株式会社 電通マクロミルインサイト様 │ ISMS構築支援
~親会社との連携と現場を巻き込んだグループによるISMS認証取得~
親会社である株式会社マクロミル様が先行してISMSを構築・認証取得し、その約1年後、電通マクロミルインサイト様はグループ認証における拡大対象としてISMSを構築しました
GSXは構築作業の支援のみならず、グループとしての認証取得に際し必要な情報提供など幅広くご支援いたしました
株式会社 電通マクロミルインサイト様(以下DMI)は、株式会社電通の子会社として誕生し、現在は株式会社マクロミルグループに属し、電通グループとマクロミル、2社の資産と強みが融合したマーケティングリサーチ会社となっています。リサーチャー100人以上が在籍し、電通のパートナーとして培ったビジネス開発、マーケティング戦略、ブランド育成のノウハウを活かして、年間約3,000件以上のプロジェクトを実施しています。その業務の性質上、多くの顧客資産を扱い、Pマークの取得など個人情報の取り扱いに細心の注意を払って取り組んでいます。親会社であるマクロミルが先行してISMS認証を取得し、グループとしてDMIもISMS認証取得を目指すこととなりました。ISMSを構築するプロセスやグループとしてISMSの基準を達成していくことの難しさなど幅広くお話をお伺いしました。
目次
経営管理部 経営管理グループ グループ長
兼 品質管理室 室長
楠田 充 氏
情報システム、総務、法務、品質管理を担当。
経営企画室 経営企画チーム
塚本 稜子 氏
予算策定や実績管理、案件管理ツールの保守などを担当。
経営管理部 経営管理グループ 法務チーム
三尾 なつみ氏
契約審査、法務相談の対応、取締役会・株主総会の運営などを担当。
サイバーセキュリティの重要性が高まる中、企業にとってISMS(情報セキュリティマネジメントシステム)認証の取得は、統制や制度対応に留まらず、信頼性の証としての意味を持ちます。株式会社電通マクロミルインサイト様(以下、DMI)は、親会社である株式会社マクロミルと連携し、GSXコンサルタントの支援のもと、グループとしてのISMS認証取得に挑み、約1年のプロジェクトを経て認証を取得しました。本事例では、DMIがどのような背景と課題を抱え、どのように社内外の関係者を巻き込みながらプロジェクトを推進したのかを紹介いたします。
DMIは、2013年にマクロミルが電通マーケティングインサイトに資本参加し、翌2014年に社名変更を経て誕生した会社です。親会社であるマクロミルが主に自社モニターを活用したネットリサーチ事業を展開する一方、DMIは電通を主要顧客とし、その先のクライアントの課題解決を目的とした調査・分析・提案を行っています。ネットリサーチに加え、座談会やインタビューなどの定性調査も手掛けており、調査結果の納品に留まらず、データ分析から導き出される「ネクストアクション」の提案までを担っています。このように、DMIは顧客の重要情報を取り扱う機会が多く、情報セキュリティの確保は事業継続の根幹に関わる課題として認識されています。
DMIは、かつて電通の100%子会社であった時代にISMSを運用していましたが、体制変更に伴い一度返上している背景があります。その後も情報セキュリティ委員会の設置や年次研修の実施など、Pマーク運用と並行してセキュリティ体制を維持してきました。年次研修では、Emotetなどのサイバー脅威動向や社内事例を反映するなど、毎年内容に工夫が凝らされています。過去のISMS運用経験が今回のグループとしてのISMS認証取得にも大いに役立っています。
個人情報を取り扱う会社としてお客様からの信頼が一番であり、セキュリティ対策の重要性は以前より認識されており、当初はDMI単独でのISMS認証取得を検討していました。しかし、親会社であるマクロミルが先行してISMSを認証取得し、グループ各社への拡大が要請され、親会社との連携が不可欠となりました。
