東京エレクトロン デバイス株式会社 様|ISO27001(ISMS)認証取得支援
東京エレクトロンデバイス株式会社様は、官公庁向けの入札案件でISMS認証取得が応札の必須要件となっていたことがきっかけで、GSXのISO27001(ISMS)認証取得支援サービスを選択されました。
東京エレクトロン デバイス株式会社 様
東京エレクトロン デバイス株式会社(以下、TED)は、最先端の半導体やネットワークシステムなどを高度な技術サポートと徹底した検証による品質保証とともに提供する技術商社です。
半導体製品、ボード製品、ソフトウェア、一般電子部品の購入・販売、および設計・開発を行うEC(電子部品)事業、及びネットワーク、ストレージ、ミドルウェア、ソフトウェアの各ソリューションの購入・販売を行うCN(コンピュータ・ネットワーク)事業を展開されています。今回はCN事業統括本部を対象としてISMS認証を取得されました。
目次
情報セキュリティ管理責任者
池田 隆彦 氏
事務局メンバ
二宮 潤 氏
事務局メンバ
廣常 亮 氏
事業開発部
シニアコンサルタント
船橋 良輔
コンサルティング事業部
シニアコンサルタント
和田 直樹
― まず、ISMS認証取得については、どのような背景から取得されることになったのでしょうか?
取得を検討した背景は、大きく2つありました。一つ目は、営業活動に際して直接の必要があった事です。「官公庁様向けの入札案件でISMS認証取得が応札の必須要件となっていた」ことです。営業部門へのアンケートも実施しましたが、ISMSが必須となる案件は今後さらに増えていくだろうとの予測もありました。二つ目は、「官公庁様以外のお客様からセキュリティ対策状況に関するアンケート調査を多く頂いていた」という背景です。当社は情報関連機器を扱っておりますので、そういったアンケート調査のご依頼は多かったのですが、その調査項目がそもそもISMSをベースにしたものが大半でした。 そういった2つの背景から、事業部内にISMS認証取得を検討していくプロジェクトが発足され、池田様が情報セキュリティ管理責任者として、認証取得に向けたプロジェクトが進んでいったのですね。
― では取得を検討されていくに当たっては、どの様な課題があったのでしょうか?
当社全体としては、それまでに他のISO認証を取得した経験がありましたが、我々CN事業統括本部としてはこういった認証取得は初めての経験でした。そもそもISMSがどんなものであるか、そして認証取得するためには何から始めたら良いのか、各種セミナーに参加しながら勉強していくことから始めました。
そして、入札要件に対応するという当初の取得目的から考えると、通常取得には10~12ヵ月が必要とされるところを、もっと短い期間で取得しなくては、実際の入札で必要とされる時期に間に合わないことも分かりました。
そんな状況にも関わらず、認証取得に関わる社内のリソースも十分に確保できる訳ではなく、また事務局のメンバーである我々自身も専任ではなく、通常業務との兼務のなかでプロジェクトを進めなくてはいけない状況でした。
これらが課題といえば課題で、コンサルティング会社に支援を依頼することに決めた大きな理由でした。
選定に当たっては、いくつかのコンサルティング会社に提案を依頼しました。
一見すると各社同じ様に見える認証取得支援のコンサルティングサービスですが、実際に提案頂いた内容を比較してみると大きく差があることが分かりました。
例えば、認証取得まで我々事務局の作業は殆ど不要で、その全てをコンサルティング会社で代行しますというフルパッケージ型のもあれば、全く正反対に別のコンサルティング会社は最小限の作業しかしない様なミニマム型の提案もありました。
ただ、この検討の際に一番我々が憂慮したことは、「ISMSは一度認証取得したら、それで終わりではないということです。2年目以降、継続的に我々自身でそれを維持・改善していく事ができるか?」という点でした。全てをコンサルティング会社に任せてしまった場合、我々の中にはノウハウもナレッジも蓄積されず、主体的な維持・改善活動が難しいだろうと推測したのです。
と言いながらも、一方では前述のとおり、我々自身にはリソースも時間も足りません。
そんな中、GSXの提案は非常にバランスが取れており、また現実的だという印象でした。
まず、GSXの提案は当初から認証取得後の2年目以降を見据えた内容になっていました。翌年に検討しなくてはいけない要素や事務局が必要になってくる要素を十分に汲んだ内容で、2年目以降に自主的に維持・改善できる様にスキルトランスファーしていく事を一つのゴールとしていました。
また、限られたリソースと時間の中で、それが実現出来るのかという点についても、GSXの提案は「やりすぎない、やらなさすぎない」という事もテーマに掲げていました。つまり、特にセキュリティを確保すべき、優先しなくてはいけない部分は厳しく運用を行う。けれども、そこまで優先度の高くない部分には通常業務を優先する、業務の足かせにならない程度に運用を行う。
特に初年度は、最初から100点満点でのISMS認証取得を目指すわけではなく、段階的にPDCAサイクルをまわしていく中で、徐々に100点を目指しましょう、という内容でした。
そんな内容だったので、事務局側としても「GSXの提案なら、無理なく認証取得できそうだ。そして翌年以降も自分たちで維持・改善できそうだ」と判断したのが、GSXを選定した理由です。
― GSXのサービスを選定した上で、効果効用はどのようなところにございましたか?
プロジェクトを推進していく中では、「業務に役立つISMS」と題した推進前提を掲げることで、前述の「やりすぎない、やらなさすぎない」というテーマを実践できました。結果的に、目的と手段を履き違えて闇雲に業務の足かせを増やすようなこともなく、プロジェクトを進めることが出来たのです。
また、プロジェクトに関係する全メンバーに対しての説明会やアドバイザリーの中でも、それぞれの役割を明確にして貰ったうえで、その作業を実施する理由づけもきちんと説明頂いたことが理解しやすかったのだと思います。全体最適や部分最適を使い分けながら、全メンバーがある程度の自主性を持ち、プロジェクトを推進する事ができました。
最終的には、今まで「敬遠していたもの」が「必要なもの」であると理解できるようになりました。つまりセキュリティ対策の重要性です。
責任者である管理職がその中身を理解し意識が定着し、ちゃんと現場までそれが浸透しています。社内の現場にISMSが文化として定着できたことが、このプロジェクトの成功要因であり、また同時に最大の効用だと感じています。
会社名
東京エレクトロン デバイス株式会社
新宿オフィス所在地
東京都新宿区西新宿3-7-1 新宿パークタワー S34階
設立
1986年3月3日
資本金
24億9,575万円
従業員数
948名(連結)
事業内容
・EC(電子部品)事業
・CN(コンピュータ・ネットワーク)事業
ISO27001(ISMS)認証取得支援では、既存の仕組みを活かしつつ、実態にあった仕組みづくりを支援し、最小限の作業でISO/IEC27001(JISQ27001)の認証取得ができるようお手伝いします。
東京エレクトロン デバイス株式会社 様 導入事例紹介リーフレット (PDF 1.3MB) 
本記事のシェアはこちらから
