top of page
検索

『山崎行政書士事務所のリアル奮闘記(コメディ編)8 ~ISMS申請とセキュリティ大騒動!?~』

  • 山崎行政書士事務所
  • 1月19日
  • 読了時間: 7分




プロローグ:また新たな“よくわからない”申請相談

 静岡市清水区、草薙の坂の下にある山崎行政書士事務所。 相続や離婚協議書など、さまざまな手続きでバタバタしてきた所長の**山崎哲央(やまざき・てつお)**とスタッフたちは、今日も通常業務をこなしている。 しかし、新たな相談が入ると聞き、**斎藤夏海(さいとう・なつみ)**は「今度は何の申請でしょう?」と首をかしげる。 森下舞(もりした・まい)は「ISMS(情報セキュリティマネジメントシステム)とか言ってましたね。あんまり馴染みがないけど、ISO認証みたいなものかな?」と想像する。 丸山修(まるやま・おさむ)はエクセルから顔を上げ、「ISMS…なんか書類が多そうな予感しかしない」と苦笑い。

 さて、いったいどんなドタバタが待っているのか――?

第一章:依頼者・木村ITサービスの社長、緊急来訪

■ 小さなIT企業だけど、ISMSが要る?

 朝一番にやってきたのは、地元で小さなIT企業を営む**木村晶(きむら・あきら)**という若い社長。 「実はうち、取引先から“情報セキュリティ体制を整備して、ISMSの認証を取ってほしい”って言われまして…。全然分からなくて困ってるんです」 斎藤は「ISMS…ISO27001のことですよね。かなりしっかりしたセキュリティ管理を文書化するんですよね?」と調べながら返す。 木村社長は苦笑しつつ、「はい。うちは従業員10人程度の小さい会社なのに、取引先の大企業が“ISMS取ってないと契約できない”って…。どうにか手助けしてもらえませんか?」

■ 所長・山崎の見解

 山崎は「ISMSは専門コンサルが入るケースが多いですが、書類作成や社内ルール整備が必要なら、私たちでもある程度サポートできます。ただし、認証機関とのやり取りが大変ですよ」と calmly 説明。 森下は「まずは情報セキュリティポリシーリスクアセスメント表を作り、マニュアル化するんですよね。いや~結構細かそう…」とため息。 木村社長は「ですよねえ…。でも何が何やらサッパリで…。従業員も“SNSにおもしろ画像アップ”とか自由気ままなので、そこから直さなきゃかも…」と焦り顔。

第二章:まずは社内ルール化!? “SNS禁止”に従業員が反発

■ コメディ要素:従業員の自由奔放ぶり

 翌日、山崎事務所の提案で、木村社長が従業員を集めて社内規定を整備しようと試みる。 - 「USBメモリの無断持ち出し禁止」- 「社外へのメール送信時は暗号化」- 「SNS投稿は会社ルールに基づく」 などを盛り込んだドラフトを見せると、若い従業員たちが「えー、めんどくさ…」「SNS投稿が制限されるとかあり得ない!」と猛反発。 木村社長は「いや、これしないとISMS取れないし、取引先と契約できないんだよ!」と説得するも、ブーイングの嵐。

■ 山崎事務所の苦労

 森下が小声で「社内の理解が大事ですよね…。独断で変えると現場のモチベが下がるかも…」と心配。 斎藤は「確かにISMS認証は上から押し付けるだけじゃうまくいかない…でも時間がないし…」と困惑。 所長・山崎は「まぁ、コミュニケーション支援も必要ですね。たとえば、“これがないと会社潰れる可能性ある”とか、メリットを丁寧に説明するしか」と肩をすくめる。 丸山は「書類もだけど、社内研修もいるんですよね…こりゃ長期戦だ」と嘆き。

第三章:書類の山、リスクアセスメントに泣く

■ リスクアセスメント表とは?

 ISMSの要である“リスクアセスメント表”を作るため、木村社長とスタッフたちはリスクを洗い出す。 - 顧客情報が漏洩するリスク- サーバーのダウンリスク- パスワードの使い回しリスク …など盛りだくさん。 斎藤は「これ、項目が多すぎません? しかもそれぞれに発生可能性影響度対策を列挙するって…」と頭を抱える。 丸山がエクセルを操作しつつ、「うわー、100行を超えそうだな。マクロ組もうかな…」と呻き声。

■ さらに規定文書も大量

 ISMSには情報セキュリティポリシー手順書事故対応マニュアル教育計画などが必要。 森下は「アメ車の書類より多くないですか…?」と苦笑。斎藤は「ほんとですよ! しかも社長は“全部お任せ”ってスタンスで…」と恨めしそう。 山崎は「まあ、私たちが丸ごとやるわけにはいかない。最後は社内で運用するものだから、社長や従業員とも一緒に作らないと」と苦笑返し。

第四章:審査機関とのやり取りでバタバタ

■ プレ審査で指摘だらけ

 いざ、ISMS認証機関にプレ審査を申し込んだ木村社長。だが、担当者から「パスワードルールが曖昧」「ログ管理が不充分」「どこの部署が責任者か不明」など次々と指摘が飛ぶ。 木村社長は「うわ、こんな細かいのか…やってられない…」とゲンナリ。 斎藤は「まあ、予想はしてましたが…」と苦笑。森下は「まだまだですね…もう一度書類を修正しましょう…」とどんより。 丸山は苦労しながら修正案をエクセルとワードで作成、「夜なべコースだ…」と嘆く。

■ ハプニング:SNSで社内の文書バレ?

 さらに、従業員のひとりがSNSに「ISMS準備めんどくさすぎワロタ」と半分冗談で社内文書の一部をアップしたりして、情報漏えいしかける騒ぎも。 木村社長が激怒し、「お前ら分かってるのか、これこそセキュリティ違反だろ!」とカミナリ。 森下は(これぞ“リアル情報漏えい”…ネタすぎる)と額を押さえるが、山崎は苦笑いで「さっそく運用面の問題が出ましたね…。まあ、これを教訓にルール順守を徹底しましょう」と諭す。

第五章:ようやく本審査、しかしまだ…

■ 審査が長丁場

 書類を必死に整え、社内教育も実施し、ようやく本審査の日が来る。認証機関の審査員が会社に来て、書類や実務状況をチェックする。 斎藤と森下が付き添い、丸山は「この日は体調崩すわけにいかない…」と変に緊張。 審査員は「ふむ、リスクアセスメント表はよくできていますね。でもインシデント記録がまだ提出されていませんが…?」と淡々と指摘。 森下はあわてて「あ、はい、別フォルダに…」とファイルを探すが「な、ない…!?」と大パニック。 丸山が「いや、確かUSBメモリに入れて…どこだ?」と慌て、また紙詰まりならぬデータ詰まりの予感が漂う。

■ 山崎のフォロー

 そこへ所長・山崎が「予備データを印刷しておきましたよ。ここにあります」と神対応。 斎藤と森下は安堵。「所長、さすが…助かりました…」 審査員も「なるほど。ではこれで確認しますね」と事なきを得る。木村社長は心の中で(神…!)と尊敬の念を抱く。

第六章:結果発表、ISMS認証を得るまで

■ ドラマチックでも地味

 後日、認証機関から「幾つか改善点はあるものの、基本的に要件を満たしている」との連絡が入り、ISMS認証取得が見えてきた。 木村社長は「わーい!」と大喜びかと思いきや、「やっとスタートラインなんすね。運用維持が大変だと聞くし…」と複雑そう。 斎藤は「はい、毎年のサーベイランス審査もあるし、これで終わりじゃないですよ…」と苦笑い。 丸山は「書類の管理と定期的な更新、社内教育…まだまだ続くコースですね」とため息。でも、やり遂げた感はある。

■ 社員も少しセキュリティ意識UP

 SNSに勝手に社内文書を載せた社員も、今は「やばかったっす…すみません」と反省し、社内ルールを守るようになった様子。 森下は「うん、これを機にみんな少しずつ意識高まればいいですよね」と微笑。

第七章:事務所の終わりの風景

■ 斎藤と森下の後片付け

 事務所でミーティングを終え、パソコンを閉じる斎藤。「ISMSのサポートって、思った以上にコンサルっぽいですね。でも行政書士として書類作成や規定づくりをサポートするのは大事だなって思いました」 森下は「ほんとね。データ管理が厳密だし、地味で大変だけど、その分充実感があります」と笑う。

■ 丸山とプリンター

 丸山はプリンターを見つめ、「今回は紙詰まり事件、そこまで大きくならなくてよかった…」としみじみ。 山崎は「みんなお疲れさま。ISMSが会社を守る大切な仕組みだと分かってもらえたら、私たちの苦労も報われますね」といつもの穏やかな口調。

エピローグ:ISMSは続くよ、どこまでも

 こうして、山崎行政書士事務所の“ISMSコメディ”は一段落。 - 小さなIT企業が大企業の要請でISMSにチャレンジ- 社内ルール整備に従業員がぶーぶー言いながらも改善- 認証取得までの書類と審査に大奮闘

 最終的に認証を得ても、情報セキュリティの道のりはこれからが本番だ。でも、木村社長と従業員は一歩前進したし、山崎事務所もまた一つ経験値を積んだ。 (ISMSとセキュリティコメディここに完。山崎事務所の奮闘はまだまだ続く…)

Comments

bottom of page