用するためのしくみ」です。国際規格で定められた要求事項を満たしていることを第三者機関が認定すれば、晴れて「ISMS認証取得企業」となります。（※正確には（財）日本経済社会推進協会 や情報セキュリティマネジメントシステム概要資料をご覧ください。）Teachme Bizを運営する株式会社スタディストは、2014年4月にISMS認証取得に向けた取り組みを開始しました。年内の認証取得を目指し、現時点（7月末）ではその準備をしています。

少し前の私たちと同じように「ISMSって必要？」「具体的に何するの？」と悩まれている企業様も少なくないはず。この数カ月でわかったこと、学んだことが少しでもお役に立てばと思い、経験を公開することにしました。

なぜISMSの取得を決意したか？

IT系スタートアップでは、ISMSの認証取得をしている例は少数派です。もちろん、認証を取得しなくても情報セキュリティをきっちりと管理することは可能なので、各社それぞれのやり方があるのだと思います。そんな中、当社が取得を決めた理由は次のふたつです。

1.社外への信用度を高めるため

Teachme Bizでは「社内マニュアル」というデリケートな情報をお預かりしています。導入検討中のお客様（特に大手企業の方から）「ISMS認証を取得していますか？」と質問をいただいたり、各社独自の「セキュリティに対する確認リスト」への記入をリクエストされるケースが度々ありました。

「この先も、こういう質問をされるケースは増えてくるだろうな。。」
「そもそも認証取得していないから、と導入を見送られる機会損失もあるな。。」

当社としての取組状況は、Webサイトや下のような一覧表で詳細に公開していますが、客観的に証明するために「ISMS認証取得」という”お墨付き”が有効と考えました。

クラウドサービスレベルのチェックリスト　回答集

2.社内の効率を高めるため

リスクの正体はなかなか見えにくいもの。ISMSというフレームワークを活用すれば、リスクの全体像を体系的に把握でき、やみくもに不安にならなくてすむことも大きなメリットです。健康の不安を漠然と抱えるのではなく、定期的に人間ドックで体の状態をチェックする方が安心、というのに似ています。

また、継続してセキュリティを管理するために、例えば増員時も場当たり的に教えるのではなく、教えるべきルールや手順をまとめておけば手間も軽減されると考えました。ISMSは取得そのものに手間や時間はかかりますが、長期的に見れば効率化につながる。そう判断しました。

ISMS認証取得に必要なもの

そうは言っても、簡単に取得できるわけではありません。認証を取得するためには、時間・費用・ノウハウが必要です。（下記はあくまでも当社のケースでの参考値です。）

1.期間と時間

約半年～1年の準備期間が必要になります。その期間内で断続的に作業や打ち合わせ、社内研修などの実質的な工数がかかります。作業量は進め方にもよりますが、コンサルタントの支援があったとしても方針を決めるのは自社のメンバー。毎週数時間程度の工数がかかります。

2.費用

費用は「審査機関に支払う費用」と「コンサルティング会社に支払う費用」がかかります。それぞれざっと100万円前後かかるので、決して安い出費ではありません。

3.ノウハウ・知識

これがなかなか難解です。独学でいくのか、専門家（コンサルタント）のサポートを得ながら進めるのかは悩ましいところですが、予備知識なく独学で進めるのは現実的には難しいと感じました。

それでもやっぱり必要ですか？

最終的には「期待される効果」と「時間や費用の負担」を天秤にかけて、それでもISMSの認証を取得するかどうかという判断が求められます。これはあくまでも私見ですが、BtoBのフィールドでビジネスをするのであれば取得しておいた方がよいでしょう。対外的な意味だけで言うと「プラスに働く」というより「マイナスを作らない」というニュアンスのほうが正確かもしれません。ただ、それだけではもったいないので、社内的に「管理や教育を効率化するためのツール」としてフル活用しよう、というのが当社の目論見です。

また、いずれ取得するのであれば、できるだけ早いほうがよいとは思います。早いうち＝人数が少ないうちであれば、ルールを決めるのも浸透させるのも比較的簡単です。人数や拠点が多くなると社内調整が大変になるばかりでなく、審査にかかる費用も高くなってしまいます。

次回以降は、具体的な準備作業の内容について紹介していきたいと思います。

＜あわせてお読みください。：ISMSへの道　記事一覧＞