FastLabel株式会社様 – 顧客事例 –

FastLabel株式会社は、自社サービスの正式リリースを目前に控えた2021年7月、LRM株式会社にISMS/ISO27001認証新規取得コンサルティングを依頼されました。コンサルティング会社選定にあたっては、自社に近い属性の企業に対するサポート実績を重視したと言います。ISMS/ISO27001認証取得の背景と、認証取得に取り組むにあたって抱いていた懸念、そして取り組みの成果について、代表取締役CEO・上田英介氏にお話しいただきました。

お客様が抱える課題とISMS構築アプローチ

• サービス展開のためにISMSを早期に構築したい
• 組織拡大に向け、よりお客様に安心していただけるセキュリティ体制を構築したい

• 実態に即したセキュリティ整備で事業スピードを落とすことなくセキュリティを向上
• 各部署におけるデータの扱い方を可視化し、整理
• 『セキュリオ』のeラーニング機能を利用して、従業員のセキュリティ意識を統一

LRMコンサルティングサービスへの感想

• 問い合わせ時のレスポンスが非常に早く、安心感があった
• 最小限の工数、かつ、きちんとセキュリティが担保できるような提案をしてくれた

（FastLabel株式会社について）

自社開発のアノテーションツール、高度人材を活用した教師データ作成サービスおよびコンサルテーション、MLOps（機械学習基盤）構築を包括した国内唯一のオールインワンソリューションを提供している。テクノロジーの活用により、アノテーション作業と品質チェックを自動化する一方、最終的には人が修正をする。それによりアノテーションのコストと期間を最大70%削減するとともに、99.7%のデータ品質を実現している。2021年9月の正式リリース以来、建築、不動産、製造業、医療、通信インフラ系の大手企業を中心に導入が進んでいる。対象となるデータも、画像、動画からスタートし、2022年に入って、テキスト、音声と領域を拡大している。今後は、アノテーションサービスの精度/スピードをさらに高め、最終的には教師データを作成するだけでAI開発が可能なソリューションの提供を目指す。
本社：東京都品川区。設立：2020年1月。従業員数：約10名（2021年11月現在）。

— LRMへのご依頼内容をお話しください。

FastLabel株式会社は、2021年7月、LRM株式会社に、ISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。担当者・石濱さんのサポートのもと、準備は順調に進み、同年11月に第2段階審査を終え、12月にISMS認証を取得しました。

— ISMS認証取得のお取り組みについて伺う前に、少しだけ御社についての質問をいたします。現在、従業員数は10名とのことですが、どのような職種構成で事業を行っておられるのですか。

取締役や経営層を除きますと、開発とカスタマーサポートに分かれます。

— 御社の社員の平均年齢はおいくつぐらいですか。

30歳ぐらいです。20代後半から30代中盤ぐらいの従業員で構成されています。

— 上田社長はもともとAI開発に携われていたエンジニアですか。

そうです。もともとAIを組み込んだシステムの開発などに携わっていました。その中でデータの作成や収集に9割ぐらいの工数を取られていて、ここが解決しない限り実社会へのAIの実装が進まないという問題意識がありました。
そこで、教師データを作るためのツールやサービスを提供することを目的としてFastLabelを設立しました。

— ISMS認証を取得するにあたり、ご心配されていたことはございませんでしたか。

そもそも、ISMS認証を取得しようと思ったものの、取得するために何をしなければいけないかがわかっていませんでしたので、コストはもちろんのこと、社内のリソースもどれぐらい割く必要があるのかという不安はありました。

スタートアップで人数も少ないため、本来ならば製品開発や営業にリソースを集中させたいところです。ISMS認証取得にはそういったリスクが伴うものと感じていました。

それは認証取得のフェーズだけではありません。認証取得後の運用面でも、きちんとやろうとすれば大きな負担はかかるものと思っていました。

以上のような懸念事項があったため、コンサルティング会社の選定では、弊社の事業速度を可能な限り緩めることなく、お客様にご安心いただける体制をいかに構築できるかという視点で比較検討しました。

