株式会社AI Shift様 – 顧客事例 –

サイバーエージェントの次代を担う会社を目指し、ISMSを取得しました。私達のビジョンを共有したLRMのサポートに感謝しています

株式会社AI Shiftは、自社のビジョンとミッションを実現するための環境整備として、設立1年目のスタートアップ期にISMS・ISO27001認証を取得しました。目的を達成するためのパートナーとして同社が選んだのはLRM。取り組み前の不安、LRMにサポートを依頼した決め手、取り組みの成果を、代表取締役社長・米山結人氏、プロダクトサクセスチーム・早坂直氏が語ってくれました。

(株式会社AI Shiftについて)

『AIと人間の融合』をコンセプトとし、「”人”だからこそ出来る仕事」に注力できる社会を目指して、AIに関連する新規ビジネスにチャレンジする会社である。
2016年7月、サイバーエージェント社のAI研究開発組織「AI Lab」と共に、企業とユーザーのコミュニケーションを円滑化することを目的としたチャットボット『AI Messenger』を開発。同サービスは、ユーザビリティを意識した初期設定、回答精度を飛躍させるチューニング、成果に向き合うカスタマーサクセスを特徴とし、自動対応、有人対応の双方によって導入企業の顧客満足度向上とコスト削減を実現している。すでに小売業、メーカー、銀行など、大手企業、金融機関のカスタマーサポート、コールセンターに多数の導入実績を持つ。今後は音声対話領域のプロダクト開発に注力し、オペレーター業務の効率化、カスタマーエクスペリエンスの向上を図っていく。またプロダクト開発と運用で蓄積したスキル、ノウハウを生かし、企業におけるAI導入を支援するコンサルティング事業や、AI製品の販売代理業など、AI関連のサービスを幅広く提供している。
本社;東京都渋谷区。設立;2019年8月。従業員数;約20名(2020年6月現在)。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社は2019年11月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
金子さんと二宮さんにご担当いただき、2020年3月末に審査を終え、4月にISMS認証を取得しました。新型コロナウィルス感染拡大による影響を受ける直前で第2段階審査まで終えることが出来たのは、LRMにサポートしていただいたおかげです。

将来を見据えた社内体制の整備と、顧客への安心感の訴求を目的としてISMS認証を取得

— ISMS認証を取得した理由をお話し下さい。

弊社がISMS認証を取得した理由は以下の通りです。

(1)将来を見据えた社内体制の整備
弊社は、サイバーエージェントグループの次世代を作れる、中核的な役割を担える子会社になることを目指しており、長期的には年商数百億円規模の企業へと成長させたいと考えています。それに伴い従業員数も飛躍的に増えていくことになります。そのためには対外的な信用を得る必要があります。まだ設立1年の会社ですが、現段階でしっかり環境整備をしておくことが大切であると考えました。

(2)顧客への安心感の訴求
AIやチャットボットのビジネスではお客様から非常に多くのデータをお預かりします。そのデータの中には、個人情報を初め、多くの機密情報が含まれます。そのため導入されるお客さまから、ISMS認証やプライバシーマーク(以下、Pマーク)を取得していますかというお問い合わせが増えていました。このようなお客さまにご安心いただくには、ISMS認証取得がわかりやすい指標になると考えました。

以上、2点がISMS認証を取得した理由です。

— ISMSを取ることに対し、社内から抵抗や危惧される声はございませんでしたか。

社内からの抵抗はありませんでした。むしろ会社のビジョンや事業内容を考慮すればISMS認証取得は事業の成長、ひいては会社の成長につながるということを、従業員全員が理解していました。

— ISMS認証取得に取り組む上で、サイバーエージェントグループとしての制約や決まりごとはございましたか。

ほとんどありません。サイバーエージェント社自体が社員の自主性を重んじることで成長してきた会社です。子会社の運営に関しても、親会社の意向を反映するような強制力が意思決定や行動に働くことはありません。今回もコンサルティング会社の選定から取得に至るまで、弊社が主体となって取り組みました。

「企業としての責任を果たすためには、制約が増えても仕方がないと思っていた」

— これから急成長を目指すITベンチャーにとって、情報セキュリティの強化が足かせになるというお気持ちはありませんでしたか。

企業経営において最も大事なことは、お客さまに良いプロダクトやソリューションを届けて成果を出し、しっかり対価を得ながら、信頼を積み重ねていくことです。情報セキュリティマネジメントはその取り組みの一環であると考えています。情報セキュリティ事故が数多く発生する中、しっかり管理運用している会社が選ばれ生き残っていくものと考えられますので、このタイミングでISMS認証を取得したことは正解だったと考えています。