ISMS認証取得プロジェクトは、経営管理部の3名(楠田氏、塚本氏、三尾氏)が本業との兼務という形で事務局を務めることとなりました。各自ISMS構築・運用経験はありませんでしたが、Pマーク運用の経験などを活かし、各部門の部長に対して定期的に情報発信・作業依頼を行う形で進行していきます。2024年3月には本格的なプロジェクトチームが立ち上がり、2025年4月の認証審査まで約1年をかけたプロジェクトとなりました。マクロミル側が全体のプロジェクト管理や、要求事項とのGAP分析、タスク設定などの多くの支援を行い、事務局メンバーも、外部研修や書籍で基礎知識を習得するなど、キャッチアップに努めました。マクロミルの支援を活用しつつ、最終的には、規程類を整備するなどの実務を通じて要求事項の重要性を実感し、知識が「自分ごと化」されていくに至ります。
グループとしてISMSを構築・認証取得を目指すことから、DMIは親会社であるマクロミルから様々な支援と要請を受けることになります。両社の企業規模・業務内容・推進体制・視点などの違いから発生する様々な論点について協議を重ね、着地点を見出していくことを丁寧に行っていきます。
-推進体制の違い
マクロミルにはISMS運用を担う専任部門がある一方で、DMIは経営管理部3名が中心となった兼務体制であり、体制の差はプロジェクトにかけられる工数の差、スピード感の差としても現れてきます。
-視点の違い
マクロミルは単体で1,186名・連結で2,228名(2024年6月末)、一方でDMIは255名(2025年4月1日)の会社と、規模の差があるなかで、項目に対するプライオリティ認識の違い、重要性に関する認識の違いなど両社の視点の違いから、マクロミルが要請するリスク対応の水準をそのままDMIが受け入れるには難しい事項もありました。いくつかの視点の違いはビジネスモデルに起因していることもあり、要請をそのまま受け入れることで業務に支障を来してしまうことも考えられました。
-「違い」への対応
自社の業務を理解した上で、どのように適応を目指していくのかを判断できるメンバーがプロジェクトの中に存在することが重要です。その役割を楠田氏が担っていました。楠田氏はGSXの支援を受けながら、マクロミルからの要請に対し、どのように対応していくのかを調整・判断していきます。原則はマクロミルの要請に準じつつも、業務実態と合わない点はしっかり議論し、業務とルール・要請の間にある適切な着地点を見つけていくための努力が繰り返されました。
もう1つ大事なポイントは、社内関係者との調整です。Pマーク運用時よりも各部署への依頼が増えることに対し、現場メンバーに戸惑いが見られました。塚本氏、三尾氏は多忙な各部署から協力を得るため、依頼内容を分かりやすく伝えるなど、丁寧なコミュニケーションを心がけました。マネージャー会議や全社会議の場で、取得の目的やスケジュールを繰り返し説明することで、理解と協力を得るといった地道な活動も”巻き込み”には欠かすことができません。
ISMSを企業全体として構築する場合、推進する事務局部門の作業で完結できるものではなく、自社の様々な部門が協力し合い、明確化したポリシーにより共通のゴールを目指していきます。ISMSに関する知識の有無もさることながら、経営陣のリーダーシップと、推進する事務局の調整力・巻き込み力がプロジェクトの成否を分けるといっても過言ではありません。日頃から様々な部門と連携し、社内リレーションがある経営管理グループを事務局部門としたことは成功要因の1つと言えそうです。
また、無理にISMSに適合した結果、ルールと業務のダブルスタンダードが発生することがあるため、しっかりとルールと業務の着地点を見つけていくことが求められます。
GSXでは標準的なISMSの構築手法(各種資料やノウハウ)を有しており、それらを基にお客様にご提供、ご説明し支援を進めるスタイルが一般的です。本プロジェクトではマクロミルからの要請含めたサポートが手厚かったこともあり、GSXは後方支援という形を取り、実務的な作業支援や、マクロミルからの要請に対して、その意図や意味を解説したり、一般的にISMSではどこまでの対応が求められるかといったセカンドオピニオンとしての助言を差し上げるアドバイザーとしてプロジェクトをご支援しました。マクロミル・DMIの関係者が参加する定例会にも参加し、定例会後に主要な論点に関するアドバイスや参考情報の提供、また、別途開催していたDMI・GSX定例会では、作業支援をした内容の説明だけでなく、要請への対応相談など、通常のISMSプロジェクトとは違ったユニークな伴走型の支援をいたしました。
