株式会社AI Shift様 – 顧客事例 –

株式会社AI Shiftは、自社のビジョンとミッションを実現するための環境整備として、設立1年目のスタートアップ期にISMS・ISO27001認証を取得しました。目的を達成するためのパートナーとして同社が選んだのはLRM。取り組み前の不安、LRMにサポートを依頼した決め手、取り組みの成果を、代表取締役社長・米山結人氏、プロダクトサクセスチーム・早坂直氏が語ってくれました。

（株式会社AI Shiftについて）

『AIと人間の融合』をコンセプトとし、「”人”だからこそ出来る仕事」に注力できる社会を目指して、AIに関連する新規ビジネスにチャレンジする会社である。
2016年7月、サイバーエージェント社のAI研究開発組織「AI Lab」と共に、企業とユーザーのコミュニケーションを円滑化することを目的としたチャットボット『AI Messenger』を開発。同サービスは、ユーザビリティを意識した初期設定、回答精度を飛躍させるチューニング、成果に向き合うカスタマーサクセスを特徴とし、自動対応、有人対応の双方によって導入企業の顧客満足度向上とコスト削減を実現している。すでに小売業、メーカー、銀行など、大手企業、金融機関のカスタマーサポート、コールセンターに多数の導入実績を持つ。今後は音声対話領域のプロダクト開発に注力し、オペレーター業務の効率化、カスタマーエクスペリエンスの向上を図っていく。またプロダクト開発と運用で蓄積したスキル、ノウハウを生かし、企業におけるAI導入を支援するコンサルティング事業や、AI製品の販売代理業など、AI関連のサービスを幅広く提供している。
本社；東京都渋谷区。設立；2019年8月。従業員数；約20名（2020年6月現在）。

— LRMへのご依頼内容をお話し下さい。

弊社は2019年11月、LRMにISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。
金子さんと二宮さんにご担当いただき、2020年3月末に審査を終え、4月にISMS認証を取得しました。新型コロナウィルス感染拡大による影響を受ける直前で第2段階審査まで終えることが出来たのは、LRMにサポートしていただいたおかげです。

— ISMS認証を取得した理由をお話し下さい。

弊社がISMS認証を取得した理由は以下の通りです。

（1）将来を見据えた社内体制の整備
弊社は、サイバーエージェントグループの次世代を作れる、中核的な役割を担える子会社になることを目指しており、長期的には年商数百億円規模の企業へと成長させたいと考えています。それに伴い従業員数も飛躍的に増えていくことになります。そのためには対外的な信用を得る必要があります。まだ設立1年の会社ですが、現段階でしっかり環境整備をしておくことが大切であると考えました。

（2）顧客への安心感の訴求
AIやチャットボットのビジネスではお客様から非常に多くのデータをお預かりします。そのデータの中には、個人情報を初め、多くの機密情報が含まれます。そのため導入されるお客さまから、ISMS認証やプライバシーマーク（以下、Pマーク）を取得していますかというお問い合わせが増えていました。このようなお客さまにご安心いただくには、ISMS認証取得がわかりやすい指標になると考えました。

以上、2点がISMS認証を取得した理由です。

— ISMSを取ることに対し、社内から抵抗や危惧される声はございませんでしたか。

社内からの抵抗はありませんでした。むしろ会社のビジョンや事業内容を考慮すればISMS認証取得は事業の成長、ひいては会社の成長につながるということを、従業員全員が理解していました。

— ISMS認証取得に取り組む上で、サイバーエージェントグループとしての制約や決まりごとはございましたか。

ほとんどありません。サイバーエージェント社自体が社員の自主性を重んじることで成長してきた会社です。子会社の運営に関しても、親会社の意向を反映するような強制力が意思決定や行動に働くことはありません。今回もコンサルティング会社の選定から取得に至るまで、弊社が主体となって取り組みました。

— これから急成長を目指すITベンチャーにとって、情報セキュリティの強化が足かせになるというお気持ちはありませんでしたか。

企業経営において最も大事なことは、お客さまに良いプロダクトやソリューションを届けて成果を出し、しっかり対価を得ながら、信頼を積み重ねていくことです。情報セキュリティマネジメントはその取り組みの一環であると考えています。情報セキュリティ事故が数多く発生する中、しっかり管理運用している会社が選ばれ生き残っていくものと考えられますので、このタイミングでISMS認証を取得したことは正解だったと考えています。

ただ、取り組む前は、運用ルールが増えることによって、業務上の負担が大きくなるのではないかという危惧はありました。私のイメージとしては、かなり制約が増えるだろうと思っていましたので、LRMと話をする前は非常に不安でした。しかしLRMから、弊社の仕事の進め方や事業内容、従業員の特性なども考慮したアドバイスをいただいたことで、当初思っていたほど多くの制約には至りませんでした。我々の仕事の進め方を変えることもほとんどなく、セキュリティを強化できたという認識を持っています。