ただ、取り組む前は、運用ルールが増えることによって、業務上の負担が大きくなるのではないかという危惧はありました。私のイメージとしては、かなり制約が増えるだろうと思っていましたので、LRMと話をする前は非常に不安でした。しかしLRMから、弊社の仕事の進め方や事業内容、従業員の特性なども考慮したアドバイスをいただいたことで、当初思っていたほど多くの制約には至りませんでした。我々の仕事の進め方を変えることもほとんどなく、セキュリティを強化できたという認識を持っています。

— つまり企業としての責任を果たすためには、多少犠牲になる部分が出てきても仕方がないというお考えだったのでしょうか。

そうですね。仕方がない部分はあると考えています。ただ、犠牲を最小限にする努力も必要です。今回はLRMのサポートがあったため、それが実現出来ました。

依頼の決め手はスタートアップに併走してもらえる実感

5、6社比較した中で最も併走していただけるという期待が持てました

5、6社比較した中で最も
併走していただけるという期待が持てました
(代表取締役社長・米山結人氏)

— コンサルティング会社選定の経緯をお話し下さい。

コンサルティング会社の選定は一般的によくある手順を踏みました。自分達でインターネット検索した他、グループのセキュリティ部門から案内された会社など、併せて6社候補に挙げて比較しました。各社にご来社の上プレゼンしていただき、それぞれの特徴を伺い、見積もりをいただいて、最終的にLRMに依頼しました。

比較したコンサルティング会社の中でLRMが最も我々に併走していただけそうだと感じました。理由は3つあります。

(1)サポート体制
弊社は従業員数約20名の会社ですので、ISMSの専任者を立てることは出来ません。
主担当の早坂も本職はプロダクトのカスタマーサクセスを担当しています。
LRMには、弊社のような小人数の会社を、しっかりサポートしていただける体制が整っていると感じました。

(2)過去のサポート実績
これまでのサポート実績を拝見すると、弊社と同じような業界の会社へのコンサルティング実績が豊富でした。

(3)問い合わせに対する対応
契約前に細々とした相談をさせていただいた際のレスポンスの早さと丁寧な対応が、弊社のカルチャーや仕事の進め方と相性が良いと感じました。

— 契約前にされたご相談とはどのようなことですか。

コンサルティング内容に関することが中心です。どのような場合に追加料金はかかるのか、などサポートメニューについて確認をしました。またISMSに関する不明点や不安についても質問しました。弊社はグループ会社と同じフロアで仕事をしていますので、そのような執務環境でもISMS認証が取れるのか、遠隔地の業務委託先を認証範囲に含めなければいけないのか、審査を含めISMS認証を取るために全体でどれぐらいの費用を見込んでおけば良いのかなど、様々な質問をしました。

それらの質問は、LRMだけではなく、比較したコンサルティング会社全てに同じようにしました。中にはその段階で料金が発生する会社もありましたし、レスポンスが良くない会社もありました。それに対してLRMは、その段階から一生懸命ご対応下さいました。半年に渡るプロジェクトに一緒に取り組むパートナーとして、同じ方向を向いて取り組めるコンサルティング会社であると感じました。

— 認証取得までの期限は設けておられたのですか。

特に厳密な期限は設けていませんでしたが、出来るだけ早く取りたかったので、金子さんと二宮さんにお願いして、スケジュールを詰め気味でご対応いただきました。事前に情報収集した上で、大体半年ぐらいで取得できれば良いと思っていましたが、結果として5ヶ月で取得できましたので感謝しています。

グループのルールを踏まえた上でAI Shift社独自のルールを構築

— サイバーエージェントグループにはグループとしての情報セキュリティルールがおありだと伺いました。ISMS認証構築にあたって、グループ全体のルールは踏まえる必要があったのでしょうか。

当然、私達もグループの一員ですし、複数のグループ会社とオフィスを共用していますので、整合性が取れたルールを構築する必要がありました。そのため、LRMとの打ち合わせにはサイバーエージェント社のセキュリティ部門から2名、法務から1名の合計3名が同席しました。

— 御社側の体制をお話し下さい。

弊社からは米山・早坂の2名がISMS事務局としてプロジェクトの中心を担いました。そこにサイバーエージェント社から3名、LRMのお二人が入り、常時7名で打ち合わせをしながらISMSを構築していきました。また、必要に応じて弊社の各事業部の代表者が参加することもありました。

ISMS認証取得後も、継続的な改善活動に取り組む上で認識合わせが出来るよう、サイバーエージェント社の法務部門とセキュリティ部門を交えた定期的な話し合いの場を設けました。