— コンサルティング会社選定の経緯をお話しください。

まず、インターネット検索でコンサルティング会社を、LRMを含めて3社か4社ぐらいピックアップして問い合わせをしました。その中で、LRMに依頼した決め手は、以下の2点です。

（1）自社と共通点を持つ企業へのサポート実績
事業フェーズが近いSaaS企業、小規模なスタートアップ企業、リモート環境で業務を行っているなど、弊社と共通要素を持った企業へのサポート実績が豊富である。

（2）問い合わせに対するレスポンスの早さ
問い合わせ時のレスポンスが非常に早く、安心感があった。

— 御社はフルリモートワークを採用されているのですか。

リモートワークが基本です。オフィスに常駐しているのはカスタマーサポートのみです。

— コンサルタントの第一印象はいかがでしたか。

初回のミーティングで、スケジュールや取り組むべきタスク、ステップなど、どのようにしてISMS認証を取得していくかを、詳細にご提示いただいたことで、安心感がありました。

— 予め認証取得の期限は決めておられたのですか。

お客様のご要望もありましたので、2021年12月までに取得したいという話をしてスケジュールを組んでいただきました。予定通り、12月に認証書も届きましたので完璧です。

— ご苦労はございませんでしたか。

思っていたよりもスムーズに進行できました。もっと弊社側で準備すべきものや、整備すべきものがあると思っていましたが、LRMが、最小限の工数で、かつ、きちんとセキュリティが担保できるような提案をしてくださったことで、
スムーズに進められました。

— 御社のタスクとしてはどのようなことがありましたか。

主だったものは、ツールの運用方法の統一、情報セキュリティマニュアルの作成、契約書など物理的な資産を保管している箇所の施錠などです。

— 取り組み以前は、もっといろいろなことやらなければいけないだろうと思っておられたのですか。

はい。前職時代の経験から大変だろうと想像していました。前職時代は数千名規模の企業で、細かいルールが存在していました。それと同様のことをやらないとISMS認証を取得できないと思っていましたが、弊社の現在の業務に即したレベルの整備で落ち着きました。

それによって事業スピードを落とすことなくセキュリティを向上させることができました。従来は、社員個々の意識に任せていましたが、ルールを文書化してマネジメント体制を構築したことで、全社的に統一化されたルールのもとで業務を行えるようになりました。また、セキュリティ教育や運用状況をチェックする仕組み、さらにルールを見直してアップデートする仕組みが整いました。

— 社員のみなさんが意識すべきルールにはどのようなものがございますか。

マニュアルに記載した細かいルールはいくつかありますが、わかりやすい例としては、資料やデータの受け渡し方法があります。弊社では社内コミュニケーションに『Slack』を利用していますが、お客様の情報を含めた資料やデータを受け渡しする際は、チャット上に直接アップロードせず、クラウドストレージにアップロードして共有リンクを貼るようにしました。また、名刺の管理方法も統一しました。クラウドサービスを活用し、アップロード後、原本は廃棄することにしました。

この他にもありますが、各部署におけるデータの扱い方を可視化し、整理できたことは、重要な成果だったと思います。私は元々開発側の人間なので、開発現場は把握していますが、それ以外の部門を含めて会社全体のフローが把握できるようになりました。

— LRMのサポート内容についてうかがいます。まずルール構築や文書作成に関してはどのようなサポートがございましたか。

キックオフミーティングの際に決めたマイルストーンに合わせて打ち合わせを設定していただき、その中で弊社が準備すべきドキュメント類の作成に取り組みました。

ISMS認証を取得するために何をしなければいけないのか、明確に指針を示していただけましたので、弊社はそれに沿ってやるべきことを進めていくことで、弊社の事業規模や事業フェーズに適した情報セキュリティ体制を構築できました。

— 文書作成の作業は全て御社側で行われたのですか。

ヒアリングをもとにたたき台を作っていただき、打ち合わせの中で読み合わせしながら、弊社の業務に合わせて、一緒にカスタマイズしていきました。ルール作成で困ったときは、LRMに複数の対策例を示していただき、参考にして決めました。

