「働く人の、心と体の健康づくり」
ウェルリンク株式会社様は「働く人の、心と体の健康づくり」をスローガンにかかげ、ストレスチェックなどを通じて、「人が活き活き働ける組織づくりをサポート」している会社だ。
平成26年、改正労働安全衛生法の施行により、50名以上の事業場はストレスチェック制度が義務化され、ストレスチェックに関するニーズが増えている中、ウェルリンク様では「ストレス」を悪者にせずに、うまく対応していきながら健康づくりを」というポジティブな考え方をコンセプトにしている。
「ストレス」と聞くと、ネガティブなイメージから「ストレス」を減らそうという方に考えられがちだが、活き活きと働く上では、どうしても「ストレス」は必要となる。
職場の不適合だけに対応する考えでなく、個人一人ひとりの事情も考慮し、お客様に寄り添った対応をする。という事が、ウェルリンク株式会社様の社是にもなっているという。
同社はPマークを2006年に取得し、ISMSに関しては2017年に取得している。日本パープルは、Pマークの更新支援、およびISMSの運用支援サービスを提供している。その内容について、ウェルリンク株式会社、石橋佳巳様、竹岡吉明様、池野浩平様、高橋竜太郎様にお聞きした。
情報システム室 室長 竹岡吉明様
健康調査部 医師業務グループ 池野浩平様
健康調査部 健康調査グループ 高橋竜太郎様
導入商品・サービス
- 認証コンサルティング Coach MAMORU
Pマークに加えて ISMSの認証を取得した背景
同社はPマークを2006年に取得し、ISMSに関しては2017年に取得している。日本パープルは、Pマークの更新支援、およびISMSの運用支援サービスを提供している。その内容について、ウェルリンク株式会社、石橋佳巳様、竹岡吉明様、池野浩平様、高橋竜太郎様にお聞きした。ウェルリンク株式会社様は、サービスの性質上、当然ながら重要な機密情報も扱っている。
当初は、「個人情報」を大切に取り扱う事業者の証明となるプライバシーマーク(以下、Pマーク)のみを取得して事業を行っていたが、自社で取り扱っている情報が医療カルテと同様レベルの機微情報であることや、新規顧客・既存顧客ともに外部からの脅威に対して適切な対策が求められるようになったことから、ISMS(情報セキュリティマネジメントシステム)を取得した。
石橋様:
Pマークに加えてISMS認証を取得・運用するとなると、それに掛かる時間的コストが問題になりました。ただでさえPマークの運用をする事が営業活動を圧迫している中で、さらに ISMS認証の作業も加わるとなると営業活動及び、事業活動にも影響します。
しかしながら、情報セキュリティに関する社会の目も厳しい今、情報セキュリティに関してはウエイトを高くしないとお客様が安心してサービスをご利用いただけない。ということでISMSを取得しようということになりました。
認証資格を更新・運用するうえでの課題点とは?
社内教育に関する課題と2つの認証を運用する上での運用負荷が課題だったという。
竹岡様:
従業員それぞれ、個人情報の取り扱いのレベルや、情報セキュリティに対する意識レベルの差がありました。
当社は中途採用がほとんどのため、前職で高いレベルの教育を受けていた方はそれなりに意識レベルも高いのですが、そうでない方もいて、「情報セキュリティとは?」「なぜ守らなければいけないのか」を研修を通じて意識レベルを統一させる必要がありました。
また、これからPマークとISMSを同時並行で運用していく時期で、運用面を不安視していました。
Pマークは2年に1回の更新審査、ISMS認証は3年に1回の更新審査と年1回の継続審査があるが、別々のタイミングだと、1つの審査が終わるともう一方の審査準備が始まるというように負担が発生します。作業面からして同じタイミングで終わらせられたほうが、従業員にとってもストレスが掛からずに委員会を回すことができます。そのためには「一貫性を持った規定文書を作る」ことが至上命題でした。
池野様:
「ISMS認証ではこういう規定になっていますが、Pマークではこのような規定になっています。どちらが正しいんですか」という混乱が、従業員の間で起きかねません。ですから、一貫性を持った情報セキュリティの運用をしたいと考えていました。だからこそ、日本パープルさんと一緒に認証の取得を進められたのは大きかったですね。
日本パープルを選んだきっかけ
竹岡様:
従業員教育については、自社で実施しており、社員で毎回テーマを考えていた。
しかし、どうしても社内だけの知識ではマンネリ化してしまっていた。
その頃に日本パープルからサービスをご案内頂いたのがきっかけです。
内部だけの運用だけでなく、外部からの情報を頂く事で、緊張感もあり、理解も深まると考えました。また、実際のコア業務もある中での負担が軽減できると考えました。
石橋様:
日本パープルは、当社と同じようにお客様の機微な情報を取り扱ってサービスを行われていて、すでにPマークやISMSの運用実績がありました。
また、実際に、機密処理サービスにおいては取引関係も長く信頼があったことが選定の理由です。
日本パープルのコンサルティングを受けて
実際、日本パープルのコンサルティングを受けてどのような変化があったのだろうか?
従業員の意識が変わった
高橋様:
それまでは、情報セキュリティ教育というと、一方的に講義を聞いて、ただやらなければいけないものというスタンスでしたが、全社員集めてグループディスカッションという形の研修を行って頂いた事で、従業員の意識も上がりましたし、アンケートの結果をまとめて頂いたりすることで、やりっぱなしではなく教育研修を行った結果として形にして頂きました。
質問ヘの回答だけじゃない「よろず相談」
竹岡様:
最近の出来事なのですが、お客様からGDPR(EU一般データ保護規則)に関するお問い合わせを頂いたんです。お客様からの質問を丸投げするつもりはありませんので、弊社でGDPRに関する見解を作成し、それを日本パープルさんに確認して頂きました。すると、かなり適切な回答を頂いたんです。弊社の見解とのすり合わせと、さらにプラスアルファでアドバイスも頂いたので、非常に満足しています。
定例会が運用・進行にあたっての良いリマインドに
池野様:
弊社と日本パープルさんで認証に関する定例会を開いて頂けるだけでもありがたいのですが、話し合う議題に関してもフォロー頂けているので助かっています。仮に進んでいないタスクであっても、それを見越して動いて頂けるため、我々の対応が遅れることなく進められています。
「業者」というよりは「パートナー」
竹岡様:
情報セキュリティに関しては、我々は、丸投げをするつもりはない中で、自分たちだけで考えて運用を回すことができれば一番いいんですが、ある程度のノウハウはありつつも、「時代に準じた対応をしなければならない」という課題については、自分たちだけで解決できる事でもない。
より十分な情報セキュリティを運用する上で、外部の視点、専門的な支援という意味で十分な支援を頂いていると感じている。 情報セキュリティに関する運用を一緒に行っていきたいと考えていて、業者というよりは、パートナーという意味で今後もやっていきたいと思っています。
機微情報を扱っている企業同士、共有できる関係
石橋様:
弊社としましては、私どもと同じようにたくさんの個人情報を扱っている日本パープルさんが、そのノウハウを共有して頂けることに感謝しています。一般的なコンサルティング会社のように「机上の空論」や「べき論」を言うのではない、実際の試行錯誤を経た上でのフィードバックがもらえるので、有り難く感じています。そこは「パートナー」として、大量の機微情報を扱っている企業同士、共有できる関係を続けられたらと思います。