— グループのセキュリティルールと整合性を図る作業はご苦労されませんでしたか。

いいえ。特に苦労はしませんでした。打ち合わせには、AI Shift、サイバーエージェントグループ、ISMS、それぞれについてきちんと理解し、その場で判断できる人間が揃っていましたのでスムーズに進めることが出来ました。

— 御社の業務に合わせることで、グループ全体のルールに反してしまうようなところはございませんでしたか。

ありません。サイバーエージェントグループの子会社は多様なビジネスを展開していますが、その中で最も機微な情報を扱っているのが当社です。そのためグループの規定を最低限のものとして弊社独自のルールを構築していきました。そのために費やした労力は大きかったと思います。

ルールの明確化による効能;業務の効率化と従業員の意識向上

— ISMSのルールを構築し運用を開始したことで、業務の手順が変わったことはございますか。

いくつかあります。例えばパソコンの管理です。就業後は、各自キャビネット内に鍵を掛けて保管するというルールを適用しました。また、名刺管理をクラウド型名刺管理ツール『Sansan』、ドキュメントデータの管理を『Google Drive』に統一することで、プレゼンテーション資料など紙の書類やクラウド化した名刺は当日中に処理することを徹底しました。

— 具体的にはどのようなところが良かった点ですか。

情報を探す作業が楽になりました。保存場所をクラウドに統一したことで、結果的にそこにアクセスすれば全員が全ての資料を見ることが出来るようになりました。名刺も同様です。情報を探す時間が劇的に削減され、業務の効率化に繋がりました。

またISMSのルールを構築して良かった点がもう1つあります。従業員一人ひとりの意識が大きく変化したことです。
提案資料やサービスサイトにISMSの認証マークを記載していることで、我々自身が体現していかなければいけないという意識が芽生えました。経営者にとっては、最も重要な成果だと感じています。

文書類のフォーマットや実情を踏まえたアドバイスが短期取得の要因に

— 今回の取り組みでご苦労されたことはございましたか。

やはり、文書類を作成する作業が大変でした。ただ、LRMが用意しているフォーマットを活用し、弊社の運用に合わせて肉付けしたり、割愛したりして作成することが出来ました。

始まる前は、マニュアルを含めた文書類は全て、ゼロから作る必要があると思っていました。しかしフォーマットをご提供いただき、そのフォーマットに沿って議論しながら、どのような取り組みにすれば良いか、またはどのような表現にすれば良いか、弊社の実情に合わせてアドバイスをいただけましたので、比較的スムーズに進めることが出来ました。

また、初回の打ち合わせで、我々がどのような想いで、どのような事業に取り組んでいるか、サイバーエージェント社の中でどのようなポジションを目指しているか、どのような人材が在籍しているかなど、弊社の実態を細かくヒアリングしていただけました。2回目以降の打ち合わせでは、その実情を理解していただいた上で議論が出来ましたので、基点をぶれさせずプロジェクトを進められる要因となりました。

専任者がいない中での準備や確認は、本当に大変でした。その中でも、5ヶ月という短期間でISMS認証が取得できたのは、LRMのきめ細かいサポートがあったからだと感じています。

— 打ち合わせはどのぐらいの頻度で実施されたのですか。

ルールを構築するまでの期間は約3ヶ月間でしたが、打ち合わせは、毎週、ないしは隔週で実施しました。あまり期間をおかず、一気に進められたことも短期間で取れた要因の1つだったと考えています。こういったプロジェクトは間延びさせてしまうと、非常にやりにくくなりますので一気にやってしまいたいと考えていました。柔軟にご対応いただけたことも良かったと思っています。

— コロナウィルス感染症拡大の影響は受けませんでしたか。

コロナウィルス感染症拡大の影響は受けませんでした。3月末に審査を終えることが出来ましたので、LRMとの打ち合わせから、審査機関による外部審査まで、当初の予定通り全て対面で実施することが出来ました。社内で作業を進める上で困った時は、電話やチャット、ビデオ会議システム『Zoom』を使って、LRMに相談しました。様々なツールを駆使してレスポンス良くご対応いただけたことが、結果的にコロナウィルス感染症拡大の影響を回避する要因にもつながりました。

— 文書作成以外のサポートについてはいかがでしたか。

文書作成以外で良かったのが、セキュリティ教育クラウド『セキュリオ』のeラーニング機能です。情報セキュリティ支援サービスで、テストも実施することが出来ます。とても使い易くてスムーズに実施することが出来ました。

