弊社は総勢6名のフルリモートワークの会社です。
このISO27001を取得しようという話を代表からもらったのが2024年4月頃。資格を取得した2025年3月までの1年間にメンバーの入れ替わりもあり、1名(私ですが)は時折海外から勤務する体制でした。
このユニークな環境がISO27001取得にどう影響したのか、そして私たちがこの取り組みを通じて真に目指したものは何だったのか、「リモートワークだからこそできたこと」と「リモートワークだからこそ難しかったこと」という2つの側面から深く掘り下げてご紹介します。
目次
1.ISO27001取得の本当の目的
今回、私たちがISO27001の認証取得を目指したのは、単に認証マークを得ることが主目的ではありませんでした。
最も重視したのは、全メンバーの情報セキュリティに対する意識を底上げし、そのレベルを均一化することでした。
リモートワークという働き方は、自由度が高い反面、情報セキュリティの管理が個人の意識に委ねられがちです。
特にmedeluでは、メンバーが全員中途入社のためバックグラウンドも異なり、そしてそれぞれが自宅という異なる環境で業務を行うためセキュリティに対する認識の差が課題となる可能性がありました。
そこで、ISO27001という国際的な基準に則った情報セキュリティマネジメントシステムを導入することで、メンバー一人ひとりが「自分ごと」としてセキュリティを捉え、日々の業務に落とし込むことを目指したのです。認証取得はそのための「手段」であり、プロセスそのものが私たちの狙いでした。
2.リモートワークだからこそできたこと
リモートワーク環境は、この意識改革と同時に、ISO27001取得において意外な利点をもたらしました。
まず、物理的セキュリティ対策をシンプルにできました。
従来当たり前であるオフィスという特定の場所がなく、またオフィスにお客様やベンダーさん等が出入りするという環境がないため、特定のオフィスにおける入退室管理や監視カメラといった複雑な物理的セキュリティ要件を考える必要がないということでもありました。
ただ、各人が適正に情報資産(弊社の場合は会社から貸与されているノートパソコンや社用携帯がそれにあたります)を管理していることが前提になり、「適正」とは何かという事について認識を合わせる必要はあります。
また、元々機密書類などは外部倉庫で保管をしていたこと、業務で使用するドキュメント関係は全てクラウド管理をしていたことで、物理的に守らなければならない書類などが本社含め各人の自宅にはないという前提があったので簡素化できたのです。
そして物理的セキュリティの面でもメリットをもたらしたドキュメントのクラウド管理は、近年ISO27001で求められる環境配慮の点でも自然とペーパーレスを実現していたので新たな対応が不要となりました。
3.リモートワークだからこそ難しかったこと
一方で、リモートワークならではの課題もありました。
特にメンバーの環境に依存するセキュリティ対策の難しさです。
各メンバーの自宅や滞在先が業務環境となるため、ネットワーク環境やデバイスの管理など、個々の環境に依存するセキュリティ対策を会社として完全にコントロールすることが難しい側面がありました。
そのためメンバーへの教育や意識づけに重点を置きましたが、これについては一朝一夕で終わることではないため今後もメンバー全員で継続的に情報セキュリティについての学習を行い、情報セキュリティリスクの感度を高めるために継続的に取り組んでいます。
また、緊急時の対応と物理的な連携の難しさも課題でした。
万一セキュリティインシデントが発生した場合、対面での状況確認や物理的な連携は出来ず、特にインターネットが使えなくなった場合には通常の連絡手段が遮断されるため通常は使用していない電話での連絡手段も運用として定めました。
リモートワークはインターネットに依存している働き方でもあるため、緊急時の対応によらずネットが使えなくなった場合のリスクというのは今回の取得に向けてISMS(情報セキュリティマネジメントシステム)を構築する上で意識をしました。
4.認証取得後の継続的な課題
認証取得を終えひと段落したというのが本音ですが、認証取得はスタートライン。
認証取得時の審査員の方にもコメントをいただいたのですが、認証取得にメインで携わっていたメンバーとそうでないメンバーとの間に生じた情報や認識の差をいかに埋めるか、という事が今後の課題になっています。
一部のメンバーが集中して認証取得に向けて取り組んだことで、知識や理解度に偏りが出たのは否めません。
今後は、このギャップを埋めるための継続的な情報共有と認識合わせが不可欠だと感じています。
定期的な勉強会や、セキュリティに関するカジュアルな情報共有の場を設けることで、全メンバーが同じレベルでセキュリティ意識を持てるように努めていますがまだまだなのが現状です。
もう一つの重要な課題は、策定したルールや手順が、単なる「紙の上」の存在で終わらず、日々の業務にちゃんと落とし込まれ、運用に定着できるかという点です。
ISO27001は一度取得すれば終わりではなく、常に変化する脅威に対応し、継続的に改善していくことが求められます。
私たちは、これを「運用」として捉え、メンバー全員が当たり前にセキュリティを意識し行動できるような文化を醸成していくことに力を入れていくため、ISMS委員会を開催しISMSをどう「当たり前」にしていくのか日々考えています。
5.まとめ
情報セキュリティは、単なるルールや仕組みの問題ではなく、メンバー一人ひとりの意識と行動が重要です。
特に私たちはマーケティングコンサルティング会社として、お客様の新商品情報や、個人を特定できない形に加工した購買データなど、機密性の高い情報を日々取り扱っています。
これらの情報は、お客様の事業の未来を左右する重要な資産です。まだ道半ばな部分もありますが、今回の経験を糧にメンバー一同情報セキュリティの意識を高く持ち、安心してご相談いただける環境を整えてまいります。
このブログが、リモートワーク環境で情報セキュリティマネジメントの強化を目指す方々の参考情報となれば幸いです。
弊社medeluでは、ダイレクトマーケティングのノウハウから、事業ごとに最適化した勝ち筋をご提供できるようサポートして参ります。お困りの点などございましたら、どうぞお気軽にご相談下さい。