DHLサプライチェーン株式会社様は、グローバルな視点、各市場に関するノウハウ、プロセスの統一化をもとに、サプライチェーンソリューションを世界中のリーディングカンパニーに提供しています。DHLはコントラクトロジスティクスに関する数々の実績、そして各業界に関する幅広い知識をもとに、ソリューション設計、保管、納品、輸送といった各種サービスを提供し、何よりお客様の業務上のニーズを中心に考えている会社です。
ISO27001の取得のきっかけは何ですか?
以前よりワールドワイドのグループ内で情報セキュリティの取り組みについては、ISMSに準拠の方針がありました。IT部門ではISMSの推進の為にいろいろと試みはしていましたが、IT部門独自の取り組みの感があり、全社的な展開へはもう一歩、踏み込めないジレンマがありました。しかし、2010年に機が熟し、経営陣からIT部門を中核として全社的な取り組みの方針が出ました。この時期に社長から全社員へいわゆるトップマネジメントで、明確にISO27001の認証を受けると言うメッセージが発せられました。これを発端に先ずは本社サイドで取得に向けての構築が開始されました。IT部門としてはトップマネジメントという強力な後ろ盾ができたので、その後は他部門へも展開しやすくなりました。
(インタビュー)
ITグループ 高橋 和義 様、
稲野 岳 様(左より)
不安な点や苦労した点はありますか?それをどの様に克服をされましたか?
DHLのアジアパシフィック部門のヘッドオフィスがシンガポールにあります。以前に、そちらのメンバーからはISMSは相当大変とのコメントがあり、正直な所、日本での展開に多少の不安はありました。DHLにはグルーバルなセキュリティポリシーがあります。これを見ながら、ISO27001との整合性を保つことは課題でしたが、一つ一つ潰し込んでいき最終的にはうまくいったと思います。
従業者への教育に関しては、対象者約150名に対して1時間半の集合教育を、IT部門とリスクマネジメント部門の担当者、それからコンサルタントの清水さんの3名で行いました。 IT部門からは業務の中で特に気をつけるべきセキュリティ事項、リスクマネジメントからは主に物理的なセキュリティについて、清水さんからは全般的なISMSの内容を最新のセキュリティ事例を交えながら説明して頂きました。外部のコンサルタントを含めた立場の違う3者が、それぞれの観点から情報セキュリティの話をしたことで説得力のある教育ができたと思います。
コンサルティング会社を利用した理由は何ですか?
例えば、人と時間をかければ認証取得できたかもしれませんね。しかし、先ずは費用対効果を考えました。もし私たちが自力で取得を目指すとなると、ISMSについて、一から時間をかけて独学で勉強し、規程類や帳票などを自分たちで探し出す必要があります。更にそれが本来、ISMSの要求事項にマッチングしているかの判断を初めて取り組む私たち自身でする事は容易なことではありません。これを考えると、経験豊富なコンサルタントに、アドバイスを受けながら構築する事が短期間で効率的に、結果として費用もかからないと判断しました。
バルクを選んでいただいた理由は何ですか?
今だからお話しできますが(笑)、コンサルティング会社は、数社から見積もりを取り、面談をしました。費用面では、決してバルクさんが一番安かったという事ではありませんでした。しかし、私たちがバルクさんに注目したのは、構築メンバーで、時間と負担がかかる社内の情報資産の洗出しの後でのポイントでもあるリスクアセスメントのフェーズで、「VFOLIO」というソフトを提供してくれて短期間で負荷なくリスクアセスメントができる事が私たちIT部門での最大の評価でした。結果として、これを活用した事でスケジュール通り取得できたと思っています。
バルクのコンサルタントはどうでしたか?
なにぶん、当社としても初めての取り組みでしたので、構築の各フェーズごとに、コンサルタントの方が、何故それが必要かと最初に事例やポイントを説明してくれましたので、理解が深まり、満足しています。 DHLグループの中でも、日本のDHLサプライチェーンがISO27001を取得したことはかなり話題になっています。全世界のDHLグループ企業からバルクさんに引き合いが殺到して、清水さんが「VFOLIO」と共に世界中を飛び回るなんてこともあるかもしれませんよ(笑)。
審査はいかがでしたか?
一次審査が2日間、二次審査が2日間ありました。特に問題もありませんでした。審査員の方も、今後の課題や気づかれた点に関してコメントしてくれましたので今後の観察事項にしていきたいと思います。
今後の抱負は有りますか?
今は取得したばかりですが、これからが本番です。1年間のスケジュールを立てています。今後はその通りに実行していくことによりPDCAサイクルをきちんと回して、より高いレベルの情報セキュリティ体制がとれるようにしていきたいと思います。それが私たちIT部門の役目であると思っています。
どうもありがとうございました。