また他のメンバーと一緒に検討しなければならないこともありましたので、そういった場合は、一旦持ち帰っての作業となりましたが、わからないこと、困ったことがあった場合は、緊急に打ち合わせをさせていただいたり、『Slack』で問い合わせてアドバイスをいただいたりしながら進めていきました。

問い合わせに対しては、常にクイックにレスポンスをいただけましたので、遅延なく、スムーズに進められました。
サポートレベルとしては非常に満足しています。

— ISMSの専門用語は難解ではありませんでしたか。

ISO27001の規格とマニュアルの項目をマッピングする資料や、マニュアルの各項目がどのような観点から記載されているのかを説明する資料などもありましたので、それらを参考にすることで、スムーズに理解できました。

— ルールの浸透に関するサポートはございましたか。

ルールの浸透は、まだ組織が小さいこともあり、さほど困ったことはありませんでした。

ただ、非常に助かったのがセキュリティ教育クラウド『セキュリオ』のeラーニング機能の提供です。セキュリティ教育用のコンテンツを一斉に送信して、従業員の受講状況や理解度を一元管理することができます。意識の統一を図る上では非常に便利でした。

— 『セキュリオ』は使いやすかったですか。

非常に使いやすかったです。シンプルですし、eラーニングのみならず、情報セキュリティ体制を構築するために必要な機能が備わっているので、非常に良かったと思います。

— eラーニングの他の機能も使われたのですか。

サプライチェーン・マネジメント、法令管理機能を利用しました。

— 『セキュリオ』は継続利用されるのですか。

はい。『セキュリオ』を活用することで運用コストを下げることができますので継続利用の契約をしました。

— 今後はどのような使い方を想定されていますか。

年に１回、維持審査や更新審査に向けた取り組みの一環として、eラーニング、サプライチェーン・マネジメント、
法令管理、それぞれの機能を利用します。

特にeラーニングは従業員全員、合格するまで受けてもらいます。弊社の場合、現在のところ新卒採用はしておらず、実務経験を踏んで来た者ばかりですので、ある程度のベースはできています。定期的に教育を実施することで、セキュリティ意識をアップデートし続けることは重要であると考えています。

— 内部監査のサポートはございましたか。

内部監査は、内部監査委員代行をお願いしました。

— 内部監査は監査員を代行してもらうメリットをお話しください。

弊社内には、情報セキュリティマネジメントの専門家がいるわけではありません。外部の専門家が関与することで、
第三者視点による適正か監査ができます。また審査に向けての最終チェックの機会にもなりました。
内部監査で指摘された箇所に対しては、リスクを洗い直して、対応するかしないかを含めて社内で検討し、対応すべき箇所は改善して審査に臨みました。

— 実際に受けた審査はいかがでしたか。

内部監査で一通りチェックいただいたため、ほとんど緊張することもなく対応することができました。また、何点か指摘事項をいただきましたが、いずれも軽微なものばかりでした。

— Pマーク取得もご検討されているとのことでしたが、それ以外に情報セキュリティの取り組みに関して課題や展望がございましたらお話しください。

事業が順調に拡大し続ける中、今後は組織も拡大していく見込みです。計画上は、2022年度中には現在の2倍から3倍ぐらいの規模を目指しています。

そういった中、情報セキュリティマネジメントに関しても、よりご安心いただけるような体制を構築することが重要です。具体的には、情報セキュリティ委員会を設置して、全社的な活動に発展させていきたいと考えています。

— LRMのコンサルティングを受けたご感想をお話しください。

非常に満足しています。スケジュール通り、スムーズに認証を取得することができましたし、ISMS認証取得までの過程においても、事業スピードを落とすほどの負担はかかりませんでした。

— 担当コンサルタントの対応はいかがでしたか。

石濱さんは、細かいところまでしっかり丁寧にサポートしていただき、非常に助かりました。

— 今後のご期待がございましたらお話しください。

今後はPマークの取得もございますし、事業や組織を拡大していく中で、変えなければいけない部分が出てくるものと考えています。『セキュリオ』を活用してISMSを運用しつつ、新たな取組をする際には、改めてLRMに相談に乗っていただきたいと思います。

FastLabel株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ FastLabel株式会社様のWEBサイト
※ 取材日時 2022年2月