Chatwork株式会社 様 – 顧客事例 –

文書の作成・管理も全てクラウド。LRMの柔軟なサポートで、クラウド活用の利便性を活かした情報セキュリティ対策が、苦労せずに構築できました

Chatwork株式会社では、自社サービス『チャットワーク』のサービス拡大・運用を行いながら、多くの時間を割くことができない中、ISMS/ISO27001認証の新規取得に臨みました。ITを徹底活用したワークスタイルで業績を伸ばしてきたことでも有名な同社が、どのような経緯で認証取得に至ったのか、また、どのようなセキュリティ対策を構築したのか、技術部マネージャー・須藤裕嗣氏に伺いました。

(Chatwork株式会社について)

クラウド型ビジネスチャットツール『チャットワーク』を主軸に事業を展開。
「経営の本質は社員満足にある」との考えから“社員第一主義”を貫き、会社に電話がない、顧客に会わない、上司は怒らない、10連休が年4回、全社員にスマートフォンを支給する、などなど、独自の経営手法を取り入れ、毎年140%~200%という成長率を達成している。また働きやすい労働環境を実現するためにITを徹底活用するワークスタイルはマスコミで幾度となく取り上げられ、多くの企業に影響を与えている。2012年6月米国シリコンバレーに現地法人を設立。
創業;2000年7月、事業拠点;東京・大阪、社員数;約30名。

(クラウド型ビジネスチャットツール『チャットワーク』について)

「グループチャット」、「タスク管理」、「ファイル管理」をひとつにしたクラウド型ビジネスチャットツール。PC、タブレット、スマートフォン(iPhone、Android)などあらゆるデバイスで使用できるため、場所を選ばず常に最新の情報にアクセスできる。2011年3月のリリース以来、メールに代わるコミュニケーションツールとして普及。2012年5月には、KDDI社と業務提携し『KDDI Chatwork』の提供を開始したことで上場企業など大規模組織での導入も進んでいる。2013年6月現在、ユーザー数は20万ユーザーを超える。

LRMにISMS認証取得コンサルティングを依頼

– LRMへの依頼内容を教えてください。

弊社は2012年4月、LRMにISMS/ISO27001(以下ISMSと表記)認証の新規取得コンサルティングを依頼しました。
2013年4月下旬、審査を無事に終え、5月上旬に認証マークが届きました。

ISMSは認証を取得するだけではなく、そこで決めたルールを実際に運用していくことが大切です。
弊社は急成長してきたこともあり、業務を行う上での社内ルールが整理できていない部分がありました。
今回のISMS取得では、LRMのコンサルティングを通して、今後の運用まで見据えたルールをまとめることができました。それが一番大きな成果です。

お客様のリクエストに応えるためにISMS認証を取得

「業務フローを変えることなく、社内ルールを整理できました」(技術部マネージャー 須藤 裕嗣 氏)

「業務フローを変えることなく社内ルールを整理できました」
技術部マネージャー 須藤裕嗣氏

– そもそもISMS認証を取得した理由は何ですか。

『チャットワーク』の導入を検討されている企業様に安心して導入していただくためです。

現在、一般企業の間でもクラウド利用は広まっていますが、クラウドサービス導入の要件として、情報セキュリティは非常に重要視されています。
弊社においても『チャットワーク』導入を検討される企業様から情報セキュリティの管理対策に関して多数のお問い合わせ・ご要望をいただいております。

『チャットワーク』は通信のSSL暗号化、サードパーティによるセキュリティ監査の実施など、高度なセキュリティ水準を実現しています。
特に上位プランの『KDDI Chatwork』では、社外ユーザー制限機能、スマートフォン制限機能、ファイル送信禁止機能、外部SNS制限機能などを備え、大企業、官公庁などでも安心してご利用いただけるセキュリティ水準を満たしています。

弊社の情報セキュリティに対する取り組みはWebサイトに明記しており、お問い合わせがあった際にもきちんと説明します。しかし、セキュリティはどこまでやれば大丈夫という明確なラインはありません。
そこで、お客様により安心してご利用していただくために、第三者機関の認証を得ることを決意いたしました。

