株式会社クリエイターズマッチ 様 – 顧客事例 –
インターネット広告のバナー制作関連事業で急成長を遂げる株式会社クリエイターズマッチは、成長に合わせた事業環境を整備するためにISMS/ISO27001認証を取得しました。サポートをLRMに依頼したきっかけは、LRMがホームページに掲載する認証取得事例でした。認証取得の理由や、取得までの経緯を、取締役・岡村佳浩氏に伺いました。
記事index
インターネット広告のバナーおよびランディングページ制作の領域に特化したビジネスを展開するベンチャー企業。事業の柱は、創業事業である制作事業と2011年以降にスタートしたASPサービス事業である。制作事業では、大手広告代理店を中心に、月間約1,500本~2,000本もの制作を受注。大量案件の安定的な受注・制作を可能とするのは、日本全国の制作会社・SOHO・フリーランスなど様々な業態のクリエイターらとの連携体制である。独自の評価・選定基準を設けて一定水準を満たすクリエイターのみと契約するとともに、全国自治体との提携によるクリエイター育成に取り組みながら、安定した品質を確保している。また、バナー広告制作の進行管理業務に特化した業務管理用のグループウェア『AdFlow』を独自開発し、受注件数が増加するほど煩雑化するディレクション業務を飛躍的に効率化することに成功している。その『AdFlow』を、社外向けのクラウドサービスとして提供するのがASPサービス事業だ。制作現場で発生するやりとりとファイルを一元管理する同サービスは、ワークフローを最大40%効率化するだけではなく、ナレッジの共有に活用することも可能。バナー広告の媒体ごとの広告効果を管理するための『Banner Pool』と合わせ、大手広告代理店や制作会社、広告主への導入が進んでいる。
設立:2007年。所在地:東京都渋谷区。社員数:約20名(2015年3月現在)。
ISMS/ISO27001認証新規取得コンサルティングを依頼
— LRMへのご依頼内容を教えて下さい。
弊社は2014年5月、LRMにISMS/ISO27001(以下、ISMSと表記)認証の新規取得コンサルティングを依頼しました。
コンサルティングは6月からスタートし、2015年1月末、無事に認証取得が完了しました。主担当の幸松さん、アシスタントの奥冨さんの2名体制で対応していただきました。
事業の成長に合わせた環境整備のためISMS/ISO27001認証を取得
広告代理店などのディレクター業務の工数を最大40%削減できる業務管理ツール。クリエイターズマッチ急成長の推進役となった。
『AdFlow』のホームページ
— ISMS認証取得の目的を教えてください。
ISMS認証取得の目的は、事業の成長に合わせた環境整備です。
弊社は、設立以来、制作事業で持続的な成長を遂げて来ましたが、2011年9月の『AdFlow』ローンチを機に成長スピードが一気に早まりました。その中でナショナルブランドと言われる企業との取引が増え、そのようなお客様とも継続的に安心してお取引いただける環境を整備する必要が生まれました。特に『AdFlow』導入を検討するお客様からは、情報セキュリティの管理体制に関する問い合わせが増え、中には開発現場の視察に来られるケースもありました。そのような状況の変化によって、社内に管理体制を整えなければいけないという自覚が芽生え、ISMS認証の取得を検討しはじめました。また、営業や経理、法務の業務において、外部から情報セキュリティの管理体制の開示を求められた時に発生するコストを大幅に削減できる効果も期待しました。
具体的に動き始めたのは2014年に入ってからです。2014年2月にベンチャーキャピタルからの増資を受けIPOを視野に入れ始めた段階で、明確なルール作りが避けられない課題となり、ISMS認証取得に向けた取り組みを開始しました。
— ISMS認証取得に向けて、まず取り組んだことをお話し下さい。
まずは認証を取得するために何が必要なのかがわからなかったため、知人に相談しました。人材の研修や資格取得の支援など、企業の様々な活動をサポートする会社の方で、ISMS認証の取得支援も行っています。ただし、その会社が行うサポートは、集合型の研修に何度か参加して、マニュアルや台帳など申請に必要な文書類を自分たちで作成するスタイルでした。そのスタイルは、全メンバーが常にフルで業務を抱えているような弊社には向いていません。
そこで、改めてコンサルティング会社を探し始めたところ、目に留まったのがLRMのホームページでした。
ITベンチャーの認証取得事例を読み、LRMにコンサルティングを依頼
— LRMのホームページの、どういった点に注目されたのでしょうか。
弊社が注目したポイントは以下の通りです。
(1)クラウドサービス利用の業務環境でも認証取得が可能