DMI楠田氏は、マクロミルからの要請に対し、専門家のセカンドオピニオンを受けたり相談できることで、親会社と議論すべきポイントが明確になったと評価します。要請を自社の業務に照らし合わせ、そこにGSXから得た情報を組み合わせることで現実的な落としどころを見つけ、粘り強く意見交換を続けました。
また、推進チームは3名しかおらず、知識面だけでなく、リソース面でも補強が必要でした。GSXは知見とリソースを両立して提供することで、プロジェクトの円滑な進行に貢献しました。自社規定、ISMS要求事項、親会社規定の3者間の複雑な照合作業を実行し、拡散していた規定の整理・統合も実現しています。
専門家に外部委託する効果は絶大であり、現実的な運用設計に繋がったとご評価いただいています。
本プロジェクトは全社をまとめ、予定通り認証取得することができた点が評価され、「ベストプロジェクト賞」として、全社表彰となりました。
ISMSに取り組んだ効果として次のことを楠田氏はあげています。
全社で遵守すべきルールが言語化され、今後のセキュリティ対策を推進する上での基盤(御旗の印)ができた。
取引先から要求されるセキュリティチェックシートの提出が免除されるケースがある。
第三者機関の認証があることで、「ISMSの要求事項」という基準が明確になり、社内調整が円滑になった。
今後のセキュリティ対策として3つのテーマを掲げています。
インシデント報告のレベルアップ
重大な事故だけでなく、事故に至らない「ヒヤリハット」や報告すべきか迷う事象も効率的に収集・活用する仕組みを構築し、事故の未然防止を目指す。
リモートワーク環境における課題
「タクシー内での携帯電話での会話」など、個人の「常識」に依存しがちな細かい状況での判断基準を定め、意識の温度差を埋める。
技術的なセキュリティ課題
自社開催セミナーの申込フォームなど、個人情報を直接収集するウェブサイトにおけるスキミング被害への対策を実行する。
最後に、今回の経験を基に、これからISMS認証取得を目指す企業に向けたアドバイスをいただきました。
1.審査の想定
審査で何が問われるかを早めに想定し、事務局準備の方向性を定めておくと円滑にプロジェクトを進め助けになる。
2.社内調整と根回し
各部署への協力要請において、事前に「実際に手を動かす作業が発生する」ことを具体的に周知し、根回しをしておく。
3.プロジェクト推進担当者の適性
現場の業務フローを理解し、親会社からの要求を踏まえつつ、自社の実務に合った「いい塩梅」を見つけて交渉・調整できる人材が不可欠。
DMIのISMS認証取得プロジェクトは、親会社との連携、社内の巻き込み、GSX支援の活用という三位一体の取り組みによってグループでの認証取得に至りました。セキュリティ対策は一過性のものではなく、継続的な運用と改善が求められます。GSXはお客様の立場に立ち、ホスピタリティ高くご支援します。
- 業務がわかる適任者をアサインする 業務実態がわかる適任者をアサインすることで、ルートと業務の落としどころを探していく。ダブルスタンダードを作らない。
- 業務に沿った適合を目指す 親会社の要請をそのまま受け入れるのではなく、業務実態に沿って落としどころを探していく。業務を無理に変えたり、ダブルスタンダードを作らない。
- 社内関係者を巻き込む工夫 日々のコミュニケーション、関係者を巻き込む工夫は小さなことでもコツコツと丁寧に実施する。
会社名
株式会社 電通マクロミルインサイト
本社所在地
東京都中央区築地4-7-5 築地KYビル
設立
1967年11月
資本金
3億 6,016万円
従業員数
(2025年4月1日時点(役員を除く))
255名
代表取締役社長
眞鍋 尚行
>> ISO27001(ISMS)認証取得支援 国際規格であるISO/IEC27001に準拠した情報セキュリティマネジメントシステム(ISMS)の構築を支援し、ISO認証の取得はもちろん維持・更新審査、規格改定(27001:2022)にも対応します。
本記事のシェアはこちらから
