株式会社クロスシー様 – 顧客事例 –
株式会社クロスシーは、2017年8月、ISMS/ISO27001認証を取得しました。LRMにコンサルティングを依頼された際、担当者の話を聞いて取り組み姿勢が変化したそうです。取り組み姿勢を変えた要因や、認証取得に至る経緯、
さらにその成果などについて、代表取締役社長・渡辺大介氏、総務を担当するマーケティンググループ・土持みずき氏、安洋洋氏にお話を伺いました。
記事index
「日中間のクロスボーダービジネスを最大化する」をミッションとする。日本の優れた商品やサービス、文化などの情報を発信し、国をまたいだ情報格差を是正することで、より良い訪日体験を提供する。具体的には、次の2つの事業を展開している。1つは、中国消費者向けメディア事業。Weibo、WeChatなどのSNSに自社アカウントを持ち、分散型メディアを展開。インフルエンサーを用いたライブ配信では、1配信あたり、数十万規模の閲覧者を獲得することもある。もう1つは、小売業やサービス業を始めとする大手企業、自治体などをメインクライアントとするインバウンドプロモーション支援事業だ。SNSを活用した集客やブランディングのサポートから、中国国内における広告展開にいたるまで総合的にサポートしている。
「観光立国 x 地方創生」の切り口で、日本の再活性化を目指す。
設立;2010年。本社;東京都台東区。従業員数;約30名(2017年10月現在)。
LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
株式会社クロスシーは、2017年4月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
ISMS認証取得の準備は、非常に効率的に進行し、2017年8月31日、無事に認証取得を完了しました。
LRMの幸松さんご自身が社長として実践している仕組み化の話は、ISMSにとどまらず大変参考になりました。
LRMの話を聞いて変わったISMS/ISO27001認証取得の目的
LRMの話を聞いてISMSに取り組むことが社内の仕組み化の入口になると考えました
(代表取締役 社長・渡辺大介氏)
— ISMS認証を取得した理由をお話し下さい。
弊社がISMS認証取得に取り組んだ直接のきっかけは、お客様の取引条件を満たすためでした。2017年4月、あるお客様の新規案件を受託する条件として、同年の9月までに取得するよう要請があり、その要請にお応えするためにISMS認証を取得することになりました。
ただ、要請されたお客様から紹介されたLRMの幸松さんと話をした際に、ISMSに対する認識と認証取得に取り組む目的が大きく変わりました。
— それまでは、ISMSをどのようにご認識されていましたか。
ISMSに限らず、情報セキュリティ系の認証は、取得によって手間が増えるだけだと考えていました。要請を受けてLRMに相談した時点では、どちらかというと消極的な気持ちでした。
そのイメージは私が以前勤めていた会社での体験に基づいています。以前勤めていた会社は、プライバシーマーク(以下、Pマーク)を取得していました。取得したタイミングが私の在職中だったため、私は取得前と取得後の両方の状況を知っています。取得前と比べて取得後はセキュリティレベルの向上よりも、ルールが増えて業務の手順が煩雑になっただけという印象がありました。
ISMSも第三者機関が定めた規格をベースとした認証であることから、Pマークと似たようなものだと考えていました。しかし、幸松さんの話を聞き、事業規模が拡大する前に社内のルールをしっかり整備するには有効な手段であると認識を改めました。そして、それ以降は、業務や管理の手順一切に関する社内統一ルールの整備という目的を掲げ、ISMS認証取得に取り組み始めました。
— LRMのどのような話がご認識を変えましたか。
LRMが取り入れている社内管理の仕組みに関する話です。LRMでは、発生し得るミスを想定した上で、ミスが発生し得ないワークフローを組み、業務手順を全てマニュアル化していました。例えば情報セキュリティに関する従業員教育は、まず入社時点で研修を行い、さらに禁止事項をスライドにして共有しています。そのスライドを見ればスキルや経験を問わず、誰でもできるようになっています。その上で問題が起きた場合の対処の仕方が決められており、その都度、改善されていく仕組みになっていました。弊社とLRMの業種は異なりますが、PCと机があれば業務ができることや規模感など、共通点は多く、参考になりました。
面倒な業務フローを組むとミスが生じ、それが情報漏えいなどに繋がります。手順がシンプルなら、ミスは起きません。LRMを参考にすれば仕組みが整うと考え、ISMS認証取得に取り組む姿勢が変わりました。
弊社の社内にあるものは、PCと机の他に、契約書や顧客のパンフレットといったものがメインです。従って勤怠管理から備品の管理まで、社員の行動の全てが情報資産と関わっています。ISMSの構築・運用に取り組むことで社内の仕組み化の9割は完成すると考えました。
組織の拡大と多様化で抱え始めていたジレンマ
— ISMS認証を取得する前の社内管理についてお話下さい。
弊社は、2016年以降、一気に組織化を進めた会社です。それまでは、創業メンバーに近い少人数で事業を行っていたため目が届きやすく、厳密な管理を必要としていませんでした。
しかし事業成長に伴い、2016年に雇用を本格化し、短期間で約30名にまで規模を拡大したことで、管理体制の整備や仕組み化、ルール作りが必要なタイミングに差し掛かっていました。
— 短期間で従業員数が増えたことによる具体的な問題や弊害などはございましたか。
大きな問題や弊害はありませんでしたが、従業員が増えるに従って社内管理の難しさは感じ始めていました。弊社は学生インターンや中国人留学生のアルバイトを卒業と同時に正社員として登用して規模を拡大してきました。そのため平均年齢が若く、外国籍の社員もいて価値観が多様なため、管理は一層難しくなっていました。育った文化が異なるため、著作権や個人情報に対する考え方も全く異なります。
例えば、キャンペーンの際に収集する個人情報は、キャンペーン終了後、完全削除する必要がありますが、それがなかなか理解できない人もいます。このような場合、なぜそれが必要なのかを教えるところから始めなければいけません。ただ、生まれ育った環境で育まれた考え方は、簡単に変えることができません。何度言っても伝わらないというジレンマを抱えていました。
しかしLRMが実践しているように、マニュアルを読めば誰でもできるレベルにまで落とし込んだ仕組みさえ整えれば、こういったことは極限まで減らすことができます。「出来ない=マニュアルを読んでいない」ということなので、評価の基準も明確です。
— コンサルティング会社の選定に関しては、LRMの他にも検討はされましたか。
弊社の取締役には、大手企業の取締役を兼ねた者もいることから、通常は相見積もりを取っていますが、今回は相見積もりは取りませんでした。幸松さんの話を聞いて、ISMSの本質は仕組み作りであり、その結果が認証であると考え方が変わりました。パートナーはLRM以外に考えられませんでした。
“仕組み化”に向けて取り組んだ社内環境の整備
LRMのメソッドを取り入れたことで管理業務の効率化が進みました
(マーケティンググループ・土持みずき氏)
— 今回、ISMS認証取得を通した仕組み作りにおいて、具体的にはどのような取り組みをされましたか。
振り返ってみると取り組んだことの多くは環境整備です。具体例を以下に挙げます。
(1)管理体制、人員名簿、ネットワーク構成図、資産台帳の整備
管理体制を決め、人員名簿、ネットワーク構成図を作成しました。
また、会社で購入した備品などの資産状況を台帳化して管理できるようにしました。これまではPCも信頼ベースで担当者ごとに判断して購入しており、社内に何台あるかということを把握している者がいませんでした。現在は、台帳化して現物にナンバリングして管理しています。
(2)オフィス内の整理整頓
見積書や契約書・提案書のコピー、クライアントの会社案内やパンフレットなどの保管ルールがなく、オフィスの至るところに散乱していたものを処分しました。契約書の原本など、保管すべきもの以外は、一部を電子化して残し、他は破棄しました。
(3)クリアデスク・クリアスクリーンの徹底
離席時の机上に書類などの情報を記録したものを放置しない(クリアデスク)、PCの画面を他人がのぞき見たり、操作したりできる状態のまま放置しない(クリアスクリーン)ことを徹底するルールを適用しました。
(4)クラウドサービス活用ルールの統一
弊社は従来より、以下のようなクラウドサービスを積極的に活用していましたが、活用する上でのルールが決まっていませんでした。
① クラウドストレージ
従来、業務で作成するドキュメント類のデータの保管には、「Dropbox」と「OneDrive」、2つのクラウドストレージサービスを併用し、使い方は各自に任せていました。しかし、管理が煩雑化していたため、フォルダ構成やファイル命名のルールを設け、サービスは「Dropbox」に統一しました。これにより、ファイル管理がシンプルになりました。また、関連してデスクトップにファイルを置かないルールも徹底することにしました。
② プロジェクト管理サービス
弊社では、プロジェクト管理にオンラインプロジェクト管理サービス「Backlog」を採用しています。しかし、プロジェクトによっては「Backlog」を活用していない場合があり、タスクの設定漏れが発生することがありました。
その状況を踏まえて、全てのプロジェクトで「Backlog」を使うことを全社共通ルールとしました。キャンペーンの場合は、収集した個人情報の削除をプロジェクトの最終工程に組み込みました。それにより個人情報の削除をし忘れるということは撲滅されました。
(5)ウィルス対策ソフトの統一と定期的なアップデート
全てのPCに指定したウィルス対策ソフトをインストールし、毎日決まった時間にアップデートするというルールを適用しました。さらにそのルールがしっかり遵守されているかどうかを、担当者が抜きうちでチェックすることにしました。
(6)誓約書・秘密保持契約書の整備
従業員の入社時及び退職時に交わす誓約書・秘密保持契約書を完備しました。
(7)給与明細発行業務の効率化
給与明細は個人の「Dropbox」の専用フォルダに格納するルールにしました。それによって発行業務が非常に効率化できました。
以前はPDFにしてPWをつけ、メールに添付して送付していました。1人ずつPDFにPWをつけ、アドレスを確認しながら送る作業は非常に手間と時間がかかっていました。しかも送信側と受信側の行き違いが生じる可能性もあります。「Dropbox」は履歴が残るので、メールのような行き違いが発生することはありません。従業員が増えても、工数は最低限に抑えることが出来ます。
(8)中国の法令チェックに関するルール
全社員に対し、中国の法令に関するニュースを見つけたら即座に社内で共有し、全クライアントに伝えるというルールを適用しました。
今回、ISMS認証取得にあたって、法令管理台帳を作成しましたが、弊社の事業に関連する法令は、日本の法令だけではありません。中国の法令も常にキャッチアップしておく必要があります。日本の法令はLRMのISMS運用更新サポートを契約することで最新版が定期的に入手できますが、中国版は自分たちで整備しなければいけません。中国の弁護士にもサポートしてもらっていますが、中国の法律は成立から施行までのリードタイムが短いため注意が必要です。
例えば新広告法は成立から1か月で施行されました。このような動向は、クライアントのプロモーション活動に多大なる影響を及ぼしますので、一刻も早く情報を掴んでクライアントと共有する必要があります。
(9)インシデント報告の義務化
ここまで例に挙げたような環境整備やルールの適用を行った上で、何か問題が起きた時にはどんなに小さなことでも即座に会社に報告することを義務付けました。例えばオフィスの鍵やスマートフォンが見当たらない時も、気づいた段階ですぐに報告を上げてもらうようにしています。ただ「報告しなさい」「共有しなさい」と言うだけでは、心理的に隠したがる傾向にはあるので、インシデントそのものよりも、それを隠すことの罪の大きさを訴えるなど、モラル教育を徹底しました。
パトロールの定期的な実施でルールを定着
定期的なパトロールを実施
したことでルールの浸透もスムーズに進みました
(マーケティンググループ・安洋洋氏)
— ご説明頂いたようなルール決めはどのような手順で行いましたか。
LRMが用意したひな形をベースとし、幸松さんのヒアリングに答えながら決めていきました。迷ったときはLRMが実施している施策を参考にしました。4月にスタートして6月までにはルール決めが一通り終わり、従業員教育も完了していました。
— 従業員教育はどのような形で行いましたか。
LRMのeラーニングシステム『LIXIS』と集合研修を組み合わせました。まずeラーニングと同じ教材を使った集合研修を行い、その後、各自に改めてeラーニングで復習してもらいました。
重点的にレクチャーしたことは著作権の考え方です。例えば自治体のPRプロジェクトでは、イベントを取材して動画を作成・配信することが頻繁にあります。この際、アニメのキャラクターなどが画面に映り込むことがありますが、そのまま配信するには、事前に権利者の許可を取る必要があります。ところがスタッフによって著作権に対する考え方が異なるので、その考え方を統一するために重点的にレクチャーしました。
— 全体を通してご苦労されたことはありましたか。
大変だったことは、適用したルールを各社員に浸透させることです。環境整備と仕組み化によって、効率化したり、
ミスを防いだりできる部分もありますが、社内の整理やセキュリティ対策ソフトの更新、インシデント報告など、各自が意識的に取り組まなければいけないこともあります。それらを浸透させるには、一度レクチャーするだけではなく、何度も言い続ける必要がありました。ISMS認証が取得できなければ、決まっていた大手企業との契約もなくなるといった話をして危機感を持たせることもありました。
ただ弊社の従業員は、基本的に素直な性格の持ち主が揃っているので、比較的早い段階で定着しました。
幸松さんに内部監査を実施してもらった際にも是正項目はほとんどなく、審査もスムーズに終えることができました。
社内への浸透のさせ方もLRMに教えてもらいました。ISMS認証を取得するためにルールを作ってマニュアル化することまでは簡単ですが、そのルールを定着させることは簡単ではありません。
— ルールを徹底するために取り組んだことをお話し下さい。
従業員研修を行った後、担当者を決めて定期的なパトロールを実施しました。クリアデスク・クリアスクリーンも最初は「忙しいのになぜやらなければいけないのか」という抵抗もありましたが、3か月ぐらいで定着しました。
今ではパトロールを月1回、当番制で実施しています。しかも、社員が自発的に取り組んでいます。社員の意識の高まりとともに、インシデント報告も上がってくるようになりました。
ISMS認証取得に取り組んだおかげで、社内の意識やモラルを統一させることが出来ました。また、管理組織や人員名簿、ネットワーク構成図なども揃えることが出来て、会社としての体制作りが出来た実感を持つことが出来ました。
雑談の中にも仕組み化に繋がるヒントが発見できたLRMのコンサルティング
— LRMのコンサルティングを受けたご感想をお話し下さい。
LRMは、スタートアップ企業の気持ちをよく把握しているコンサルティング会社だと感じます。プロジェクト進行が非常に効率的で、無駄な作業をする必要がありませんでした。第2段階審査が8月初旬に実施されたので、実質的に4か月間で一通りの作業は終わっていました。さすが効率化のプロフェッショナルだと感じました。
雑談の中にも社内管理の仕組み化に繋がるヒントがあり、大変勉強になりました。例えばクラウドストレージの管理ルールに関しては、直接ISMSとは関係ない部分もあります。しかし、これらのルールを適用したことで、一歩踏み込んだ仕組みが実現できました。ISMSの枠に留まらない環境整備が出来たことで、今後の事業拡大に向けた基盤づくりが出来ました。
今まで揃っていなかった要素が全て揃い、普通の会社になったという実感があります
(右2人目から;渡辺氏、土持氏、安氏 ※右は弊社幸松)
今後のビジョンとLRMへの期待
— 今後のビジョンをお話し下さい。
弊社は現在、急激な成長フェーズに差し掛かっています。現在は中国をターゲットとした事業を展開していますが、
今後は台湾を始め、東南アジア、欧米へと横展開していく計画です。
その計画が着実に進めば、東南アジアや欧米の出身者を採用する必要があります。それによって組織はさらに多様化していくはずなので、現段階で仕組み化が出来たことは幸いでした。今後の事業展開をスピーディに進めることが出来ます。
— LRMへのご期待があればお話し下さい。
弊社は今後も継続してLRMのサポートを受け続けます。既にISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。関連法令などISMS関連の情報のキャッチアップをしなければいけませんし、ISMSを運用する上での相談相手も必要です。何か課題が発生した時には即座にLRMに相談させていただくつもりです。今後ともよろしくお願い致します。
株式会社クロスシー様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ 株式会社クロスシーのWEBサイト
※ 取材日時 2017年10月
- 広告・マーケティング
- 従業員のセキュリティ意識向上(外国籍含む)
- 短期取得
- 50名未満
- 東京
- 1拠点