インターネット生保という当時としては新しいビジネスモデルで創業した同社の上場審査が大詰めを迎えていた。
ベンチャー企業が保険ビジネスに参入しIPOを目指す。当時世の中の注目を集めていたのだが、ファイナンス、セキュリティ、コンプライアンスのリスクに適切に対処できるのか、が重要であった。
 
セキュリティ、コンプライアンスにおいては、個人情報保護法はもちろんのこと、金融庁は「FISCレベル」での対応を求めていた。
同社は「個人情報漏えい」のリスクに対応していることを市場に示すためにISMSの取得を決定した。
ただし、前述の通り、ISMSはミニマムなスタンダードに過ぎない。FISCや場合によってはPCIDSSをベンチマークとしてセキュリティの構築に取り組む必要があった。
そこで当社は、ISO 27001 Annex Aをベースにしつつ、それぞれの要求事項にFISC、PCIDSSをベンチマークとしてぶら下げていく対応を進めることとした。
 
CIA値が閾値を超えていない情報資産に対してはベースラインアプローチで押さえ込み、重要な情報資産に対しては詳細リスク分析をおこなう。
この方法でFISCやPCIDSSへのフィットギャップを効率的に把握した。
 
2013年、同社の情報システム部門はISMSを無事取得することとなった。ただし、ISMS取得は彼らにとってスタートに過ぎない。顧客の信頼、市場の信頼を確実なものとするため、さらなるスパイラルアップに取り組んでいる。
 

＜関連情報＞
プライバシーマーク（Pマーク）に関心がある方はこちらへ
ISMS（ISO27001）に関心がある方はこちらへ