弁護士ドットコム株式会社 様 – 顧客事例 –
弁護士ドットコム株式会社は、2016年1月、LRMにISMS/ISO27001認証新規取得コンサルティングを依頼されました。代表サービスである『弁護士ドットコム』が著しい成長を遂げる中、同社がISMS/ISO27001認証を取得した背景、ならびにコンサルティング会社としてLRMを選定した理由とその成果について、執行役員 管理部長・松浦啓太氏、管理部マネージャー・辻井忠志氏、管理部・若月竜也氏に、お話を伺いました。
記事index
「専門家をもっと身近に」という経営理念に沿ってWEBサービスを開発・運営。主軸のサービスは企業名にもなっている『弁護士ドットコム』である。2005年7月、国内初の法律相談ポータルサイトとして提供開始。以降、同サイトに登録した弁護士と一般ユーザーのマッチングサービスや法律関係のニュースを配信する『弁護士ドットコムニュース』などサービスを拡充しながら持続的な成長を遂げてきた。2014年12月、東京証券取引所マザーズ市場上場。現在では、弁護士の登録数は11,000人以上、月間サイト訪問者数970万人という圧倒的な規模を誇る国内最大級のサービスへと成長している。この他、やはり国内最大級の税務相談ポータルサイト『税理士ドットコム』や、クラウド上で完結する電子契約サービス『クラウドサイン』など、新規サービスも展開している。『クラウドサイン』は2015年10月のリリースで、大手金融機関などを中心に導入が広まっている。今後はAI、ブロックチェーンなどの最先端技術を取り込みつつ、既存サービスの充実を図るとともに、“法務”、“専門家”というキーワードでの新サービスを積極的に開発・提供していく考えである。
設立;2005年7月。本社;東京都港区。従業員数;約100名。※数字は全て2016年10月現在。
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
弁護士ドットコム株式会社は、2016年1月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。担当者は幸松さんと井崎さんです。
9月上旬の最終審査を経て、10月3日、無事に認証を取得することが出来ました。
認証取得の理由;組織規模拡大に伴う環境整備とユーザー企業の声に応えるため
日本初、WEB完結型クラウド契約サービス『クラウドサイン』。月間10通までは無料で利用可能。個人事業主から大手企業まで幅広く導入が進んでいる。
— ISMS認証取得の理由をお話し下さい。
弊社がISMS認証を取得した理由は2つです。
(1)組織規模拡大に伴う環境整備
まず、背景としては組織規模の拡大があります。弊社では、主軸サービスである『弁護士ドットコム』の成長に伴い急激に社員が増えました。2013年春には20名程度でしたが、現在では約100名です。
人が増えれば増えるほどセキュリティリスクは高まります。20名程度なら目が行き届きますが、100名ぐらいになると、徐々に誰がどこで何をしているか把握できなくなくなってきます。そこで、今後の規模拡大に伴いセキュリティルールを継続的に見直す仕組みが必要となっていました。
(2)ユーザー企業の要望に応えるため
ISMS認証を取得する直接のきっかけとなったのは、『クラウドサイン』を導入されたお客様の声です。『クラウドサイン』の顧客は法人です。機密性の非常に高い契約を取り扱う金融機関の導入検討も進んでいました。そういった顧客から、ISMS認証取得のご要望をいただいておりました。
ISMSを取る取らないに拘わらず、従来から弊社には厳格なセキュリティルールがありました。どうせ今後もセキュリティルールの運用は必要不可欠なものであるから、顧客からご要望いただいていることもあり、対外的にアピールできるISMS認証を取得しようと考えるに至りました。
弁護士ドットコム社における情報セキュリティの基本方針
— 従来の厳格なセキュリティルールというのは、独自に決めたルールですか。
そうです。弊社にはシステムエンジニアが多数在籍しています。エンジニアは、セキュリティを確保するための知識やスキルはしっかり持っています。社内にエンジニアが多数在籍していることから、高い意識をもってセキュリティに取り組んでいました。
— 御社はサービスが多岐に渡り、管理する情報も登録弁護士や税理士、一般ユーザー、クラウドサインの企業情報など様々な情報を扱っておられます。また、社内にも様々な部署や職種があるので、管理が大変そうですね。
確かにサービスや部署が多岐に渡り、職種が沢山あるのは確かですが、情報セキュリティに関する社内ルールがしっかりしていれば、リスクは最小限に抑えられます。
