非公開型アフィリエイトを中心としたマーケティング事業

非公開型アフィリエイト・サービス「felmat」を中心に、インターネット広告やデジタルマーケティングサービスを展開している株式会社ロンバード。スリーエーコンサルティングともに情報セキュリティマネジメントシステムの国際規格ISO27001（以下、ISMS）の認証を取得した取り組みについて、クライアントコンサルティングDiv 第2グループ グループリーダー 桜井 頌太氏に、お話を伺いました。

取引先からの信頼を得るには公的な認証が必要

――インターネット分野で活躍するロンバード様だけに、ISMSの必要性を感じていたと推測しますが、実際、取得に至った背景をお聞かせいただけますか？

近年は取引先から、情報セキュリティの状況を確認するチェックシートにて、ISMSもしくはPマーク取得の有無を問われることが多くなってきたことが取得に至った背景となります。もちろん、当社には情報セキュリティの規程があり、「基本的に印刷しない」「不用意にダウンロードしない」など、かなり厳しいルールを設けています。そういう意味では、当社の社員は情報セキュリティへの意識が高い思います。

しかし、内部的な規程は対外的には意味を持ちません。求められるのは、ISMSやPマークのような公的な情報セキュリティの認証を取得したうえで、その認証のフレームに沿って運用しているかどうかです。そこで、情報セキュリティへの取り組みを対外的に周知するスキームとしてISMSの取得に至りました。

株式会社ロンバード 　 桜井 頌太様

ISMSは外資系企業から理解が得やすい

――「ISMSもしくはPマーク取得の有無」とありましたが、Pマークではなく、ISMSを選択されたのはなぜですか？

どちらにするか迷いました。最終的にISMSに決めた理由は、ISMSはISO（国際標準化機構）が定めるさまざまなマネジメントシステム規格のひとつであり、世界的に認知されている情報セキュリティマネジメントシステムだったからです。当社は外資系企業とのお付き合いもありましたから、ドメスティックなPマークよりも、デファクトスタンダードであるISMSの方が理解は得やすいと考えました。

「お客様の作業工数を限りなくゼロに近づける」を求めていた

――ISMSの取得には自社のみで取り組むか、コンサルティング会社とともに取り組むかの選択肢がありますが、御社は当初からコンサルティング会社に依頼する予定だったのでしょうか？

本業に関わる業務以外のところに社内のリソースを割きたくなかったため、最初からプロのコンサルティング会社にお願いするつもりでした。とはいえ、ISMSやコンサルティング会社に対する知識がほぼなかったため、まずはネット検索で情報収集を行いました。そのなかでISMSの知識を少しずつ増やしながら、当社にマッチするコンサルティング会社を比較・検討し、最終的に依頼したのがスリーエーコンサルティングです。選定の理由は「お客様の作業工数を限りなくゼロに近づける」というスリーエーコンサルティングのサービスコンセプトが、当社が求めるサービスだと思ったからです。

――御社は約半年でISMSを取得されたと伺っています。真摯に取り組んだ結果とお察しますが、その取得プロセスと取得範囲、早く取得できた秘訣などがあれば教えていただけますか？

2024年9月にスリーエーコンサルティングと一緒に取り組みを開始し、2025年3月には監査終了。4月にはISMSを取得することができました。実は取得のゴールは決めていませんでした。「なるべく早く取得したい」だけでした。他社と比較したことがないので、取得が早いのか遅いのかは分かりませんが、早くからペーパーレスを導入していたことやクラウドのフル活用など、物理的に管理するものが少ないことは影響したかもしれません。

取得範囲は東京本社と大阪営業所、そして、マーケティング活動におけるコンサルティングおよび情報提供サービス・広告代理業・各種サービスの設計・開発・運用で、当社の全領域にわたって取得しました。

ドキュメント作成を含め、ほぼスリーエーコンサルティングにお任せ

――ISMSアシストを含め、スリーエーコンサルティングのコンサルティングについての評価をお聞かせくださいますか？

おっしゃる通り、監査や審査以外はISMSアシストの画面を見ながらオンラインで打ち合わせを行っていました。ISMSアシストについては、ドキュメントはもちろん、ISMSに関する年間スケジュールや社員への教育もISMSアシストで一元管理できるため、とても使いやすいツールだと感じています。

評価については「満足している」の一言です。そもそもISMSに関する知識が不足しているなか、スリーエーコンサルティングには手取り足取り教えていただき、非常に恐縮しています。こちらは「集める・伝える」に徹し、ドキュメント作成を含めてほぼお任せしている状況です。何より、当社の業務に合わせる形でドキュメントをまとめていただきましたから、業務において大きな変更はありません。いまやスリーエーコンサルティングは、パートナーとして欠かせない存在だと思っています。

株式会社スリーエーコンサルティング 　 田村 彩

自信を持ってチェックシートのISMS欄にチェックできる

――取得の背景として「情報セキュリティへの取り組みを対外的に周知するスキームとしてISMSの取得」と伺いましたが、取得後はビジネス面で効果はございますか？

チェックシートの記入が楽になりましたし、取引先から情報セキュリティへの取り組みを評価されていると感じます。また、新規契約の場合、お互いが安心して話を進めることができます。社内的にもスリーエーコンサルティングの教育プログラムを利用されていただき、しっかり周知させてもらっています。そういう意味では、社内外ともに情報セキュリティへの意識は高まったといえるのではないでしょうか。

――今後の展開やスリーエーコンサルティングに期待することなどはございますか？

今後もスリーエーコンサルティングと一緒に、ISMSの運用と更新を続けていくことになると思います。すでに多大なサポートをしていただいているので、スリーエーコンサルティングに期待することはあまりないのですが、あえていえばノウハウの蓄積でしょうか。ISMSに関することは、スリーエーコンサルティングにお任せできてしまうため、良くも悪くも社内のノウハウは十分とはいえません。少しずつで構いませんから、ISMSに関してスキルトランスファーしていただけると助かります。

リソースが限られている企業にはスリーエーコンサルティングがおすすめ

――最後にISMSもしくはPマークの取得を目指す企業に向けて、ISMSを取得し運用しているロンバード様からアドバイスをお願いできますか？

リソースが限られている企業の場合、ISMS取得に割ける人員は自ずと限られてきます。そういう意味では、「お客様の作業工数を限りなくゼロに近づける」を掲げるスリーエーコンサルティングは有り難い存在です。コンサルティング会社を比較・検討する際は、ぜひスリーエーコンサルティングを加えることをおすすめします。