株式会社ディライト様 – 顧客事例 –

AI電話『ディライトアシスタント』の外販スタートをきっかけにISMS/ISO27001認証を取得した株式会社ディライト。しかし過去には、シェアオフィスで仕事をしていることを理由に取得を断念した経験もありました。
同社の事業体制や情報セキュリティに対する考え、さらにISMS/ISO27001認証取得に至った経緯などを、代表取締役・案野裕行氏に伺いました。

お客様が抱える課題とISMS構築アプローチ

• SaaS事業を海外にも拡大するために管理体制を整備したい
• 以前他コンサル会社にシェアオフィスでは取得ができないと断られた
• 従業員が1人の会社である

• LRMのひな形をベースに、規模を拡大しても運用を維持できるルールを構築
• 打合せ後にLRMからTodoリストを送ってもらい、対応漏れをなくす
• 今後の引継ぎを見据え、Salesforceにメール情報が蓄積される仕組みを構築

LRMコンサルティングサービスへの感想

• 杓子定規に一般論を押し付けるのではなく、自社を理解し柔軟な発想で適切なアドバイスをくれた
• 初回打合せ後に、バックオフィスからフォローが来るなど、体制がきちんとしていた
• 『セキュリオ』にはISMS運用の仕組みが一通り整っていた

（株式会社ディライトについて）

日本に“スポーツビジネス”という概念が知られていなかった2000年、AIやブロックチェーンに関する深い造詣を持つ元総合商社マン・案野裕行氏がアメリカのラスベガスにて創業。現在は、｢スポーツをする人は美しい。体を動かすことで、前向きで明るい気持ちになり、健康で自由な生活を謳歌する｣という考えの実践と推進を理念に掲げ、スポーツプラットフォーム事業を展開する。具体的には、プロスポーツ選手の移籍交渉を行う代理人として、野球、バレーボール、サッカー、バスケットボール、ラグビーの選手をサポートしつつ、宮島マラソン、皇居マラソン、ケップハーフマラソン（カンボジア）などプロではないものの運動習慣がある層をターゲットにしたマラソン大会を主催。一方では、これまで培ったノウハウとスキルを活かして、企業経営者をサポートするビジネスエージェントサービスも展開中だ。主に上場企業の経営者への支援メニューとして、業務プロセス改革やデジタルトランスフォーメーションの実行支援と、SaaS商品の開発・提供を展開。今後は特にSaaS事業に注力し、健康社会の実現に貢献しながら、グローバル展開を目指していく。
本社；東京都千代田区。設立日；2000年6月。社員数；0名(2021年3月現在)

---

（『ディライトアシスタント』について）

もともとは主催するマラソン大会の事務局用に開発したシステムを、新型コロナウィルス感染症の拡大を機に、外部向けにサービス化。代表の案野氏自らが持つ語学力とITスキルを活かして、世界中のノーコード・ローコード開発ツールを吟味し、最適な組み合わせで構築することで、圧倒的な低価格を実現している。自らがユーザーとして磨いた使いやすさも相まって、2020年6月に外販をスタートし、わずか半年の間に、全国紙のキャンペーン事務局や上場企業といった大規模組織から、小規模店舗まで幅広いユーザーに導入が進んでいる。

---

（『ディライトフィット』について）

運動の効果をアプリで処理しブロックチェーンに書き込む仕組みを取り入れた健康ポイントプログラム。運動すると健康ポイント（通称『元気ポイント』）がたまり、景品や現金と交換出来る。運動習慣がない人にも運動をしてもらいたいという想いから開発をスタートし、2018年12月にローンチ。今後は『ディライトアシスタント』と連携させ、ユーザーに日々の運動を促す機能も実装していく計画もある。コロナ禍の終息を待って、本格的な展開を図り、自社の理念実現を目指していく。

— LRMへのご依頼内容をお話し下さい。

株式会社ディライトは、2020年6月末、LRM株式会社にISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。LRMさんと一緒に審査に向けた準備をし、2021年1月にISMS認証を取得しました。

— ISMS認証を取得された理由をお話し下さい。

弊社がISMS認証を取得した理由は、今後、SaaS事業を拡大していくための環境整備です。AI電話『ディライトアシスタント』や、健康ポイントアプリ『ディライトフィット』は、企業や自治体の情報セキュリティを一部弊社にお任せいただく形になりますので、今後、事業を拡大するには、社内の管理体制の整備は必須条件であると考えています。
特にAI電話は、現時点で上場企業への導入数も増えていますし、全国紙のキャンペーン事務局でも使っていただいています。商談の際には必ず、個人情報の管理方法を気にされますので、社内の管理体制がしっかりしていることを示す手段としてISMS認証を取得しました。

