カルミアの咲く頃に
- 山崎行政書士事務所
- 1月29日
- 読了時間: 7分
SES(システムエンジニアリングサービス)企業におけるISMS(ISO27001)およびプライバシーマーク(Pマーク)取得をテーマにしたフィクション小説です。企業名や登場人物はすべて架空のものです。あくまで創作としてお楽しみください。
プロローグ
都内のとあるビルの一角にオフィスを構えるSES企業「カルミアソリューションズ」。木目調の扉をくぐると、フリーアドレスの広々としたスペースが広がり、デスクにはエンジニアが所狭しとPCを並べている。一見すると活気があり自由な社風のように見えるが、最近社内ではざわめきが絶えなかった。
「ISMSとPマークを取ることになりました」
この知らせが流れたのは、四月の半ば。SES業界で顧客の信頼を得るには、情報セキュリティと個人情報の保護が欠かせない。大手クライアントから「認証の有無」を問われる機会も増え、カルミアソリューションズも変革を迫られている。どこか桜の舞う季節が過ぎたばかりの、揺れる思いを抱えた社員たち。彼らの想いが交錯する中、物語は静かに幕を上げる。
第一章 始動するプロジェクト
主人公・白石結羽(しらいし ゆう)は、入社三年目のSESエンジニア。実は最近、配属プロジェクトが終わり、社内待機の状態が続いていた。そんなタイミングで、会社からISMS(ISO27001)とプライバシーマーク(Pマーク)取得プロジェクトのメンバーとして声がかかったのだ。
「君の企画書、とてもよかったよ。セキュリティの知識もあるし、プロジェクトで中心的に動いてほしい」
声をかけてきたのは、総務部の都築千秋(つづき ちあき)。いつも柔らかな笑顔を湛え、社員たちをしっかり支えてくれる存在だ。だが、情報セキュリティや個人情報保護に関してはかなり厳格な視点を持ち、「普段の雰囲気とのギャップがすごい」と、社内では密かに恐れられている人物でもある。
白石は意気込んで答えた。
「はい。SESの仕事って、お客様先での開発や運用がメインだから、いまいち自社の情報管理って意識が薄いですよね。僕も全力で取り組みたいです」
揺れる瞳は、希望と不安を映していた。
第二章 揺れる心と責任
会社に戻り、白石は早速プロジェクトチームに合流した。メンバーは総務・人事・営業・開発からバラバラに集められた面々。中には、白石がかつて想いを寄せていた女性――人事部の**井口遥(いぐち はるか)**の姿があった。少し前まで、二人は同じプロジェクト先で働き、忙しさを共有していた仲だ。しかしある出来事をきっかけに距離が開き、まともに話すのは久しぶりだった。
「……これも仕事だし、私も頑張るから」
彼女はそう言って、まっすぐ白石を見た。その瞳にわずかな覚悟の色を感じ、白石は心が揺れ動く。だが、このプロジェクトをやり遂げるには、過去の感情に縛られているわけにもいかない。静かに決意しながら、白石はプロジェクトの一員として動き出す。
第三章 棚卸しとリスクアセスメント
まずチームで取り掛かったのは、情報資産の棚卸しだった。SES企業であるカルミアソリューションズは、顧客先のシステム情報や個人情報を扱うケースも多い。もちろん自社内にも従業員の人事データ、見積書や契約書など、あらゆる情報が散在している。
情報資産の特定
お客様先で利用するプログラムソースやログデータ
社内サーバで保管されている契約書や顧客リスト
従業員個人情報(経歴書、給与データ、評価情報など)
リスクアセスメント
ISO27001附属書Aを参照しながら、脆弱性や脅威を洗い出し、管理策を検討
Pマーク取得に向けては、JIS Q 15001に基づく個人情報管理体制を構築するための要件を整理
営業部のメンバーは「忙しいのに面倒だ」と文句をこぼすし、開発部のエンジニアは「開発環境のセキュリティルールが増えたら効率が落ちる」と不満を抱く。そんな中、白石は地道にヒアリングを続けながら、文書化や整理を粘り強く進めていった。
井口もまた、自分の役割を全うしている。人事部として、社内外の個人情報の取り扱いフローを見える化し、教育研修の計画を立てていく。白石は、彼女の懸命に働く横顔を見て、ほんの少し切ない気持ちになる。距離はある。それでも、同じゴールを目指す仲間――そう思えるだけで、心は少しだけ穏やかになっていく。
第四章 試される覚悟