最もインパクトが強かったのが弊社と事業内容が近いITベンチャー企業・チャットワーク社の事例です。クラウドサービスの利用を禁止せずに認証取得を実現したという内容でした。
私はISMS認証の取得では、USBメモリなどの外部メモリはもちろん、クラウドサービスの使用が全面的に禁止されるものと考えていました。理由は、前職時代にPマークで禁止されていたことと、ISMS認証を取得しているお客様から「ISMSのルールで決まっているからクラウドサービスは使えない」とよく言われるからです。
しかしチャットワーク社の事例は、認証取得にあたってルールを決めた上でクラウドサービスを利用し続けているという内容でした。ISMS認証を取得するために業務に支障が出るほどの制限を加える必要がないことがわかって安心するとともに、それが可能なら弊社もそうしたいと考えました。
(2)ドキュメント類の作成支援
ISMS認証取得のために必要な主要文書の原案を作成していただけることも非常に重要なポイントでした。
弊社は20名規模の会社です。ISMS認証を取得するために専任スタッフをアサインする余力はありません。私と各部門長が兼務して業務時間を割いて準備を進めることが前提条件でした。しかも作業量は、1日か2日徹夜すれば何とかなるレベルではありません。その負担を、何とか頑張りが維持できる範囲にとどめたいと考えていました。それを実現するためのポイントはドキュメント作成でした。私は前職時代、所属していた企業がプライバシーマーク(以下、Pマークと表記)を取得した時の担当者がドキュメント作成で苦労しているのを間近で見ていました。その負担を軽減できることは、LRMに依頼する強い動機になりました。
(3)世代が近いコンサルタント
あくまでもイメージですが、認証取得のコンサルタントはご年配の方が多いという印象を持っていました。しかし幸松さんをはじめ、LRMのコンサルタントは私と世代が近く、話しやすいと感じました。年配の方には、例えばクラウドサービスの便利さを説明しても、ご理解いただけないだろうと思います。
以上の3点から、LRM1社に絞って問い合わせ、面談しました。
— LRMの対応はいかがでしたか。
問い合わせに対する幸松さんからの返信やご来社いただくタイミングなど、対応が非常に迅速で好印象を持ちました。
実際に面談してみると、幸松さんの理解力の高さを感じました。弊社のコンディションをいちいち説明する必要がありませんでした。
ホームページを見た時に注目した3点についても確認し、正式にLRMに依頼しました。
予想以上のスムーズさで認証取得が完了
ドキュメント作成まで任せられるならLRMに頼まない理由はないと思いました
(取締役・岡村佳浩氏)
— 認証取得に向けた社内体制を教えて下さい。
ISMS担当者として私が全体を取り仕切り、社内各部署(制作部門、営業部門、AdFlow部門、経営管理)の部門長4名と連携しながら進めました。LRMとのミーティングにはこの5名で参加し、情報資産の洗い出し、ベースラインリスク分析、リスク対応計画の作成などを行いました。
— ISMS認証を取得する上で目指していたことはありますか。
取得期限として目標に掲げたのは2015年2月です。理由は毎年訪れる審査の時期を、出来るだけ閑散期にしたいと考えたからです。年間を通して業務量比較的少ないのが2月です。2014年6月スタートで、翌年2月の取得であれば、スケジュール的にもちょうど良いと判断しました。結果的には1月末の取得だったので、ほぼ思惑通りの結果となりました。
— 認証取得はスムーズに進みましたか。
全体的に、私たちが考えていた以上にスムーズに進みました。作業的に弊社側の負担が非常にすくなかったことが最大の要因だと考えています。
ポイントはやはり、ドキュメントの作成です。弊社側のタスクはLRMとの打ち合わせ(2週間に1回ぐらいの1時間~2時間ぐらいのミーティング)と、その際に決められないことがあった場合の宿題でした。そうやって情報資産やリスクの洗い出し、リスク対策などを決めたものを、LRMにドキュメントとしてまとめてもらったため、全体を通しての作業量は想定していたものよりはるかに少なかったと感じています。また、クラウドサービスの活用を含め業務フローを変える必要がなかったことも、スムーズにいった要因の一つでした。
前職時代のPマーク取得で担当者が苦労していた状況を知っていたこともあり、途中で「こんなに楽をしていて、本当に取れるのか」と思ったほどスムーズに取得できました。
ISMS/ISO27001認証の取得による効果・効能
— ISMS認証を取得したことによる効果・効能をお話し下さい。
以下の2点で、業務の省力化・合理化が実現しました。
(1)顧客に対する情報開示の省力化
クライアントから、情報セキュリティの管理体制の開示を求められた際に、「ISMSに準拠」と一言書けば済むので、大変楽になりました。これまではクライアントに納得していただけるよう文書にまとめる必要がありましたが、それが正しいのかどうか、自信を持てない部分もありました。ISMS認証を取得したことで、自信を持って回答できるようになりました。
(2)ツールの一元化による管理業務の合理化
ISMS認証取得を通じ、メールはGoogle Apps、ストレージは会社で契約したDropboxのアカウントのみ、など業務で使えるクラウドサービスを1分野1サービスに限定しました。パスワード管理ツール、ウィルスソフトなども同様です。
利用できるツールを一元化することで合理的な管理が可能となり、規模が拡大しても、引き継ぎ時のトラブルを防止したり、不正を抑止したりする効果が期待できます。
これまではツールの選定や管理を個人の裁量に任せていても目が届く規模でした。しかし今後、企業規模が大きくなると、人の出入が激しくなり、管理しきれなくなってきます。弊社のようなITベンチャーにとって、クラウドサービスは業務を円滑に進める上で不可欠な存在ですが、しっかり管理することは、企業責任を果たす上でも重要です。
期待通り。ITベンチャー企業に最適なコンサルティング会社
— LRMのコンサルティングに対するご評価をお話ください。
LRMは、クライアントの意図を汲み取って柔軟に対応してくれるという点で、弊社のようなITベンチャー企業に最適なコンサルティング会社だと思います。計画通りに取得することが出来ましたし、そのために血のにじむような努力や苦労をする必要はありませんでした。クラウドサービスなどのツールの利用については、業務効率を落とすことなく、しっかり管理できる状態を作ることが出来ました。また、隔週で行うミーティングは、弊社の希望に沿ってコアタイムを避けた遅い目の時間帯に対応していただけたということもやりやすい要因の1つでした。
LRMは、ホームページを見て期待した通りのコンサルティング会社でした。選んで良かったと考えています。
ホームページを見て期待した通りの成果を得ることが出来ました
(左;岡村氏 ※右から弊社奥冨、幸松)
今後のビジョンとLRMへの期待
— 今後に向けたビジョンをお話し下さい。
ISMS認証取得企業に相応しい状態を維持管理することです。企業規模が大きくなれば伴う責任も大きくなります。
弊社は、その責任を果たす上での環境整備の一環としてISMS認証を取得しました。しかし、ISMS認証を取得しているだけでは不十分です。認証を取得している企業として当たり前のことが当たり前に出来る状態を維持していくことが今後の課題であり、ビジョンです。
そのために力を入れていかなければいけないのは、全社的な意識の共有です。私自身、ISMSの全体像を把握できたのは、ルールが一通り決まって文書も揃った段階でした。LRMと一緒に、1つ1つルールを決めている時は、断片的な理解に留まっていました。審査を迎えるにあたって、対応に向けて改めて文書を読み通した時に、決めたルールの必要性が実感を伴って理解できたり、各文書の役割やそれらが必要な理由が腹落ちしたりするなど、全体像が把握できました。その体験から感じることは、自分で汗をかかないと必要性を実感することは難しいということです。
ISMSは現場のスタッフにとっては、ポジティブに取り組みたがるものではありません。意識を浸透させて維持管理するということは非常に困難です。オフィスの中から紙類が減ったり、「これはISMS上問題にならないか?」という質問が増えたり、少しずつ社内の意識は変わっていますが、本当に浸透するには時間がかかります。これから少しずつ役割を分担してもらうなどして、徐々に浸透させたいと考えています。
また、私は、ISMSの本質は、事業継続のためのリスク管理だと理解しています。そういう意味では、より弊社の実情に応じたリスク管理策を詰めて行く必要があります。PDCAを回しながら、弊社のリスク管理の仕組みとして有効に活用できるよう、しっかり運用していきたいと考えています。
— LRMへのご期待をお話し下さい。
ISMS認証取得企業に相応しい状態を維持管理していくためのサポートを期待しています。
20人ぐらいの規模の企業では、社内の人間がいくら口うるさく言っても、なかなか言うことを聞いてもらえません。
定期的に外部から刺激を与える必要があります。全社員に向けて他社で起きた情報セキュリティ事故の事例などを直接お話しいただけば気持ちが引き締まるはずです。LRMには今後も、ぜひサポートをお願いしたいと考えています。
株式会社クリエイターズマッチ様、お忙しい中、有り難うございました。
株式会社クリエイターズマッチ様のWebサイト
※ 取材日時 2015年3月
- Web制作・運用
- 広告・マーケティング
- 担当者の負担軽減
- 上場
- 社内の運用を変えない
- 50名未満
- 東京
- 複数拠点