— つまり企業としての責任を果たすためには、多少犠牲になる部分が出てきても仕方がないというお考えだったのでしょうか。

そうですね。仕方がない部分はあると考えています。ただ、犠牲を最小限にする努力も必要です。今回はLRMのサポートがあったため、それが実現出来ました。

— サイバーエージェントグループにはグループとしての情報セキュリティルールがおありだと伺いました。ISMS認証構築にあたって、グループ全体のルールは踏まえる必要があったのでしょうか。

当然、私達もグループの一員ですし、複数のグループ会社とオフィスを共用していますので、整合性が取れたルールを構築する必要がありました。そのため、LRMとの打ち合わせにはサイバーエージェント社のセキュリティ部門から2名、法務から1名の合計3名が同席しました。

— 御社側の体制をお話し下さい。

弊社からは米山・早坂の2名がISMS事務局としてプロジェクトの中心を担いました。そこにサイバーエージェント社から3名、LRMのお二人が入り、常時7名で打ち合わせをしながらISMSを構築していきました。また、必要に応じて弊社の各事業部の代表者が参加することもありました。

ISMS認証取得後も、継続的な改善活動に取り組む上で認識合わせが出来るよう、サイバーエージェント社の法務部門とセキュリティ部門を交えた定期的な話し合いの場を設けました。

— グループのセキュリティルールと整合性を図る作業はご苦労されませんでしたか。

いいえ。特に苦労はしませんでした。打ち合わせには、AI Shift、サイバーエージェントグループ、ISMS、それぞれについてきちんと理解し、その場で判断できる人間が揃っていましたのでスムーズに進めることが出来ました。

— 御社の業務に合わせることで、グループ全体のルールに反してしまうようなところはございませんでしたか。

ありません。サイバーエージェントグループの子会社は多様なビジネスを展開していますが、その中で最も機微な情報を扱っているのが当社です。そのためグループの規定を最低限のものとして弊社独自のルールを構築していきました。そのために費やした労力は大きかったと思います。

— ISMSのルールを構築し運用を開始したことで、業務の手順が変わったことはございますか。

いくつかあります。例えばパソコンの管理です。就業後は、各自キャビネット内に鍵を掛けて保管するというルールを適用しました。また、名刺管理をクラウド型名刺管理ツール『Sansan』、ドキュメントデータの管理を『Google Drive』に統一することで、プレゼンテーション資料など紙の書類やクラウド化した名刺は当日中に処理することを徹底しました。

— 具体的にはどのようなところが良かった点ですか。

情報を探す作業が楽になりました。保存場所をクラウドに統一したことで、結果的にそこにアクセスすれば全員が全ての資料を見ることが出来るようになりました。名刺も同様です。情報を探す時間が劇的に削減され、業務の効率化に繋がりました。

またISMSのルールを構築して良かった点がもう1つあります。従業員一人ひとりの意識が大きく変化したことです。
提案資料やサービスサイトにISMSの認証マークを記載していることで、我々自身が体現していかなければいけないという意識が芽生えました。経営者にとっては、最も重要な成果だと感じています。

— 今回の取り組みでご苦労されたことはございましたか。

やはり、文書類を作成する作業が大変でした。ただ、LRMが用意しているフォーマットを活用し、弊社の運用に合わせて肉付けしたり、割愛したりして作成することが出来ました。

始まる前は、マニュアルを含めた文書類は全て、ゼロから作る必要があると思っていました。しかしフォーマットをご提供いただき、そのフォーマットに沿って議論しながら、どのような取り組みにすれば良いか、またはどのような表現にすれば良いか、弊社の実情に合わせてアドバイスをいただけましたので、比較的スムーズに進めることが出来ました。

また、初回の打ち合わせで、我々がどのような想いで、どのような事業に取り組んでいるか、サイバーエージェント社の中でどのようなポジションを目指しているか、どのような人材が在籍しているかなど、弊社の実態を細かくヒアリングしていただけました。2回目以降の打ち合わせでは、その実情を理解していただいた上で議論が出来ましたので、基点をぶれさせずプロジェクトを進められる要因となりました。

専任者がいない中での準備や確認は、本当に大変でした。その中でも、5ヶ月という短期間でISMS認証が取得できたのは、LRMのきめ細かいサポートがあったからだと感じています。

— 打ち合わせはどのぐらいの頻度で実施されたのですか。

ルールを構築するまでの期間は約3ヶ月間でしたが、打ち合わせは、毎週、ないしは隔週で実施しました。あまり期間をおかず、一気に進められたことも短期間で取れた要因の1つだったと考えています。こういったプロジェクトは間延びさせてしまうと、非常にやりにくくなりますので一気にやってしまいたいと考えていました。柔軟にご対応いただけたことも良かったと思っています。