— ISMS認証の登録範囲はSaaS事業に関わる業務だけですか。

いいえ。全事業を登録範囲としています。

— 御社は様々な事業を展開されていますが、全てお一人でされているのですか。

外注スタッフを除けば、私一人です。現在弊社は、プロスポーツ選手の代理人業務、マラソン大会の主催と運営業務、ビジネスエージェント業務の3つを行っています。それぞれの分野でプロフェッショナルが求められますが、季節ごとに業務量の波が激しいため、固定給の社員は雇用出来ません。特に、プロスポーツ選手の代理人業務とマラソン大会の業務は世界各地のパートナーと必要に応じて業務委託契約を結んでいます。

— SaaS商品の開発はどうされているのですか。

私自身、技術者なので、出来ることは自分でやります。私は慶応大学で人工知能を専攻していましたのでC言語を使えます。また総合商社時代は情報システム部門に配属されましたのでCOBOLも知っています。また、最近はノーコードの流れで設定画面だけでシステムを組むことが出来ますので、他にエンジニアを雇うのは最低限にしていますし、また、外注した部分は私が巻きとってメンテナンスできるようにしています。世界中のツールを吟味して、サービスごとに最適に組み合わせ、連携がうまくいかないところだけ、自分でコードを書いて繋げています。

— 管理業務も全てお一人でされているのですか。

経理や労務を含めて全て私とCFOでやっていますが、クラウドツールを活用して出来るだけ簡素化しています。全ての業務について言えることですが、私自身の作業時間が増えると会社が回らなくなってしまいますので、極限まで作業時間を減らせるよう仕組み化しています。現在は、業務系、管理系合わせて、40個弱のクラウドツールを使っています。

— 情報セキュリティに関連して、意識して取り組まれてきたことはございますか。

前提として私は、大手総合商社では、情報システム部の他に、金融部門に所属し証券会社の情報システムと、その後、外務員資格を取得し営業に従事した経験があります。また独立後は、スポーツエージェントの実務能力を活かして、人材紹介会社の業務委託を受けてフルコミッションの営業に従事し、Pマーク取得のプロセスにも参加した経験がございます。こういった過去の経験から、個人情報を含め、どういった情報が機密情報にあたるのかは、かなり整理して管理出来ていたと考えています。

特に、独立した後は、国内外を問わず、幾度も事業パートナーや取引先によって背信行為を受け、事業継続が危機に陥ったこともありました。そういった経験から、基本的には性悪説に則った管理をしてきました。

— 本当に大事なところは外部に任せないということですか。

人の管理に関してはそうです。末端の、量が多い業務だけを委託するというのが基本です。もちろん任せなければいけないこともありますので、その時は業務プロセスを細切れにして複数の委託先に委託し、委託先同士を会わせないようにしています。

— 内部の業務上のリスク管理に関しては、どのように対処しているのでしょうか。

社内のセキュリティに関しても、性悪説に立ち、“情報は漏れるもの”という前提に立ち、漏れないように業務プロセスを設計しています。クラウドツールを駆使しているのもそのためです。しかもSalesforce.comをはじめ、料金が高くても信用のおけるツールを使っています。

自社開発のSaaS商品についても同様です。設計段階で一箇所だけチェックすればセキュリティを維持出来るようなシステムにするなど、コンパクトな設計にすることで情報が漏れるリスクを抑えています。最悪なことがあったとしても、サービスが長時間停止するような結果には至らないような設計になっています。

大手企業や金融機関はじめ、様々なところでセキュリティ事故が発生し問題になっていますが、それらの原因の8割は設計に問題があると私は考えています。弊社が完璧だとは考えていませんが、コンパクトで最先端の設計にしてある分、問題が発生してもスピーディに対応することが可能です。

— ルール作りはどのような形で進みましたか。

LRMが用意した雛形をベースに構築していきました。
基本的には弊社のルールですので、弊社の業務とかけ離れたものにならないよう、LRMとの打ち合わせでは自分の考えはしっかり伝えました。実態とかけ離れたルールを作ってしまうと、仕事がやりづらくなります。そうなると後で困るのは自分です。結果的にISOの要件を満たした上で、今後、規模を拡大したとしても、弊社のオペレーションも維持出来るマネジメントシステムを組むことが出来ました。