プロジェクトが進むにつれ、思わぬ壁が立ちはだかった。それは、外部への派遣と社内勤務が混在するSES特有の業務形態。カルミアソリューションズの社員の多くは、常に顧客先へ常駐しているため、社内ルールの周知徹底が難しいのだ。さらに、派遣先によってセキュリティルールが違う場合も多く、整合性をとるのは至難の業だった。
「うちのプロジェクト先では、USBメモリの利用が禁止されているんだけど、自社ではどうなの?」「社内の運用では一部許可されてますけど、暗号化が必須です。プロジェクト先にも報告して方針合わせしないと……」
常駐エンジニアからの問い合わせが相次ぐ。白石は昼夜問わず連絡に対応し、少しずつ状況を取りまとめていく。その姿を見かねた井口が声をかけた。
「休まないと身体こわすよ。私が代わりに連絡するから、一度休憩を取って」「ありがとう……。助かる」
短い会話だったが、白石の胸には温かいものが広がる。彼女の優しさは変わらない。その優しさが、時に遠く感じられた過去もあったけれど、今はその距離感すら愛おしい。
第五章 内部監査と衝突
ある程度体制が整ったところで、内部監査が実施された。ISMSとPマークでは、外部審査を受ける前に社内でチェックを行い、不備があれば是正することが重要だ。総務部の都築がリーダーとなり、監査チームを編成する。
監査の結果、様々な小さな問題が浮上したが、最大の課題はエンジニアの意識不足だった。SESでは自社の管理が少し緩くても、派遣先の厳格なセキュリティルールに従えばいい――という誤解もあり、手順書の未更新や個人情報利用同意書の保管漏れなどが散見された。
都築は眉をひそめる。
「このままじゃ、外部審査に通るのは難しいわ。何か根本的な対策が必要ね」
改めて、エンジニア全員を対象としたセキュリティ研修を行うことが決まった。講師を任された白石は、慎重に資料を作り込み、言葉を選びながら説明する。
「……SESだからこそ、私たちはルールの壁を越えて、統一されたセキュリティ意識を持つ必要があります。お客様先で扱う情報も、私たちの手の中で保護する責任があるんです」
言葉に力がこもる。その声は、一度は離れてしまった想い人にも届いているだろうか――白石はふとそんなことを考えたが、口にはしなかった。
第六章 外部審査と決断
準備は万全。いよいよ、ISMS認証機関とPマーク審査機関による外部審査が始まる。二つの審査が同時並行で進むこともあり、社内はまるで祭りのような緊張感に包まれた。
書類審査:情報セキュリティポリシー、個人情報保護方針(プライバシーポリシー)、教育記録、リスクアセスメント結果、是正措置報告など
実地審査:運用手順が社内規程通りになっているか、エンジニアへのヒアリング、記録の確認
審査員からは厳しい質問も飛び交うが、白石や都築、そして井口も粘り強く答えていく。数日にわたる審査を終え、審査員が一言告げた。
「総じて問題ありません。素晴らしい取り組みです」
その言葉が、疲弊しきったプロジェクトチームにとっては救いだった。そして数週間後、正式にISMS(ISO27001)の認証取得と、プライバシーマークの付与が決定したとの通知が届いた。
第七章 咲き誇るカルミア
通知書を手にした白石は、真っ先に井口のところへ向かった。彼女は人事部のデスクに座り、書類を整理していたところだった。
「無事に取れたね、二つとも」「うん……本当にお疲れさま。白石くんがいなかったら、ここまでこぎつけられなかったかも」
井口は少しだけ微笑む。その笑顔は、かつての距離感をもう少しだけ縮めているようだった。
「これからは、維持審査や更新審査も続くし、SESとして苦労は絶えないけど……私たちならやっていけるって、そう思えるの」「そうだね。僕たちが変われば、会社も変わると思うから」
彼女の言葉にうなずきながら、白石はふと、心の奥底に芽生えた感情を抱きしめる。かつては踏み出せなかった一歩。いまなら……。ふと、社内の窓から外を見ると、春から夏へと移ろう風景の中、カルミアの花が咲き始めていた。優しく柔らかなピンク色。その花言葉のひとつは「希望」。二人には、まだ見ぬ未来が待っている。
こうして、カルミアソリューションズは新たな出発点に立った。ISMSとPマークを得たことは、単なる証明書以上の意味を持つ。SES企業としての責任を再確認し、同時に人と人の絆を結び直す、そんな物語がここから続いていく。――カルミアの花が咲く頃に、きっとまた新しい風が吹くだろう。
コメント