サービスサイトの運用はAWSで行い、営業情報はSalesforceで管理しています。また社内コミュニケーションは『GoogleApps』や『Slack』などのツールを使う等、クラウドサービスを積極的に活用しています。個人の端末にインストールするツールを多用していると、管理が非常に煩雑化してしまいますが、全社で統一したクラウドサービスを利用することで、必要な箇所に確実にカギをかければ、リスクを抑えることができます。
コンサルティング会社選定の基準と経緯
ガチガチのルールにしても意味がないので、実効性があり業務効率に影響しないルールを作りたいと考えていました
(執行役員 管理部長・松浦啓太氏)
— 自主取得ではなくコンサルティング会社にサポートを求めた理由をお話し下さい。
認証取得を決めた際に、管理部が担当することになりましたが、管理部のメンバーは5名しかおらず、日常業務を抱えながら認証取得を全部自分たちでやるには負担が大きすぎると考えました。
ISMSに関する本を読むなど自分なりにリサーチしましたが、具体的に何をすれば良いのか、明確に把握することが出来ませんでした。知っている方のアドバイスを受けながらやった方が良いと考えました。
また、管理部側の都合のみで融通の利かない厳格なルールを一方的に押し付けると、全社の業務効率の悪化や社員のストレス増加等の悪影響を引き起こすうえ、本質的でないルールは誰も従わないため、せっかく作ったルールが形骸化してしまいます。
認証取得のための上っ面の建前だけのルールをつくるのではなく、実効性があり、かつ業務効率に影響を与えないセキュリティルールを作りたいと考えました。
ただ、認証取得の審査基準を満たしているかの判断ができないため、ノウハウをしっかり持っている方に相談しながら進めたいと考えました。
— コンサルティング会社選定はどのような視点で行いましたか。
「実効性があり効率に影響を与えないセキュリティルールの構築」という弊社の要望に柔軟に対応していただけることを条件として選定しました。紋切り型で押し付けてくるコンサルティング会社や、料金は安くても認証を取得することだけに主眼を置いたコンサルティング会社では、関与してもらう意味がありません。ちょうど良いバランスでアドバイスをしてくださる会社を探しました。
— LRM以外のコンサルティング会社も比較検討されたのですか。
はい。ISMS認証取得を検討している際に、弊社役員の知人の紹介でLRMを紹介してもらいました。LRMの提案は非常に良いものでしたが、比較検討したうえで決定したいと考え、そこでインターネット検索でピックアップした数社から、それぞれ提案を受けました。
セキュリティルール構築に対する考え方が選定の決め手に
— LRMが実効性の高いマネジメントシステムを構築できると判断した理由をお話し下さい。
2点あります。
(1)コンサルタントと社風の相性
弊社は効率性を重んじる社風であるため、業務効率性を阻害せず、実効的なセキュリティルールを構築するには、当社の業務とリスクをよく理解し、業務効率とリスク管理の絶妙なバランス感覚をもってご提案いただけるコンサルタントである必要があると考えました。
LRMは幸松さんが担当である旨明言いただいており、うまく進められそうな実感があったのですが、他社は、営業担当者が来ており、実際のコンサルティングでは担当者が変わるとのことでした。詳しく話を聞いてみると、誰がアサインされるかは始まってみないとわからないとのことで、そのあたり他社の提案には不安な部分がありました。
(2)セキュリティルール構築に対する考え方
「実効性があり、かつ業務効率に影響を与えないセキュリティルールの構築」という要望を伝えた際に、次のような回答を得て安心しました。
- ISMSは自由度が高いツールである
- 規格では「どのようにするのか?」は全く触れておらず、全て自社で決めていくものである
- 認証を取得するだけではなく会社の役に立つように使うことができる
実は社内では、ISMSを導入すること自体に反対する声、懐疑的な声がありました。ルールが厳しくなって非効率になるのではないか、ISMS認証を取得することに意味があるのか、と。しかし、LRMの話を聞いたことで、現状のルールを大きく変える必要はなさそうだと思い、社内で出ていた懸念を払拭することが出来ました。
以上2点がLRMと契約する決め手となりました。
実効性と業務効率性を両立するセキュリティルールが実現
ISMS認証を取得したことで社内への周知がしやすくなりました
(管理部マネージャー・辻井忠志氏)
— ルールの構築はスムーズに進みましたか。
ルールの構築はスムーズに進みました。弊社が選んだメニューはシンプルコースで、当初のスケジュールでは3か月ぐらいで終える計画でしたが、決算や株主総会、本社の引っ越しがあったため、業務が落ち着く秋ごろの認証取得にスケジュールをずらしました。
ルールの大枠が固まったのが半年後です。その後、運用フェーズに入ってPDCAを回し、審査前に細かい点を調整しました。
— 「実効性があり業務効率に影響を与えないセキュリティルールの構築」というご要望は実現できましたか。
実現できました。ISMSの運用を始めたことで業務効率への影響もありませんでした。
以下の通り、プラスアルファの成果もありました。
(1)セキュリティルールを体系立てて整理できた
独自に構築してきたセキュリティルールを体系立てて見直すことができました。自分たちはできているつもりでも、抜け穴はありました。そこに気づけたことは良かったと考えています。
(2)社内の意識向上
ISMS認証取得をする、とアナウンスしたことで、今後セキュリティについてより積極的に会社が取り組んでいくというメッセージが社員に伝わり、セキュリティルールを周知した際の社員のリアクションが良くなりました。認証取得する、と宣言するだけでセキュリティ意識が上がるものなのだ、と効果を感じました。
(3)社員へのアナウンスがしやすくなった
社員のセキュリティ意識が向上したことにより、現場の業務に関わるセキュリティルールを周知した際の社員のルール認知の速度や理解の深さが改善し、運用徹底させる役割である管理部の負担が軽くなったと感じました。
LRMの明確なアドバイスがスピーディな判断に繋がった
eラーニングシステム『LIXIS』は従業員教育の管理がしやすく非常に便利でした
(管理部・若月竜也氏)
— ISMS認証取得を通して、LRMが果たした役割をお話し下さい。
LRMには主にドキュメントを固める作業を担っていただきました。今回ISMS認証取得では、LRMが用意している雛形をベースにドキュメントを作成しました。LRMと一緒に雛形の読み合わせ行い、自社にもともとあったルールと照らし合わせ、適宜変更を加えて構築していきました。こちらが必要ないと思ったことでも「しっかりやっておいた方が良い」と具体的な事例をもとにリスクを丁寧に説明していただき、納得できたことについてはきちんと取り入れました。
また、LRMが用意した雛形と自社のルールを照らし合わせて精査したことで、自社のルールの抜け穴を発見することができました。
— LRMのコンサルティングでご評価いただけるポイントをお話し下さい。
最も良かった点は、我々が抱く疑問などに対して、理路整然と明確に回答していただけたことです。他社の事例も交えた判断材料を提示していただけたことで、スピーディな判断が出来ました。
このようなコンサルティングを導入する時に最も困るのは「御社判断ですね」と、判断材料も提示しないままで判断をこちらに丸投げされることです。「じゃああなたは何のためにいるのか」と思ってしまいますよね。LRMのコンサルティングではそのようなことはなく、明確に回答していただきました。
またコンサルティングそのものではありませんが、助かったのは従業員教育で使用したeラーニングシステム『LIXIS』です。特に管理画面で受講の進捗状況や履歴が一目瞭然でした。審査時に従業員教育に関してチェックする際も管理画面を見てもらうだけなので手短に済みました。
WEBサービス企業がISMS/ISO27001認証を取得する意義について
— WEBサービスを提供する企業がISMSを取得する意義や価値についていかが考えておられますか。
弊社の場合は取得した方が良かったと考えていますが、全ての企業にお勧めできるとは思いません。会社のフェーズによって判断は変わってしかるべきだと考えています。
ISMS認証を取得するならメリットをきちんと整理した上で取り組むべきです。体裁を整えるためだけにISMS認証を取得するのは意味がないことです。組織規模や社風など、実体に合わせたセキュリティ体制を整備するための認証取得は、セキュリティ強化のみならず、業務効率化の効果ももたらします。LRMはそういうことを考えた時に相談する相手として適したコンサルティング会社です。
— ISMSに関して、今後のビジョンや課題などがあればお話し下さい。
弊社の規模で言いますと、当面の取り組みは、社員のセキュリティ教育を地道に継続していくことです。社員が増えたと言ってもまだ100名です。リスクがゼロになることはありませんが、1人1人が高い意識を持てばセキュリティは維持できます。パソコンの設定、携帯電話の設定、過失があった際の管理部への連絡の徹底などを社員一人ひとりに染み渡らせることが一番大事だと考えています。そのような地道な活動を継続していきたいと考えています。
ISMS認証取得が自社のルールの抜け穴を発見するきっかけになりました
(中央から右へ;若月氏、松浦氏、辻井氏 ※左列は、弊社幸松、井崎)
弁護士ドットコム株式会社様、お忙しい中、有り難うございました。
※弁護士ドットコム株式会社様のWebサイト
※取材時期 2016年10月
- クラウドサービス(SaaS)開発・提供
- コンサルティング・士業
- 担当者の負担軽減
- 認証知識を基礎から学ぶ
- 既存の社内規程/文書類を活かす
- 50~199名
- 東京
- 複数拠点