エンタープライズ市場への挑戦と、若手が牽引したISMAP登録への道
株式会社オプロ(東証グロース上場)
管理部 アシスタントマネジャー(ISMAPプロジェクトリーダー/新規登録担当) 久保 怜至 様
管理部 リーダー(ISMAPプロジェクトリーダー/更新担当) 九鬼 嘉隆 様
帳票・文書業務のDX化を支援するクラウドサービス(データオプティマイズソリューション)を展開する株式会社オプロ。同社は、エンタープライズ領域・公共分野へのビジネス拡大を見据え、クラウドサービスのセキュリティ要件として事実上の必須条件となりつつあるISMAP(政府情報システムのためのセキュリティ評価制度)への登録を決断しました。
プロジェクトを推進したのは、管理部の久保様と、半年後にメイン担当を引き継いだ九鬼様の若手二人。ISMSの運用経験はあれど、ISMAP新規取得という未知の挑戦に、どう向き合い、どう乗り越えてきたのか。登録実現に至る背景と、取り組みを通じた社内の変化について伺いました。
エンタープライズ戦略が生んだ、ISMAP登録への決断
ーISMAPへの参画を目指すことになった背景や経緯を教えてください。
久保様
当時、会社の事業戦略としてエンタープライズ領域——大規模顧客——をターゲットに注力していく方針があり、その中で公共分野も重要なターゲットとして位置づけられていました。官公庁をはじめとする政府系機関との取引を進めていく中で、クラウドサービスの利用要件としてISMAPが事実上の必須条件になっている場面が増えてきました。
実際の商談の場でも、「ISMAPを取ることを確約してもらわないと話が進められない」と言われるケースがあり、エンタープライズ領域でビジネスを継続的に拡大していくためには登録が不可欠だという判断に至りました。
ー久保様はどのような経緯でこのプロジェクトに関わるようになったのですか?
久保様
もともと私は社内でISMSやプライバシーマークの運用の主担当をしていました。ISMAPについても、全く新しいプロジェクトとして立ち上げるというよりは、既存のセキュリティマネジメントを新たなステージに引き上げていくという流れの中で、自然と担当することになりました。
ー九鬼様はどのようにこのプロジェクトに参加されたのですか?
九鬼様
私は久保から引き継ぐ形でメイン担当になりました。採用面接の時点では「メインとなる営業事務のほかに、経営回りの業務や管理業務にも是非関与してほしい」という話は聞いていましたが、まさかISMAPプロジェクトの担当になるとは思っていませんでした。
最初に役割を聞いた時は、「難しそう」「ルールが多そう」「守れていないと重大な問題が起きそう」という印象が重なって、責任の重さを感じたのが正直なところでした。ただ、新しいことをやること自体への驚きはなかったので、難しいとは思いながらも取り組む気持ちは持てました。
若手二人が担った、体制作りとプロジェクト推進
ープロジェクトはどのような体制で��進められましたか?
久保様
もともと社内に情報保護委員会という組織があり、私や取締役の安川、技術責任者の酒井なども入っていました。その委員会で情報収集を重ね、徐々にプロジェクトとして立ち上げていった形です。
制度対応の実務では、私がプロジェクトリーダーとして監査対応や制度対応の全体調整、ガバナンス・マネジメント系の管理策の取りまとめを担い、技術的な管理策については酒井が中心となって開発部門のメンバーを巻き込みながら対応しました。
ーISMSの対応経験がある中で、ISMAPはどのように感じましたか?
久保様
ガバナンス基準やマネジメント基準など、ISMSと似た部分は確かにありました。ただISMAPは監査が厳しく、証跡も細かく求められます。形式的な対応では通用しないため、実態に即した意味のある仕組みにしていかなければという意識が強くなりました。
また、ISMSはすでに構築済みの仕組みを運用するフェーズでしたが、ISMAPは新規登録。予算面でも社内リソースの面でも、さまざまな人を巻き込みながら進める必要があり、プロジェクトリーダーとしての経験としては、規模が全く異なるものでした。
ー引き継ぎ後、九鬼様はどのような苦労がありましたか?
九鬼様
まずISMSとプライバシーマークを久保さんから引き継ぐところから始まったので、セキュリティという世界への理解は段階的に深まっていきました。ISMAPの更新監査からメイン担当となってからは、初歩的なキャッチアップと並行して、制度のアップデートや新しい管理策への対応も求められ、常に最新の状態を維持しなければならないプレッシャーを感じていました。
ISMSやプライバシーマークと比べると、ISMAPは制度側から細かい改定が入ることもあり、継続的に制度を追い続けなければならない難しさがあります。加えて、通常業務と並行してISMAP対応を進める時間的なタイトさも大変でした。エンジニアや営業など他部署の方々にも、日々の業務の合間にミーティングへの参加や資料収集をお願いする場面が多く、調整の難しさも感じていました。
費用対効果の不透明感と、それでも前に進んだ理由
ー初回登録に向けて、どのような課題や不安がありましたか?
久保様
最大の課題は、投資に対するコスト回収の見通しが立てにくかった点です。当時は、官公庁や政府系の案件でISMAPがどれだけ必須要件になっていくのかがまだ見え切っていない状況でした。どれくらいビジネス機会が広がるのかが明確でない中で、費用対効果の判断が非常に難しかったです。
特にISMAP監査にかかるコストが想定以上に高く、しかも初回だけでなく継続的に受け続けなければならない。長期的な負担としてどう受け止めるかは社内でも議論になりました。加えて、基準を満たすために既存システムや運用をどこまで変更する必要があるかも見えておらず、制度への理解自体も全然できていない状態でした。
ーそれでも最終的に「登録しよう」という決断ができた背景は何だったのでしょうか?
久保様
大口の官公庁系の商談で、「ISMAPを取ることを確約してもらわないと先に進めない」という状況に実際に直面したことが、一番の決め手でした。やるかやらないかではなく、やらなければビジネスが前に進まない——その現実が背中を押しました。
単なる取得支援を超えた、伴走のかたち
ー弊社の支援を通じて、印象に残っていることはありますか?
久保様
ISMAPの新規登録そのものをゴールにするのではなく、継続的に登録を維持していくための社内基盤づくりまで見据えて支援していただけた点が大きかったです。
最初に担当者向けにISMAP制度の勉強会を開いていただいたことで、制度に対する理解が格段に深まりました。単なる作業として書類を作るのではなく、「なぜこの対応が必要な�のか」を理解しながら進められるようになったことは、社内にとって非常に大きな変化でした。
また、初回監査でトラブルが発生した際も迅速に対応いただきましたし、監査対応の効率化や負荷を抑えるための仕組みづくりも支援していただいて、本当に助かりました。
九鬼様
私が特にありがたかったのは、対応スピードと、タスクの分解が分かりやすかったことです。Microsoft Teamsでの質問にもリアクション含めてすぐに返していただけて、安心感がありました。
制度への理解がまだ浅い中でも、「これだけ、この日までにやればいい」というタスクが明確に示されていたので、動き出しがスムーズでした。何をどこまで任せていいか、何を自分たちがやるべきかが分かりやすかったのは非常に助かりました。
あと、オンラインミーティングが主体の中でも、実際にリアルでお会いする機会があって、グッと距離が縮まった感覚があったのも個人的には印象的でした。
「全社のプロジェクト」として根付いて言った意識変化
ーISMAP登録の取り組みを通じて、社内にどのような変化がありましたか?
久保様
意識が一気に大きく変わったというよりは、徐々に浸透していったという感覚です。�制度対応では、情報セキュリティ委員会だけで完結するのではなく、開発部門・管理部門・サポート部門など複数の部署を巻き込んで進める必要がありました。
プロジェクトの進捗状況は全社ミーティングで定期的に共有するようにしていて、どれくらいのコストやリソースを割いているか、どんな進捗状況かを全員に伝えました。その結果、「ISMAPは単なる認証取得ではなく、会社全体で取り組むテーマだ」という認識が社内に広がっていったと感じています。
日々の業務の中でも、「この対応はISMAP基準に照らして問題ないか」「セキュリティやコンプライアンスの観点で問題ないか」という視点が各部門で持てるようになってきたことは、非常に良い変化だと思っています。
ー九鬼様から見て、社内の雰囲気はいかがでしたか?
九鬼様
私がプロジェクトに参加したのは、浸透が広がった後のタイミングだったと思います。振り返ると、証跡の収集をお願いする時に「ISMAPの件でこれが必要なのですが」と伝えると、皆さん優先的に対応してくださいました。ISMAPに関することならちゃんとやろう、という認識が社内に根づいていたのだなと、今になって改めて感じます。協力体制があるというのは、本当にやりやすかったです。
公共分野への本格参入と、次の成長フェーズへ
ー今後、ISMAP登録をどのように活かしていくお考えですか?
久保様、九鬼様
ISMAP登録によって、公共分野やそれに準ずる領域に対して安心して選んでいただける基盤が整いました。今後は中央省庁をはじめとした公共分野の案件獲得を視野に入れつつ、そこから外郭団体や関連機関へと利用が広がっていくような形を目指していきたいと考えています。
もう一つ大きいのは、社内のセキュリティ体制そのものが確実に強化されたという点です。セキュリティやガバナンスが形骸化するのではなく、実態に即した意味のある仕組みとして続いていくことが大切だと感じています。今回の取り組みをきっかけに、ビジネス面でも社内体制の面でも、次の成長フェーズに進むための基盤ができたと考えています。
―本日は貴重なお話をありがとうございました。若手のお二人がプロジェクトの中心となって推進されてきた軌跡と、セキュリティへの真摯な姿勢が伝わりました。
久保様・九鬼様
ありがとうございました。
インタビュー時期:
2026年3月10日
文中の会社名・役職等は取材当時のものです。
写真左から、得田(X-Regulation)、九鬼様(オプロ)、久保様(オプロ)
会社名称:株式会社オプロ