事例紹介:ISMS認証
社会保険労務士法人SCS

▲ 2015年8月4日 (月) に行われた認証授与式において

写真右:社会保険労務士法人SCS 代表社員 小澤 勇 様

写真左:BSIグループジャパン株式会社 代表取締役社長 竹尾 直章

 

BSI ジャパンは、社会保険労務士法人SCS へ、ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)を認証いたしました。社会保険労務士法人SCS は、1976(昭和51)年の創立以来、給与計算業務をはじめ、労働・社会保険の事務手続から総合的な人事労務コンサルティングまで、社会保険労務士としての幅広い業務を行ってきました。今回は認証の授与に際してISO/IEC 27001 認証に至った背景や目的、今後の展望などについてお伺いしました。

 

ISMS 認証取得の背景やきっかけ、目的をお聞かせ下さい。

もともと社会保険労務士は、社会保険労務士法という法律によって守秘義務を課せられています。従って、その社会保険労務士法を守ることで、セキュリティも順守していると言えるはずです。しかしながら、世の中がずいぶん変わり、企業は個人情報、企業の機密情報を含め、万全のセキュリティを保てる状況でなければ不十分だと、セキュリティに対する要求が高くなってきました。

私どものお客様も、大企業や上場企業など非常に企業秘密が多い会社があり、一部のお客様の業務においては、こちらの事務所の中に隔離した執務エリアを用意し、専用のネットワークを構築するなどして、社内でもほかのクライアントと一切混在しない環境の下で限られた職員により業務を行っています。そしてそのほかのお客様においても、同様のセキュリティを求められることがあります。そういった事業環境であるため、職員の認識も社労士法に定められている守秘義務を守るのは当たり前という感覚でした。

このように、小さな士業の事務所の割にはかなり前から積極的にセキュリティに取り組んでいましたが、それらの取り組みがポイントポイントでのものであり、流れとして、体制として確立していませんでした。私どもも大きな組織になってきましたし、お客様に対して組織力で差別化を謳う上でも、体制として確立したいなということを常々思っていました。また、中途半端に認証だけ取ればよいということではなく、実体としてセキュリティ体制がきちんと機能している状況を作ろうとも考えていました。そこで、そのためには、ISMS の認証を取るためのステップが参考にできると考え、担当者をBSI の研修に参加させたことが始まりです。

▲ 社会保険労務士法人SCS 代表社員 小澤 勇 様

 

マイナンバー制度(社会保障・税番号制度)による影響はありましたでしょうか?

それはもちろんあります。マイナンバー制度の目的は、社会保障、税、災害対策の3つです。3 つのうち最も関係が深いのが社会保障で、我々社労士の業務です。社労士業務を委託し、委託先でセキュリティ事故があった場合の責任はお客様も負うことになるという状況で、情報セキュリティへの対応をしっかりやっている社労士が、よりお客様の信頼を得ることになり、これまで以上にセキュリティ対策の視点による差別化が進むと考えています。

ただ、ISMS の認証を取ったのはマイナンバー制度が始まるからというわけではありません。マイナンバーの話に関わらず、大事な情報をきちんとお預かりしなければならないという意識は以前からもっており、セキュリティについて体制を整える必要性はずいぶん前から感じていました。

実際のところは、マイナンバーの話題が出る前からセキュリティに取り組んでおり、たまたま認証を取得するのがマイナンバー制度開始の直前になったというだけです。マイナンバー制度への対応が目的というわけではなかったのですが、マイナンバー制度の詳細が浮き彫りになった今、安全管理措置とISMS には大変多くの共通点があり、ISMS の意義を改めて感じています。

 

取組みで工夫した点、取組みの特徴などがございましたらお聞かせ下さい。

特別工夫をしたという事はなく、基本に沿って実施した感じです。本当はここまでやりたかったというレベルまでは着手することができず、次回の審査までの宿題をもらうような形で認証していただいたと感じています。情報セキュリティのマネジメントにおいて、基本的なことは職員皆が体に染みついていたため、特別新しいことを覚えてもらったという事はありませんでした。最低限のことは皆が守ってくれているので、今まで実践していた事を改めて理解してもらう。また実践はしていたが理解はしていなかったという職員にも、今回の取り組みのなかで理由を説明し理解してもらうことができました。

 

取組みを行ったことによる成果・利点は何でしょうか?

きちんと明確化していなかったものが明確化できたという事は利点だと思っています。事業継続や経営に関わることについても、限られた経営層だけが対応していた事があったのですが、今回見直してみると、組織的に対応できる事が明確になりました。また、事務局のメンバーを立候補で募り、思いがあるメンバーを集めて作業に取り組んでもらったことも成果だと考えています。

▲ 社会保険労務士法人SCS 代表社員 小澤 勇 様と、事務局のメンバーの皆様

今後の展開と目標をお聞かせ下さい。

情報セキュリティマネジメントシステムをしっかりと運用する事で、きちんとした事務所であることをお客様にご理解いただきたいと考えています。今回に限らずこれまで取り組んできたことは、SCS の名にも表されているとおり、誠実に、そして信頼関係を大切にし、その上で高度な専門家としてお客様へのお役立ちを追及するということでした。今回取得したISMS 認証を、その裏付けとして今お付き合いのあるお客様や、新しいお客様にも知っていただき、信頼関係の強化に役立てられればと考えています。しかしやはり一番大事なのは、基本をきちんとやり続けることだと思います。課題の一つ一つにしっかりと取り組んでいる事が普通である状態をこれからも守っていきたいです。

 

ありがとうございました。