コミューン株式会社様 – 顧客事例 –
2020年10月、コミューン株式会社は、ISMS/ISO27001認証取得への取り組みを開始しました。“能動的にセキュリティを担保出来る体制作り”を目指して選んだコンサルティング会社はLRMでした。引っ越しの途中の新オフィスを訪ね、取り組みの背景や認証取得までの経緯、LRMに対する評価などを、コーポレート・廣野洸一氏に話を伺いました。
- お客様が抱える課題とISMS構築アプローチ
-
- 能動的に情報セキュリティを担保する取り組みをしていきたい
- コーポレート業務をこなしながらISMS構築をしたい
- オフィスの移転を控えている
- LRMのひな形をたたき台として、業務実態に即したルールへカスタマイズ
- 情報資産の洗い出しや台帳作成は、各部署に協力を依頼
- 『セキュリオ』のeラーニング機能で、リモートワークでも従業員教育をストレスなく実施
- LRMコンサルティングサービスへの感想
-
- 話しやすく、チャットでの迅速なコミュニケーション
- タスクを各部門への作業依頼レベルまで分解し、明確に示してもらえた
- 「これが正解」と押しつけるのではなく、いろいろな選択肢を挙げてくれた
(コミューン株式会社について)
企業とユーザーが融け合うカスタマーサクセスプラットフォーム『commmune』の開発および運用を行っている。『commmune』は、企業とユーザーのコミュニケーションを最適化するポータルサイトをノーコードで作れて簡単に運用できる。ユーザーコミュニティーの運営、メール配信、Q&A、イベント管理、ナレッジベースなど、導入企業が提供するサービスに関する情報を集約。企業とユーザーがあらゆるコミュニケーションを行う“顧客接点/面”として機能し、カスタマーサクセスの効率化、LTVの最大化を実現する。2018年9月のβ版リリース以来、スタートアップを中心に導入が広がり、現在はBtoC、BtoBを問わず、エンタープライズも含めた幅広い企業で活用されている。既存顧客コミュニケーション最適化のデファクトスタンダードとして、“テクノロジーの力で企業とユーザーの間の距離・断絶を解消し、全ての企業がユーザーと共創関係を構築できる社会“の実現を目指す。
本社;東京都品川区。設立;2018年5月。従業員数;約50名(2021年10月現在)
LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話しください。
コミューン株式会社は、2020年10月、LRM株式会社にISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。LRMの担当コンサルタントと一緒に打ち合わせをしながらドキュメント作成などの準備を進め、2021年4月に認証を取得しました。
— 御社側の体制をお話しください。
私がISMS担当者としてLRMと打ち合わせをしながらマネジメントシステムの構築、マニュアルの作成を行い、情報資産やリスクの洗い出しや台帳作成は、営業や開発などの各部署で作業をしてもらいました。
— 廣野さんについて伺います。コーポレートとしての普段の業務内容をお話しください。
経理、財務、総務、労務、法務、情報システム、それから経営企画の数字の作成・レポーティングまで、採用・人事以外はほぼ担当しています。
— もともとコーポレート領域のお仕事をされていたのですか。
キャリアとしてはそうです。特に経理畑で仕事をしてきました。新卒で大手化学メーカーに就職して管理会計をしていました。前職はマザーズに上場しているSNSマーケ領域の会社で経理をやっていました。弊社には2019年8月にジョインしました。
— 過去に在籍された会社では経理のお仕事をされていたということですから、ISMS認証の取得や運用に携わるのは初めてですか。
管理者としてISMSに携わるのは初めてです。前職時代は、会社でISMSを取っていて担当者と仲が良かったので、間接的に見聞きしていたぐらいです。
— 実際に取り組まれていかがでしたか。
取り組む前はわからないことばかりなので、大変だろうなと思っていました。実際、業務範囲が広範に及ぶ上に、今回はオフィスの移転もありましたので、ISMSに集中して考え続けるわけにはいかなかったことも事実です。ただ、結果を振り返ると社内でも「大きなプロジェクトやってくれてありがとう」といった感謝の言葉をいただきましたが、私自身はそこまで負荷がかかった感覚はありません。それはLRMのサポートをいただけたからだと思っています。
このようなプロジェクトは、やっている間に想定外のタスクが増えて、遅れることが多いと思いますが、今回のISMS認証取得に関してはスケジュール通りに終わりました。弊社は3月決算の会社ですので3月中に目処がつけられたら良いと思っていました。3月頭に第二段階審査を終えることが出来ましたので望む形で終えることが出来ました。