— コロナウィルス感染症拡大の影響は受けませんでしたか。

コロナウィルス感染症拡大の影響は受けませんでした。3月末に審査を終えることが出来ましたので、LRMとの打ち合わせから、審査機関による外部審査まで、当初の予定通り全て対面で実施することが出来ました。社内で作業を進める上で困った時は、電話やチャット、ビデオ会議システム『Zoom』を使って、LRMに相談しました。様々なツールを駆使してレスポンス良くご対応いただけたことが、結果的にコロナウィルス感染症拡大の影響を回避する要因にもつながりました。

— 文書作成以外のサポートについてはいかがでしたか。

文書作成以外で良かったのが、セキュリティ教育クラウド『セキュリオ』のeラーニング機能です。情報セキュリティ支援サービスで、テストも実施することが出来ます。とても使い易くてスムーズに実施することが出来ました。

従業員教育や社内研修と言えば、マネジメントスキルなど仕事に直結するカリキュラムが一般的です。情報管理という、どちらかというと守備に関する範囲は、各自、一般的に推奨されている仕事の進め方や手順を踏まえましょうというのが、基本的なスタンスかと思います。これまでは弊社もそのようなスタンスでした。しかし、ISMS認証取得にあたって、情報セキュリティマネジメントに関する必要最低限の知識や意識が浸透している状況を整えることが重要であるというアドバイスをいただき、その重要性を認識しました。実際に意識の浸透を図る上で『セキュリオ』は非常に役に立ちました。

— どのような点が使い易かったですか。

従業員への周知が簡単にできることと、各従業員の教育実施状況や結果が可視化して管理出来る点です。ISMS認証取得にあたって、従業員の意識を高め、知識レベルを底上げするには非常に便利なツールでした。

実はこの『セキュリオ』の存在は、コンサルティング会社を選定する上で、参考にした要素でした。決め手にこそなりませんでしたが、このようなツールをご用意されている点は、弊社のプロジェクトの進め方にも合致していると感じました。実際に使ってみると、非常にスムーズに使えて便利でした。

— 内部監査員代行はいかがでしたか。

客観的な視点でチェックしていただく一方で、弊社の事情を考慮した改善のアドバイスをいただきました。出来ていないところに関しては、どのように改善していけば良いかが明確にイメージすることが出来ました。プロフェッショナルな立場でドライに評価していただきつつ、改善に向けて寄り添っていただける二面性に価値があると思いました。

— そのような準備を経て迎えた審査はいかがでしたか。

審査の直前も、書類の書き方や事務的な処理など、細々としたことを、チャットや『Zoom』を使ってやりとりさせていただきました。初めての経験でしたが、不安を取り除いた上で臨むことが出来ました。

— ISMS認証取得後、対外的な効果を感じることはございますか。

セキュリティを重視されているお客様は大概、商談の最後にPマークかISMSについてご質問されます。その際、自信を持って取得していますと言えるようになりました。

— 情報セキュリティの取り組みについて、今後の展望をお話し下さい。

弊社だけではなく、サイバーエージェントグループ自体、若いメンバーが多い組織です。その若さ特有の勢いや柔軟な考え方が強みである反面、外部からの見え方として、きちんとした組織とは認知されにくい部分があります。それは、私達がビジョンやミッションを達成する上で弱点となります。ISMS認証を取得したことで、情報セキュリティマネジメントに関しては、このような運用をしっかりやっていますと明確に示す基盤を作ることが出来ました。
今後は、将来的に「あの時に取り組んでおいて良かった」と言えるよう、しっかり運用していきたいと考えています。

— LRMのコンサルティングを受けたご感想をお話し下さい。

LRMのお2人には、弊社の掲げているビジョンを共有し、同じ視点に立ってプロジェクトを進めていただきました。

LRMにコンサルティングを依頼した目的は、ISMSを取得することです。しかし、より大きな視点から言えば、ISMS認証取得は、私達が目標とする会社作りや成長に向けた1つのステップです。LRMはそのような視点から、毎回のようにアドバイスをして下さいました。私達としても、ただ単に認証を取るだけではなく、どのような会社を作りたいか、どのような成長をしたいかといったビジョンを見据えた上で、従業員教育を含めた継続的な運用をイメージしながらルール作りに取り組むことが出来ました。

— LRMへの今後の御期待があればお話し下さい。

今後の運用面でもLRMに併走していただきたいと考え、ISMS認証取得後、ISMS運用・改善サポート『情報セキュリティ倶楽部』を契約しました。従業員教育や内部監査のサポートに加え、私達の成長や変化に合わせた運用を明示していただけることを期待しています。

株式会社AI Shift様、お忙しい中ご対応いただきありがとうございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社AI Shift様のWEBサイト
※ 取材日時 2020年6月