– 第三者機関の認証の中でもISMSを選んだ理由をお話し下さい。

業務効率を落とさずに社内のルール整備に注力できるからです。ISMSは自社のワークスタイルや業務フローに合わせて、ある程度柔軟なルール作りが可能です。
他にはプライバシーマーク、ISO20000を比較検討していましたが、弊社の社長や専務と親交が深いLRMの幸松さんに相談した結果、急激に変化し続けている弊社の現状にはISMSが合致していると判断しました。

社内体制・取得までのおおまかな流れ

– 認証取得のための社内体制を教えてください。

実務を担当したのは私一人です。私は技術部マネージャーという役職がら、情報セキュリティに関して社内で最も把握しています。
加えて業務遂行上の社内ルールを決める役割もあるので、必然的に担当することになりました。
ただ、ISMSに関する予備知識はなかったため、幸松さんに教えてもらいながら取得作業を進めていきました。

– 認証取得までのおおまかな流れを教えてください。

今回の認証取得は、『チャットワーク』の機能追加、リニューアルなどが相次ぐ中で行いました。
そのため業務に影響が出ない、無理のないスケジュールを組みました。おおまかな流れは次の通りです。

4~8月 リスクアセスメント
2~3週間ごとに幸松さんと打ち合わせを行い、幸松さんからの質問に答える形で、情報資産の洗い出し、詳細管理策133項目の検討(ベースラインリスク分析)、詳細リスク分析などを行い、自社に合ったルールを決めていきました。

9~10月 文書作成
社内規定文書や手順書、様式類など、申請や実際の運用に必要な文書類をLRMが作成しました。

12月 従業員教育の実施
詳細管理策133項目のうち全社員に関係する箇所をまとめたマニュアルを配布。
その上で東京、大阪それぞれの拠点でミーティングを行い、決まったルールのポイントを伝え、最後にテストを行いました。

2月 内部審査、マネジメントレビュー

3月 第一段階審査(文書審査)

4月 第二段階審査(現地審査)
審査での不適合は一切なく、無事に認証を取得することができました。

5月 認証取得
登録証、認証マークが弊社に届きました。

クラウド活用の利便性を最大限に生かせるセキュリティ対策の策定が課題

「同社のITを駆使した働き方などを紹介した書籍『日本でいちばん社員満足度が高い会社の非常識な働き方』は、初版3万3千部のベストセラーに。

同社のITを駆使した働き方などを紹介した書籍『日本でいちばん社員満足度が高い会社の非常識な働き方』は、初版3万3千部のベストセラーに。

– ISMS認証を取得する上で課題はありましたか。

最重要課題は、クラウド活用の利便性を最大限に生かせる情報セキュリティのルール作りでした。

弊社では業務を効率化するためにクラウドを徹底活用しています。
具体的には、ドキュメント類の作成・管理、タスク管理、社員同士や社外との連絡といった殆どの業務をGoogleAppsと『チャットワーク』で行っています。
クラウドを活用するメリットは、どこでも仕事ができる、共同作業・情報共有が効率よくできる、ペーパーレス化やOfficeソフトのライセンス数削減によるコスト削減など、様々なものがあります。
これらのメリットを損なわない情報セキュリティのルールを決めることは難しいと感じました。
しかし今回は幸松さんのコンサルティングがあったので、スムーズにルール作りができました。
幸松さんが教えてくれた他社事例もかなり参考になりました。

– クラウド活用の利便性を最大限に生かすセキュリティ対策というと、具体的にはどのような対策ですか。

パソコンやスマートフォン、クラウドサービスの扱い方が中心です。
例えば、ログインパスワードの強化、GoogleAppsと『チャットワーク』以外のオンラインストレージ利用の禁止、各種データの保存場所の統一と権限付与、漫画喫茶やインターネット喫茶における『チャットワーク』やGoogleAppsの使用禁止、などを明文化しました。
また、災害時やサーバーが落ちた際の対処方法なども定めています。