能動的に情報セキュリティを担保する取り組みの必要性
–ISMSを取得された理由をお話しください。
顧客の要求が情報セキュリティの担保にあることは感じていました。提供しているサービスの性質から自然なことだとは思います。お客様のメールアドレスをはじめとする個人情報を取得したり、コミュニティ上でお客様とコミュニケーションを取ったりするプラットフォームを提供していますので、情報セキュリティに対して求められる水準は高いと感じていました。
その一方で、私たちはまだスタートアップであるという自覚もありますので、お客様が求めることに対して受動的に応えてきました。お客様から要求されることへの対応は概ね出来ていたと思います。
例えば、セキュリティチェックシートへの回答を求められた際に、その項目を見ればどんなことが求められているのかがわかります。また、弊社の回答に対して「この部分ではこういう対応をして欲しい」と、ISMSやPマークを取るような大きな話ではなく、局所レベルでの要求を受けて対応することもありました。その中で少しずつセキュリティレベルは上がってきました。
ただ、サービスが成長する中で、要求に応えるだけではなく、自社としてあるべき水準が何かを考えて、能動的に情報セキュリティを担保する取り組みをする必要も感じていました。組織が拡大すればセキュリティ教育も課題となります。従業員数が10名程度の頃は、新しいメンバーが増えてもマンツーマンに近い形で、ダイレクトに指導することが出来ましたが、計画通りに人が増えていけばそういう訳にもいかなくなります。従業員間で情報セキュリティに対する認識レベルの格差が生じることは避けられません。最低レベルのラインを揃えるためにも、そのベースとなるルール作りが必要だと考えました。
そういった取り組みをしようと思った時にまず考えられるのは、ISMSもしくはPマーク取得です。
2つを比較した時に、弊社が現時点で取り組みやすいのはISMSであると考えました。
–PマークよりもISMSの方が取り組みやすいと考えた理由をお話しください。
Pマークは、絶対的にこのラインが求められるという項目が多いということは把握していました。他方、ISMSは自社に合わせて規定を作り、自社の状況に合わせて段階的にレベルを上げていく活動ができます。
弊社のようなスタートアップにとって、第一歩として適切であると判断しました。
自社の課題に対するアプローチが明確なLRMに依頼
–コンサルティング会社のサポートを受けることは当初から予定していたことですか。
自社取得も検討しましたが、どれぐらいのリソースがかかるかが読みづらいと思いました。最低限の工数は把握できますが、作業を進める間に想定外の問題は必ず発生しますので、最大でどれぐらいのタスク量になるのかは未知数です。いつどんな問題が降ってくるかわからないという怖さがあるため、自社取得は現実的ではないと考えました。
— コンサルティング会社は何社か比較されたのでしょうか。
LRMを含めた3社を比較しました。
— LRMに依頼した決め手をお話しください。
第一点は弊社の課題に対するアプローチです。課題というのはISMS認証を取得した理由、そのものです。
弊社は創業まもない成長企業であるため整備されていない部分が沢山ありますので、少しずつ整えていきたい。
メンバーが増える中でセキュリティレベルを揃える仕組みを作りたい。そういった課題感に対して、どのようなアプローチを取って解決していくのかを最も明確に提示していただけたのがLRMでした。
また、弊社と近しい業態のスタートアップ企業に対するサポート実績が豊富だったことも安心材料の一つでした。
— 御社の課題感に対するアプローチとは具体的にはどのようなことですか。
最も重視したのがひな形の使い方です。各社ともドキュメント類のひな形は持っていますが、そのひな形をどう使っていくかは、各社のスタンスで分かれます。そのままノンカスタマイズで、そのひな形に業務を合わせていくパターンもあれば、あくまでもたたき台にしてカスタマイズしていくパターンもあります。後者のスタンスであることが明確だったのはLRMだけです。弊社はまだ未整備な部分が多いという認識でしたので、その実態とひな形には絶対的な乖離があると思っており、そこを埋める作業は必要だと考えていましたので、そういう意味で最も適していたのがLRMでした。
ひな型をそのまま使うコンサルティングでは実態と乖離してしまうと思いました
(右;廣野氏)
各部門と連携することで、共通理解が深まった
— 成長する中での体制整備と、組織が拡大する中での個人間におけるレベル統一といった二つの目的は達成出来ましたでしょうか。
弊社が現段階で最低限やるべきだと思っている範囲では整えることが出来ました。
ただし、厳格に情報セキュリティが守られた状態なのかというと、もっとよりよくするためにできることはいろいろあると考えています。例えば、今、オフィスの引っ越しの最中ですが、これは、コロナ禍が明けた時に完全出社型に戻ることが前提で実施しています。現在は暫定的にリモートワークを行っているという認識のもとでルールを構築していますが、現在の状況を見ていると、リモートワークにも対応出来る何らかのソリューションを導入することを検討しなければいけないと考えています。
また、今回の引っ越しはISMSの構築段階で計画は上がっていませんでしたので、入退室管理や来客記録などのオフィスの管理に関するルールは定めていませんでした。計画が少し早まって、今、引っ越しているところですので、完了した段階でルールを決めなければいけません。
— 従業員間の情報セキュリティに対する意識のベースを揃えるという目的に関してはいかがでしたか。
この目的についても現状では出来ていると思います。規定や教育の仕組みが出来たことに加え、取り組みに対する共通理解が出来ました。
今回、ISMS認証取得の取り組みは、私1人ではなく、営業など他部門と連携しながら進めました。その中で、情報セキュリティは担当部署だけでやるのではなく、全社で組織的に取り組むべきものであるという共通理解を持つことが出来ました。今後、新しい取り組みをする際も進めやすくなりました。
LRMのサポートで悩まずに取得まで走ることが出来た
ISMSの取り組みに対する社内の共通理解が進みました
(コーポレート・廣野洸一氏)
— ご担当者様個人として、取り組むに当たってのご不安やお悩みはございませんでしたか。
やはり業務の担当領域が広い中で、タスクが増えて、ISMS認証取得の作業が進められなくなるような事態になるのは嫌だなという思いはありました。ただ、結果的には、そこはマネージできました。局所的に、台帳をまとめる作業が遅れるといったことはありましたが、なんとか進められたとは思います。
振り返ってみると、それはLRMのサポートのおかげです。Todoを各部門への作業依頼のレベルまで分解し、明確に示していただけたため、何をすれば良いのかを悩まずに取得まで走ることが出来ました。また、審査は第1段階、第2段階とありますが、その間も密にコミュニケーションを取らせていただき、追加でリスクアセスメントをしなければいけない時も素早く対応することが出来ました。結果として、スケジュールが遅れたり、構築したマネジメントシステムに大きな穴や漏れが発生したりすることもなく、第2段階審査まで終えることが出来ました。
— 全くご苦労はありませんでしたか。
スケジュールが多少、遅れ気味の時期はありました。第1段階審査を迎えるにあたってドキュメントを固めていく中で、論点を検討するための時間が割けずに作業が滞った期間がありました。しかし、そういった事態はある程度予測出来ていたことです。議論が進んだからこそ生まれる論点も出てくると思っていましたし、それ自体がしっかり取り組みが出来た証でもあります。少し大変だったのはそれぐらいで、想定外の出来事が発生して困るようなことはありませんでした。
— 打ち合わせのスケジュールは予め決まっているのですか。それとも進捗度合いによって決めて行かれたのですか。
最初の打ち合わせの時に大枠は決まっていました。それが取り組みを進める上での安心感に繋がりました。
— ドキュメント作成では、LRMはどのようなサポートをしてくれましたか。
まず、スケジュールを組んでタスクを明確にするなど、プロジェクトの進行をリードしてくれました。
その上で、マニュアルのひな型を読み合わせしながら、一項目ずつ検討する際には、自社の状況をヒアリングしていただいた上で、必要があれば他社の事例や推奨される施策などをアドバイスしていただきました。また、各部署で作成している台帳に関しても、逐次、チェックしていただいたり、相談に乗っていただいたりしました。
『Zoom』のオンラインミーティング、『Slack』のチャットなどをフル活用して、頻繁にコミュニケーションを取らせていただきました。
— 構築したルールの周知はどうされましたか。
従業員向けのガイドブックがまとまった段階で、その内容について、『Zoom』を使って定期開催している全社ミーティングの中で、説明しました。また、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使って従業員教育を行い、今取得準備を進めているISMSがどういうものか、情報セキュリティリスクにどのようなものがあるかを周知しました。
今後は、繰り返しルールを周知し続けるとともに、個別のトピックを掘り下げて理解を深めていくような教育を実施していくことになると考えています。
