株式会社創夢様は、高度な開発技術を持つ技術者集団として、ソフトウェアの受託開発及びコンサルティングを行われています。
ISO27001取得以前から、情報セキュリティに関する意識が高かった同社は、将来を見据えての信頼性、安全性をさらに確実にするために、ISO27001の認証取得を決断されました。

＜取得の背景＞

取得の背景には、大きく3つの目的がありました。

【第一の目的】
将来的に官公庁などの入札条件にISO27001認証取得が必要となるであろうと考え、それに備える目的。

【第二の目的】 
情報セキュリティに関しては、自社内での基準を持っていたが、公的な認証を取る目的。

【第三の目的】 
自社内を第三者の目できちんと精査することで、情報セキュリティにおけるルールの必要性を社員に納得してもらう目的。

＜代表取締役社長　田口淳一様＞

ISMS構築において、実際に指揮をとられた皆様にお話を伺いました。

【ISO27001 認証取得に関するご感想】
ISO27001取得というのは、自社の中で今まで独自に構築してきた情報セキュリティの枠組みが、一般の基準に達しているのかということを問う一種のチャレンジでもありました。

【ISO27001取得までの悩み】
ソフトウェアの開発やコンサルティングという仕事柄、お客様の機密情報を預かることが多く、「いったいどこまで情報セキュリティをやればいいのか」というのが常日頃の悩みでした。ISO27001の認証を取得するということで最初はただ「もうこれで悩まないですむ！」と思いました。しかしISO27001を社内で構築するという作業は、楽なものではありませんでした。

【ISMS構築中のご感想】
構築には、経理部長と社長という2つの立場で参加をしましたが、経理としては、普段のルーチンワークをどうやって27001のシステムに当てはめていくかを問われましたし、経営者としては、「そのリスクをどう判断するか」ということを常に決断しなければならなかった。当初考えたように「ISO27001 というシステムを導入する」というパッケージのようなものではなく、社員と一体になって作り上げるという作業でした。

【認証取得を終えて】
自社のシステムを見てみると、情報セキュリティはある部分はやりすぎているところもあり、逆に足りないところもありました。それが今回の認証取得ですべてクリアーになりましたので、今までのように心配しなくても良くなったのが大きなメリットでした。 比較的短期間で取得をいたしましたので、大変な面もあったのですが、認証取得をした今、大変感動しています。

＜取締役　開発担当　松山様＞

【ISO27001 認証取得に関するご感想】
弊社はソフトウェアの受託開発という仕事柄、セキュリティに関しての自社内の規定はもっていたのですが、そのルールを決めるときに、「なぜそこまでやらなければいけないのか」という根拠が弱く、社員への納得性に欠けていました。また何か事故などのインシデントが起きた時にどうするのかという対応策までカバーする体制も作りたかったため、ISO27001の認証取得に踏み切りました。創夢自体は開発者が多く、情報セキュリティに対する意識は他業種よりも高かったのですが、管理部門など直接開発に関係のない部門の底上げも図るという目的も今回の取得には含まれていました。

【ISMS構築中の感想】
認証取得の構築作業には、創夢社員80名中、22名のワーキングメンバーが加わり熱い議論を交わしました。元々お客様にソフトウェアのサービスを提供するという仕事柄、どのようにしたら安全な情報セキュリティを提供できるのかということに興味を持つ社員が多く、議論が深まってしまい、可用性のあるマネジメントシステムを構築するという調整が大変でした（笑）。現在も、同じメンバーがキックオフを終え、来年の更新審査に備えています。

【認証取得を終えて】
ISO27001 を構築した経験がなかったので、日常の業務を、どうやってひな形や書類にリンクさせていくのか見えなかったのが辛いところでした。 ISO27001は、他社の同じような例を真似すればよいという単純なことでは構築できず、あくまでも自社なりのマネジメントシステムをゼロから立ち上げなければいけないので、自分の会社なりの基準というものをつかむまでが、まさに暗中模索でした。光が見えないときもありました。また管理策などをあてはめたり、どれをやったらいいのかということも随分と悩みましたが、良い経験となりました。とても役に立ったと思ったのは、内部監査前の模擬監査で、自分が監査をしたり、また監査する側に立って質問を作ったりしたことが、本番にも、ISMSの理解にも役立ちました。