従業員教育や社内研修と言えば、マネジメントスキルなど仕事に直結するカリキュラムが一般的です。情報管理という、どちらかというと守備に関する範囲は、各自、一般的に推奨されている仕事の進め方や手順を踏まえましょうというのが、基本的なスタンスかと思います。これまでは弊社もそのようなスタンスでした。しかし、ISMS認証取得にあたって、情報セキュリティマネジメントに関する必要最低限の知識や意識が浸透している状況を整えることが重要であるというアドバイスをいただき、その重要性を認識しました。実際に意識の浸透を図る上で『セキュリオ』は非常に役に立ちました。

— どのような点が使い易かったですか。

従業員への周知が簡単にできることと、各従業員の教育実施状況や結果が可視化して管理出来る点です。ISMS認証取得にあたって、従業員の意識を高め、知識レベルを底上げするには非常に便利なツールでした。

実はこの『セキュリオ』の存在は、コンサルティング会社を選定する上で、参考にした要素でした。決め手にこそなりませんでしたが、このようなツールをご用意されている点は、弊社のプロジェクトの進め方にも合致していると感じました。実際に使ってみると、非常にスムーズに使えて便利でした。

— 内部監査員代行はいかがでしたか。

客観的な視点でチェックしていただく一方で、弊社の事情を考慮した改善のアドバイスをいただきました。出来ていないところに関しては、どのように改善していけば良いかが明確にイメージすることが出来ました。プロフェッショナルな立場でドライに評価していただきつつ、改善に向けて寄り添っていただける二面性に価値があると思いました。

— そのような準備を経て迎えた審査はいかがでしたか。

審査の直前も、書類の書き方や事務的な処理など、細々としたことを、チャットや『Zoom』を使ってやりとりさせていただきました。初めての経験でしたが、不安を取り除いた上で臨むことが出来ました。

「あの時に取り組んでおいて良かった」と言えるようしっかり運用していきたい

— ISMS認証取得後、対外的な効果を感じることはございますか。

セキュリティを重視されているお客様は大概、商談の最後にPマークかISMSについてご質問されます。その際、自信を持って取得していますと言えるようになりました。

— 情報セキュリティの取り組みについて、今後の展望をお話し下さい。

弊社だけではなく、サイバーエージェントグループ自体、若いメンバーが多い組織です。その若さ特有の勢いや柔軟な考え方が強みである反面、外部からの見え方として、きちんとした組織とは認知されにくい部分があります。それは、私達がビジョンやミッションを達成する上で弱点となります。ISMS認証を取得したことで、情報セキュリティマネジメントに関しては、このような運用をしっかりやっていますと明確に示す基盤を作ることが出来ました。
今後は、将来的に「あの時に取り組んでおいて良かった」と言えるよう、しっかり運用していきたいと考えています。

LRMとISMS認証取得に取り組むまでは、社会的責任を果たすにはある程度の制約を受けることは仕方がないと思っていました

LRMとISMS認証取得に取り組むまでは、社会的責任を果たすには
ある程度の制約を受けることは仕方がないと思っていました
(右;米山氏 ※左から弊社二宮、金子)

ビジョンを共有し、同じ視点に立ってプロジェクトを進めることが出来た

— LRMのコンサルティングを受けたご感想をお話し下さい。

LRMのお2人には、弊社の掲げているビジョンを共有し、同じ視点に立ってプロジェクトを進めていただきました。

LRMにコンサルティングを依頼した目的は、ISMSを取得することです。しかし、より大きな視点から言えば、ISMS認証取得は、私達が目標とする会社作りや成長に向けた1つのステップです。LRMはそのような視点から、毎回のようにアドバイスをして下さいました。私達としても、ただ単に認証を取るだけではなく、どのような会社を作りたいか、どのような成長をしたいかといったビジョンを見据えた上で、従業員教育を含めた継続的な運用をイメージしながらルール作りに取り組むことが出来ました。

— LRMへの今後の御期待があればお話し下さい。

今後の運用面でもLRMに併走していただきたいと考え、ISMS認証取得後、ISMS運用・改善サポート『情報セキュリティ倶楽部』を契約しました。従業員教育や内部監査のサポートに加え、私達の成長や変化に合わせた運用を明示していただけることを期待しています。

株式会社AI Shift様、お忙しい中ご対応いただきありがとうございました。今後ともどうぞよろしくお願いいたします。

株式会社AI Shift様、お忙しい中ご対応いただきありがとうございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社AI Shift様のWEBサイト
※ 取材日時 2020年6月

  • サービス開発・提供
  • 短期取得
  • シェアオフィス/バーチャルオフィスで取得
  • 社内の運用を変えない
  • 50名未満
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら