保険代理店としては国内最大規模の同社は、上場を視野に入れセキュリティ面、コンプライアンス面の強化に注力していた。
IT基盤は親会社の支援もあり、堅牢なものであった。ところが課題もあった。2008年にISMSを取得したものの、ISMSそのものが組織全体に浸透しておらず、形骸化が進んでいた。
同社の依頼を受け、当社は形骸化の原因分析に着手した。様々な要因があった。人の出入りが激しい、人事異動が頻繁におこなわれる、現場スタッフに分かりやすいマニュアルが整備されていない、等々。
管理部門の担当者はそれらの課題をすべて認識していた。ところが有効な手立てを打てないまま時間が経過していた。
彼らにとって、何が一番ピンなのか?
当社が至った結論は「審査機関の変更」であった。同社が契約していた審査機関は業界では、「甘い、安い」で有名な三流の審査機関であった。審査員の質も極めて低い。
確かにISMSの取得・維持だけが目的であれば、件の審査機関がベストかもしれない。ところが、形だけの審査、中身のない審査レポートは組織を蝕んでいく。
戦略的にセキュリティ対策を組み立てるには、経営層の理解が必須である。ダメな審査機関、ダメなコンサルとの交流が経営層のセキュリティへの関心を奪っていくのである。
当社は、あえて、業界で最も厳しい審査機関への変更を助言した。規格改訂への対応が必要だったことも追い風となった。
これにより同社のPDCAは好循環を始めた。経営層もセキュリティに関心を持ち始めた。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ
