株式会社HRBrain様 – 顧客事例 –
人事評価クラウド『HRBrain』を提供する株式会社HRBrainは、大手クライアントからの引き合いが増える中、LRMのサポートを受けながらISMS/ISO27001認証新規取得に取り組みました。取り組み全体を通して何を目指して、どのような成果を得たのか、代表取締役社長・堀浩輝氏にお話を伺いました。
記事index
従業員の目標設定から評価に至るまで全てのオペレーションを効率化する人事評価クラウド『HRBrain』を開発提供する。2017年1月のリリース以来、人事資料の管理や従業員の目標管理、さらに評価の仕組み作りなどで悩みを持つ幅広い層の企業に導入が進み、有料導入企業数は約400社(2019年3月現在)に達している。サービスそのもののシンプルな使いやすさ、カスタマーサクセスを追求した手厚いサポートなどにより継続率99パーセントを実現。総務省後援「クラウドアワード2018」、第3回HRテクノロジー大賞「注目スタートアップ賞」など、多数の受賞歴を持つ。評価や目標管理に留まらず、採用領域も含めてHRに関する全ての課題をワンストップで解決出来るサービスを目指す。
設立;2016年3月。従業員数;約35名。本社;東京都港区。
LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
弊社は2018年5月、あるベンチャー企業の経営者からご紹介いただいたLRMにISMS/ISO27001(以下、ISMS)認証取得コンサルティングを依頼しました。担当者・井崎さんのサポートを受けて、2019年1月、ISMS認証を取得しました。
事業拡大に向けた体制整備の一環としてISMS/ISO27001認証を取得
— 御社がISMS認証を取得した理由をお話下さい。
弊社がISMS認証を取得した目的は、今後の事業拡大に備えた体制整備の一環です。
弊社サービス『HRBrain』は、2017年1月のリリース以来、幅広い層の企業でご利用いただき着実な成長を遂げています。その中でお客様の人事評価情報を扱う会社として、あらゆるリスクから情報を守るために、社内の情報セキュリティ水準を上げる必要が生まれていました。従業員数が少ない間は管理が行き届きますが、事業の成長とともに、組織規模が拡大していくと統制が取りにくくなることは目に見えています。そこで社内では、外部の監査会社によるサービスの脆弱性診断を行うとともに、オフィスやネットワーク、開発基盤やソフトウェアなど、業務を推進する上での環境を整備し、さらに情報の取り扱いに関するルール作りや従業員のセキュリティ意識向上を目的としたISMS認証取得に取り組む議論を進めていました。
その一方では、『HRBrain』に対するニーズが広がり、大手企業からの引き合いや導入が増えていました。今後ビジネスの拡大を加速する中では、より広いお客様に対応できる機能を追加するだけではなく、セキュリティに対する要求が高まることは必然です。そうなることを見越した営業部門からもISMS認証取得を求める声が強くなって来ました。
このような経緯から、2018年1月、具体的に認証取得に取り組むことになりました。
— ISMS認証を取得するに当たってご懸念はありませんでしたか。
最も懸念したことは、ISMS認証を取得するために必要な文書作成などをゼロから行う手間と時間です。弊社としてはそれらの作業よりも、入退室の管理や、UTMの導入、高度なウィルス対策、ツール類のアカウントの棚卸し、ルール構築など、本質的にセキュリティレベルを上げていく作業にできるだけリソースを集中させたいと考えていました。
ISMS認証を取得するために必要な文書作成などの作業は、それ自体がセキュリティレベルを高めるものではありません。極端なことを言えば、従業員全員の頭の中にあるルールが完全に一致して、しかもそれを証明する手段があるなら、文書類の作成も認証を受ける必要もありません。しかしそれは不可能なので、第三者機関が定める基準に則ってルールを明確にして文書化して認証を受ける必要があるのです。そこで、そういった作業は、専門家であるコンサルタントのサポートを受けながら進めることにしました。そこにかかるコストを惜しんで自分達で頑張ってみても、セキュリティレベルが上がらないどころか却って阻害する要因になってしまうと考えました。
サービスコンセプトの明確さがLRMに依頼する決め手に
LRMはベンチャー企業のカラーにマッチしていると思いました
(代表取締役社長・堀浩輝氏)
— LRMにコンサルティングをご依頼されたきっかけはご紹介だったとのことですが、他社とは比較されましたか。
数社と会って比較しましたが、その中でもLRMはサービスのコンセプトが明確でした。