弊社では、顧客情報、業務関連の資料、社員の個人情報などあらゆる情報がクラウド上に存在するため、これまでもセキュリティに関しては常に意識してきました。しかし急激な会社の成長に、社内のルール作りが追い付いていませんでした。
今回のISMS認証取得では、社内ルールがきちんと整備、明文化できたことで、セキュリティ水準が高まりました。
そして、ファイルの置き場所やツールを統一したことで情報が整理できたため、クラウドの利便性は今まで以上に活かせるようになりました。

成果物は全てクラウドで作成-こちらのワークスタイルに柔軟に合わせてくれるコンサルタント

– LRMのコンサルティングはいかがでしたか。

全体を通して弊社が取り組みやすいようにサポートしていただきました。例えば以下3点が取り組みやすさの要因です。

(1)作業の進め方を合わせてくれる:成果物もクラウドで作成・管理
今回のISMS構築プロジェクトでもクラウドを最大限に活用しましたが、LRM側の作業の仕方も弊社のワークスタイルに合わせていただきました。
審査や運用で使う社内規定文書、手順書、様式などの文書作成にはGoogleドキュメントとGoogleサイトを使い、GoogleApps上で文書管理出来るようにしていただきました。
また、進捗状況の確認などの連絡は『チャットワーク』で行ってもらいました。
普段はWordやExcel、メールを使っていると思いますので、おそらく勝手は違ったと思います。しかし柔軟に対応していただけました。
おかげで弊社側は、慣れない作業をストレスなく遂行することができました。

(2)こちらの作業負担を軽減してくれる:文書類の作成は全てLRMが担当
社内規定文書などの文書作成は、申請までの過程の中で最も大変だと感じた工程です。ISMSの難解な規格を理解して文書にまとめる作業を自分でやるのは無理だと感じました。
幸松さんは難解な専門用語を簡単にポイントを押さえ教えてくれた上で、文書作成を全て引き受けてくれたため、私の負担は大幅に軽減できました。

(3)コミュニケーションの取りやすさ
幸松さんのコンサルティングは、「お気楽」という言葉がぴったりです。雑談のような会話の中でこちらの意図をしっかり掴んで、課題を整理してくれました。そのため打ち合わせでもストレスを感じたことはありません。
コンサルタントやセキュリティというと、一般的には馴染みづらい印象があります。でもLRMの情報セキュリティコンサルティングは違います。構えずにお付き合いできるところが良いですね。

「情報セキュリティのコンサルタントというと馴染みづらいイメージですが、幸松さんは正反対。作業の進め方もこちらのやり方に合わせていただけたことも良かったです」(須藤氏)

「情報セキュリティのコンサルタントというと馴染みづらいイメージですが、幸松さんは正反対。
作業の進め方もこちらのやり方に合わせていただけたことも良かったです」(須藤氏)

今後の課題とLRMへの期待

– 今後のビジョンを教えてください。

今後弊社のサービスが成長していく上で、情報セキュリティは最も重要な要件の一つです。
ユーザーの個人情報・メッセージ内容の漏えいなどの事故が起きれば事業継続は困難になります。
またサービスが少しでも停止すれば、ユーザーのビジネスに甚大な影響をもたらすでしょう。
『チャットワーク』はビジネスコミュニケーションのプラットフォームと化しています。
その責任を果たしていくためにも、弊社はしっかりとISMSを運用し続けなければいけません。
PDCAを回しながら課題を抽出して、より良いマネジメントシステムに育てていきたいと考えています。

– 最後に、LRMへのご期待をお話し下さい。

弊社がLRMに最も期待していることは、関連法令の改訂や他社の事例など関連最新情報の提供です。
今回セキュリティ対策を決める際には、幸松さんに教えてもらった他社の事例が参考になりました。今後の改善の際にも、そのような最新情報は不可欠です。
直近では2013年後半にISMS/ISO20071の規格改訂があるそうなので、全容が明らかになったら、またLRMに相談したいと考えています。

Chatwork株式会社様、お忙しい中、有り難うございました。

Chatwork株式会社様のWebサイト
※ 取材日時 2013年6月

  • クラウドサービス(SaaS)開発・提供
  • 担当者の負担軽減
  • 認証知識を基礎から学ぶ
  • 50名未満
  • 大阪
  • 複数拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら