こんにちは！ココチエ採用人事の中嶋です🙋‍♀️

既にお知らせだけさせていただいてますが...

先日、弊社の自社プロダクト『WEB招待状ヨブナラ』において、情報セキュリティマネジメントシステム（ISMS）の国際規格である「ISO/IEC 27001:2022」の認証を取得しました👏！！

この記事では、ISO27001認証を取得するまでの道のりについて発信していきたいと思ってます。

ココチエ、そしてヨブナラが取引先に信頼性を証明するため、どのように組織力を高めたのか？

知見ゼロの状態から国際基準を達成した裏側を公開します！

『なぜ今、ISO27001の認証が必要だったのか』

現在、『WEB招待状ヨブナラ』はおかげさまで多くの方にご支持いただき、利用ユーザー様が急増しています。

特に大手企業様の利用が増え、当サービスに預けられる機密情報の管理についての重要性も高まって参りました。

そのような状況を踏まえ、ユーザー様からの情報セキュリティに対する要求に応えるべく...

そして『ヨブナラ』を業界で最も安心して使えるサービスへと進化させるべく、ISO27001の認証取得を目指す運びとなりました。

『ISMSプロジェクトの立ち上げ＆高速ロードマップ！！』

2025年3月頃、代表より『ヨブナラ事業の信頼性向上』という明確なミッションのもと、ISO27001認証取得プロジェクトの概要が伝えられました...。

そのときは「ISMS…？ISO…？」と、正直、単語の意味もわかっていませんでした。

そんな中、「普段から社内規程の作成や部門横断の調整役を担っているなら、全体最適の視点を持っているはずだ」と、私がISMS管理者としてこの大プロジェクトを先導することに。

「やってみたい」という意欲に、大きなチャンスをくれるのがココチエらしさです☺

そうして、今年の春頃から始まった本プロジェクト。

もちろんゴールは「ISO27001の認証登録を完了すること」なのですが、もう一つ「年内取得！」という目標がありました。

通常、ISMS計画策定から認証取得までは１年程度の期間を要するケースが一般的。

しかし、高まるユーザー様からの期待に一刻も早く応えるため、「年内取得」というスピーディな達成を目標としました。

達成に向けて、まず行ったのが必要な資源の洗い出しです。

・ヒト：ISMS事務局を立ち上げ、各事業部からキーパーソンをアサイン

・モノ、カネ：外部のコンサルタント活用・物理的セキュリティ向上のためのキャビネット増床など

経営層と密に連携しながら必要なリソース、予算を確保しました。

ロードマップ

・4~5月：計画　各種文書類、規程の作成。情報セキュリティ基本方針の見直し等

・6~7月：実行・運用・監査　策定した規程の社内周知、社員教育、ルール運用。

・7月後半：内部監査とマネジメントレビュー

・8月：第一段階審査

・9月：第二段階審査

・9月25日：認証登録完了

通常は１年程度かけて行う工程を、ほぼ知見のない状態にも関わらず

半年で完遂...！

“目標達成への強い気持ち” から、このスピード感溢れる取り組みが実現しました。

これもココチエマインドの成せる技です😎（笑）

『いざ実践！社内のセキュリティ意識引き上げ』

取得までの計画ができたら、いざ実践。

最初の２か月程は外部コンサルタントの力を借りながら、必要書類やセキュリティ規程を黙々と作っていきました。

もちろん知識のない状態で、調べながら進めるため大変な作業ではありましたが、普段から社内規程を作成していることもあり、比較的スムーズに進めることができました。

そして苦戦したのはこのあとの『社内運用』でした。

多くの場合、社員にとって新しいルールは『面倒な追加作業』として映りがち。

セキュリティ研修の開催や社内チャットでのこまめな呼びかけを行っていましたが、なかなかルールが定着せず...。プロジェクトにおける最大の課題となりました。

ルールを定着させるため、「なぜ必要なのか」という背景を粘り強く発信し続けました。

同時に、クリアデスク（情報漏洩や情報紛失の予防のため、離席・退社時にデスクトップ上を整理整頓された状態にしておく）状況などを管理者側がこまめにチェックし、「全社で情報を守っていく」という緊張感と当事者意識を持ってもらいました。

最終的には全社でセキュリティを自分事として捉えていただけるようになり、組織全体で高いセキュリティ意識を醸成することができました！

まずは『内部監査』を実施！

この段階では、これまで構築・運用してきたISMSが国際規格に適合しているのかというチェックを客観的にしていきます。

まずは外部審査を受ける前の健康診断として、社内での監査を行いました！

監査のポイントとしては...

• 策定したルール通りに現場が動いているか
• ルール自体に漏れや矛盾がないか

上記を、社内で選任した内部監査員がチェックしていきます。

私はISMS管理者なので内部監査員（取締役の小林さん）から細かめに監査を受けましたが思った以上に神経を使い、終わったあとはすごく安堵感を覚えました。（笑）

内部監査では、「ルールの周知不足」が発見されたり、「インシデント時の報告フローの見直しが必要」等、不適合とまではいかないまでも、改善の余地があるといった課題が発見されました。

これらは外部審査前に迅速に是正し、ISMSの精度をさらに向上させました。

いよいよ『外部審査』へ

内部監査が終わり、その内容をトップマネジメントに報告する「マネジメントレビュー」が終わるとついに、認証機関による外部審査です！

8月：第一段階審査

最初に、私たちが構築したISMSのすべての文書と記録が、ISO 27001の要求事項に適合しているか、という書類上の適合性のチェックを受けました。

この審査は、1日かけてリモートで行われ当日中に審査員の方からフィードバックをいただくことができました。書類上の小さな不備が発見されたものの、全体的にはよく作り込まれているとお褒めいただき、私たちのISMSの設計自体が規格に適合しているという確証を得ることができました。

9月：第二段階審査

第一段階審査を通過した後はいよいよ第二段階審査（本審査）の受審です...！

２名の審査員の方に来訪いただき、オフィス内の物理的なセキュリティチェックから、第一段階審査でチェックいただいた文書類と実際の運用に乖離がないか等、細かい部分を確認していただきました。

ISMS管理者だけでなく、トップマネジメント（社長）やヨブナラ事業部、開発部門へのヒアリング項目もかなり多く、現場で実際に使用しているマニュアルや手順書のチェックや、機密書類の保管方法等も審査の対象となりました。

不足はないと思えるくらいには準備していたつもりでしたが、やはり緊張感がありましたね...。

そして２日目の審査後、その場で審査所見をいただくことができました。

運用に関するいくつかの改善の機会はいただきましたが、概ねしっかりと運用

できており、第一段階審査で出た不備の修正も完了できていると評価いただき、

認証登録の推薦を得ることができました👏

『無事にISO27001認証登録完了！新たなスタートライン✨』

今回のISO 27001認証登録の完了は、ココチエの情報セキュリティ管理体制が国際的に認められた証であり、お客様やお取引先に対して、より信頼性の高いコミットメントを可能にしました。

しかし、ISO 27001の認証は、情報セキュリティを管理する「仕組み」が適切であることを証明するものであって、『WEB招待状ヨブナラ』というサービスそのものの安全性を保証するものではありません。

今回の認証登録は、私たちが情報セキュリティ意識をより一層高く持ち、継続的に取り組み続けるための新たなスタートラインであると捉えています！

私たちは、この仕組みを全社員で実践し続けることで、お客様に「安心」という最大の価値を提供し続けます。

【一緒に「安全」を創りませんか？】 

ISO27001の認証は、私たちが世界基準で「改善し続ける仕組み」を持っていることの証明です。

安全で安心なサービスを追求することは、終わりなき挑戦！

この成長意欲あふれる環境で、共にサービスの信頼性を高め、社会に貢献していく仲間をココチエは求めています！

この記事を読んで興味を持っていただけた方はぜひお気軽にご連絡くださいね！