運用しづらい分厚いだけのマニュアルを用意するのではなく、シンプルな文書体系にして、しっかり運用していこうという思想が伝わって来て、共感しました。また、情報セキュリティは難解な専門用語が使われることが多く、その理解のしにくさからマネジメントルールを作っても形骸化しがちです。しかし営業時の説明がわかりやすかったことに加え、事例や情報セキュリティに関する考え方などで構成された営業資料も訴求ポイントが明確になっていました。そういったことからISMSのマニュアル類もわかりやすい言葉でまとめていただける会社なのだろうという心証を受けました。
さらにもう1点、他社との違いを感じたのが企業文化です。営業担当者はアグレッシブな方ですし、実際にコンサルティングを担当された井崎さんは自分の考えをしっかり話すことが出来る方でした。他社はどちらかというと保守的でおとなしい印象でした。LRMはベンチャー企業のカラーにマッチしていると感じました。
従業員を巻き込んで取り組んだISMS/ISO27001認証取得
— 実際に取り組みを始める上で、LRMにリクエストされたことはありましたか。
見積り段階で、(1)宿題をなくしてミーティング内で完結させる、(2)講義形式での研修を実施する、の2点を要望しました。
(1)宿題をなくしてミーティング内で完結させる
今回の取り組みでは本質的なセキュリティにつながらないタスクは可能な限り減らしたいと考えていました。例えば情報資産の洗い出しやリスクアセスメントも社内で調整する労力はもったいない。宿題にしてしまうと伝え漏れが起きますし、そもそもどの粒度で吸い上げて良いかも明確に把握出来ていない状態でもありました。それよりも当時は従業員が8名と少人数でしたので、LRMとのミーティングには全員参加して、1人ずつヒアリングしてもらい、その場で文書に落とし込んでもらった方が効率的ですし、質が高いものになると考えました。
(2)講義形式での集合研修を実施する
従業員のセキュリティ意識を引き上げるには、各自に任せるのではなく、対面による講義形式の集合研修が適していると考えました。資料を配布して各自空いている時間に読むようにと言っても、大概は後回しになってしまいます。
新入社員に対するオリエンテーションでも、資料を渡していつまでに読んでおくように言っても誰も読んで来ないという実態は、多くの組織に共通しているはずです。顔を見合わせながら丁寧に説明することで、頭の片隅に意識を残すことが出来ると考えました。
実際、この2点の要望を踏まえてコンサルティングを進めていただきました。
— ミーティングはどのぐらい時間をかけたのですか。
打ち合わせ1回あたり約2時間で、回数は18回に及びました。
作業内容を順番に説明いたしますと、最初に情報資産の洗い出し、リスクの洗い出しを全員で行いました。それを元にLRMが叩き台となるマニュアルを作成し、そのマニュアルを読み合わせしながら修正して行きました。その時点では従業員数が増え、チーム単位で業務を行う体制となっていたため、読み合わせは各チームのマネージャーを集めて行いました。さらにその後、ISMS担当者とLRMとで、教育用の資料作成を行いました。
— 教育資料はどのような内容ですか。
弊社のマニュアルに即した弊社オリジナルのテキストとテスト問題です。他社ではどうしているのか、どのようなことに重きを置く必要があるのか、LRMと一緒に時間をかけて議論しながら作成しました。
— 従業員教育を行われたのはいつ頃ですか。
9月から10月にかけて全従業員を対象に2つのグループに分けて実施しました。それぞれ2時間かけて講義した上で、LRMが提供するセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使って復習とテストを実施しました。
— 内部監査はいかがでしたか。
11月上旬に第1段階審査を終えた後、12月に入ってから第2段階審査を迎える前に、井崎さんに内部監査員を代行していただいて実施しました。
— 第1段階審査、第2段階審査は不安なく取り組めましたか。
取得できないということはないと思っていたので、不安はありませんでした。万が一認証が取れないということがあるとすれば、それは弊社内にセキュリティリスクがあるということですし、監査機関が認証を出せないということは、そもそも弊社の体制が脆弱であるという状態なので、そこは改善すべきところです。つまり審査はセキュリティレベルをより高める機会でもあるわけですから、ありのままを審査してもらいたいと考えていました。結果としては、軽微な指摘だけで済み、2019年1月にISMS認証を取得しました。
従業員を巻き込んだことで、セキュリティを自分事化することが出来て社内の意識向上につながりました
(左;堀氏 ※右は弊社井崎)
全社員が情報セキュリティリスクを自分事として考える機会に
— 今回の取り組み成果をお話し下さい。
各自が情報セキュリティリスクを自分の問題として考える機会を得たことが最大の成果です。今回のISMS認証取得は従業員を巻き込んだ取り組みとなりました。各従業員が自分事として向き合ったことで、日々の業務における問題点に気付き、自分達で改善するという意識が生まれました。
セキュリティレベルを向上させるには、いかに“自分事化”してもらえるかがポイントです。特に現在はビジネスにおいてもストレージやチャットなど、クラウドサービスを多用する時代です。これまでのようにファイアウォールに守られた社内でしか仕事ができない環境とは違い、どこからでも会社の情報にアクセスが出来てしまいます。それは言い換えると、エンドユーザーのミスによって事故がより起きやすい環境でもあります。だからこそエンドユーザー自身がセキュリティを意識しなければ情報を守ることは出来ません。
— 従業員教育にこだわったのもそのためですね。
実際、情報漏えいの多くは、人的ミスで起きています。サービスの脆弱性をなくして、システム上のセキュリティレベルを引き上げても、従業員の意識にばらつきがあっては本質的なセキュリティ対策は取れません。どれだけ完璧なシステムを入れても、それを使う人にセキュリティ意識がなければ漏えいのリスクは高まります。最後は人の意識次第だと考えています。
「よくわからないからやってみるか」という思考から、「よくわからないからちゃんと聞こう」という思考に変わることで防げるインシデントは多いと考えています。「怪しいけど一旦クリックしてみるか」とクリックしてしまうのと、クリックする前に「これ大丈夫かな」と立ち止まるかでは結果が全く違ってしまいます。
— 改めてISMS認証を取得・運用する意義についてお話し下さい。
ISMSの運用では、定期的にセキュリティのことを考えざるを得ない状況が生まれます。どうしてもセキュリティは後回しになってしまうところがありますが、ISMSを運用することで定期的に優先順位が上がる時が来ますし、それを繰り返すことで「そういうものだ」という意識が定着します。それがISMS認証制度の良いところだと思います。
そもそもセキュリティの感覚は、人によってばらつきがあります。例えばSNSに自ら露出したい人もいれば、なるべく露出したくない人もいます。人事評価を誰かに知られることも、優秀な人にとっては名誉ですし、良い想いをしていない人からすれば迷惑なだけです。従って組織的にガイドラインが明確になることは大変良いことです。
— 今後の取り組み課題をお話し下さい。
半年間の取り組みで従業員の意識が高まったとはいえ、まだ始まったばかりで粒度の粗い状態です。しかも弊社は現在、組織が拡大しているところなので、粒度を一定に保つことが簡単ではありません。また、各情報資産に対する責任の所在が明確になっていないところもあります。今後は情報セキュリティ委員会などを作って、組織的な取り組みにすることで、これらの問題に取り組んで行きたいと考えています。
情報セキュリティに取り組むなら組織が拡大する前
— ISMS認証取得を検討しているスタートアップ企業へのアドバイスがございましたらお話し下さい。
情報セキュリティに取り組むなら、まだ組織が大きくならないうちに取り組むことが重要です。それによってセキュリティの文化が形成しやすくなります。マニュアル化するだけではなく、文化にならないとセキュリティレベルは上がりません。新しく入ってきた人たちは先輩の背中を見て育ちます。先輩の行動がマニュアルに反していれば、いつの間にかそれが黙認されてしまい、苦労して構築したルールが形骸化してしまいます。情報セキュリティ意識の浸透は、組織が小規模なうちに取り組んだ方が圧倒的にやりやすいです。
ただ小規模な組織には、十分なリソースがありませんので、外部のサポートは欠かせません。そんなベンチャー企業にとってお付き合いしやすいのがLRMです。
— LRMのコンサルティングについて、特にどういった点をご評価されていますか。
LRMはベンチャー企業の生態をよくご存知だと感じました。それが非常に重要でした。特に弊社は、社員全員を巻き込んだ取り組みでしたので、コンサルタントの人物像がカギを握っていました。弊社の社員と世代がかけ離れたコンサルタントだと、考えが凝り固まってしまっていたり、ITに対する理解が足りなかったりするため、コミュニケーションがしづらかったと思います。LRMは、在籍するコンサルタントが若く、ベンチャー企業のサポート実績が豊富なので、話はしやすいですし、実際に今回の取り組みでは、弊社の企業文化に併せて柔軟に対応していただけました。それが成果につながる大きな要因であったと考えています。
株式会社HRBrain様、お忙しい中、有り難うございました。
株式会社HRBrain様のWEBサイト
※ 取材日時 2019年3月
- クラウドサービス(SaaS)開発・提供
- 50名未満
- 東京
- 1拠点