— ISMSでは情報セキュリティに関する従業員教育の実施が義務づけられていますが、eラーニングによって実施するメリットは感じましたか。
eラーニングとの対比的な手段と言うと、集合研修など対面で実施することになると思います。ただ、コロナ禍でリモートワークを実施する中、そのような手段を取ることが現実的ではありません。出社の頻度が少ないことを考えればeラーニング以外の手段は困難でした。
— 『セキュリオ』自体の使い勝手はいかがでしたか。
ストレスを感じずに使うことが出来ました。記録が残る点も便利です。弊社の社内コミュニケーションは基本的に『Slack』で行っています。それはそれで便利ですし、『Slack』上でテキストを配布して、テストを実施することも可能だとは思いますが、実施記録を管理するという観点で言えば使いづらい面があります。記録を残せて、必要に応じて参照できる専用ツールの存在はありがたいです。ISMS認証取得後も継続活用の契約をしました。
— ISMSを運用する上で『セキュリオ』にどのようなご期待をされましたか。
私は『セキュリオ』に関しては、従業員教育単体の機能だけでもコストは合うツールだと思っており、主にその観点から決済を取りました。
しかし法令管理機能なども便利ですね。他にも社内アンケートなどISMSを維持していく上で、様々な局面で使えるツールだと認識していますので、精査して使いこなしていきたいと考えています。
— 内部監査員代行サービスは活用されましたか。
はい。社内のメンバーがまだ少ないこともあり、内部監査員もLRMにお願いしました。社内のメンバーに内部監査員をやってもらうには、ノウハウをインストールしてもらう必要がありますので、今の状況では負担が重いと感じます。
そこをやっていただけたことで取り組みにかかる負荷を軽減することが出来ました。
また、審査に対しては万全の態勢で臨むことが出来たと思います。やはり抜けているところを指摘していただいたことで、弊社にとってはレビューの機会にもなりました。さらに、現場へのヒアリングを通して、それぞれが審査に向けて気持ちを引き締める機会にもなりました。
現場を巻き込んだ取り組みを発展させたい
— 実際の審査はいかがでしたか。
指摘事項は改善の機会をいくつかいただいたことと、そこに上がらない、こういうやり方もあるのではないかといった指摘もいただきました。いずれにしても、今後、セキュリティレベルを高めていく取り組みをする上で、具体的かつ非常に有意義な機会をいただけたと感じています。
— 今後の展望をお話し下さい。
まずは、今回構築したルールを浸透させていく取り組みは引き続きやっていかなければいけません。その上で、これからもサービスの成長に伴い様々なリスクが増えていきますので、開発メンバーを含め、現場の人間をより巻き込みながらしっかりリスク対応をしていきたいと考えています。
LRMのコンサルタントは話しやすく、チャットの返信も早い
— LRMのコンサルティングを受けたご感想をお話しください。
非常に満足しています。話しやすいですし、チャットを使ったコミュニケーションも、すぐに返していただき、ストレスを感じることはありませんでした。
特に良かったことは、ルール作りにおいて「これが正解」と押しつけるのではなく、いろいろな選択肢を挙げてくれたことです。マニュアルのひな型に沿って規定を1つずつ議論しながら、ISMSの考え方に則った判断の仕方を教えていただきました。
コンサルティング会社と商談をしている段階で、各社ともコンサルタントとの相性が大切だということを言われましたが、LRMさんとは相性の良し悪しを意識してやりづらさを感じることはなく、ISMS取得という目標に集中して取り組むことが出来ました。
— 今後のご期待をお話しください。
今後は、『セキュリオ』に加え、ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約する予定です。
ISMSは認証を取得して終わりではなく、改善し続ける必要がありますが、本当に改善になっているのかどうかという判断は難しいと思っています。社内にはISMSの専門家がいませんので、自分たちが主体的に取り組む上でも知見のある方のアドバイスが必要です。新しいことをやっていこうとした時に、専門家の視点からフィードバックをいただけるところに価値があると考えています。
コミューン株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ コミューン株式会社様のWEBサイト
※ 取材日時 2021年5月
- クラウドサービス(SaaS)開発・提供
- 担当者の負担軽減
- 認証知識を基礎から学ぶ
- 50名未満
- 東京
- 1拠点