— その過程でご苦労はございませんでしたか。

ISOの要件を満たすためにどうすれば良いかは悩みました。私はISMSの専門家ではありませんので、自社のオペレーションがISMSの要求を満たしているかどうかを判断することが出来ません。雛形に書いてあることと、普段自分がやっていることが違う場合は、LRMにどうすれば要件を満たせるのか相談し、アドバイスをしていただきながら進めていきました。

LRMさんは、杓子定規に一般論を押しつけるのではなく、弊社の状況をよく理解して、柔軟な発想で適切なアドバイスをして下さいました。自分で規格を参照してやっていたら、とてつもない時間がかかったと思います。専門家に教えてもらうことで工程を削減出来ました。

— スタッフ教育はどうされたのですか。

LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を利用しました。

— 『セキュリオ』を使うメリットはありましたか。

『セキュリオ』は、eラーニングのコンテンツが用意されており、受講結果が記録されるところが便利です。
また、eラーニングだけではなく、ISMSを運用するための仕組みが一通り整っています。例えば、以下の2点は便利だと思いました。

（1）最新情報のアップデート
情報セキュリティの事故事例や、関連法令の改定情報などの最新ニュースが配信されます。GDPRなど海外の法令を含め、自分で情報を追いかける必要がありません。

（2）委託先管理の仕組み化
委託先がどのように情報を取り扱っているかを調査するためのアンケート機能があります。しかも士業向け、システム開発会社向けなど、委託先の業種ごとにテンプレートが用意されています。さらに回答結果は管理画面上で一元管理することが出来ます。

この他にもISMSの管理機能が一通り揃っています。これも会計や労務系のツールと一緒です。
現状、弊社は私一人の会社ですが、このように仕組み化しておけば、100人に増えてもオペレーションを変えずに運用していくことが出来ます。

— 使いやすさはいかがでしたか。

ツールとしては使い易いと思いました。あえて注文を付けるとするなら英語対応ぐらいです。海外でスタッフを雇う可能性はあります。教材コンテンツだけではなく、全面的に英語対応していただけると嬉しいです。

— 内部監査はどうされましたか。

現在、弊社は私一人なので、内部監査員を確保することが出来ません。そのためLRMに内部監査員を代行して頂きました。一通りチェックして、不安を解消した上で審査に臨むことが出来ました。

— 審査はいかがでしたか。

審査はLRMにご紹介いただいた審査会社に依頼しました。2社ほど候補を挙げて頂いた中から、弊社の事業内容や事業環境をご理解いただけそうな会社に依頼しました。

結果としては、現場を見て、しっかり理解した上で審査をしていただいたと感じました。弊社の業務にも非常に高い関心を示していただけたので、私もしっかり説明をさせていただきました。

— 結果としてどのようにご評価されましたか。

しっかりした体制が構築出来ているので、次回以降も引き続きやっていただきたいといったコメントを頂きました。
特にコロナ禍においてリモートワークへの関心が高まる中、すでにその体制が整っていることについて高い評価を頂きました。

— ISMS認証に取り組まれたご感想をお話しください。

ISMS認証を取ることの大変さを改めて実感しました。頭ではわかっていましたが、実際にやってみると大変さを痛切に実感しました。「この打ち合わせ、あと何回ありますか？」といった質問を何回かした記憶があります。

もちろん、最初の打ち合わせでは、きちんとスケジュールやプロセスをご説明いただきました。しかし私が売上を作らなければ会社が成り立ちません。その中で時間を工面するのは大変でした。

— そこがお一人でやる難しさでしょうか。

そうですね。宿題を出されても、打ち合わせをしている途中でお客さんから電話がかかってくると、すぐ忘れてしまいます。打ち合わせの後、LRMさんがToDoリストをまとめて送ってくれたのは、助かりました。

— ISMS取得の前後で、何か変化はありましたか。

私自身、情報セキュリティに対して注意が向くようになりました。例えば、クラウドサービスを選定する際も、ISMS認証などを取っていないところのツールは採用しませんし、試しに使うとしても重要なデータは置かないようになりました。

また、外部とのコミュニケーションも変わりました。例えば大手企業でISMS認証を取得している会社でも、セキュリティインシデントを起こすことがあります。弊社の周辺でもそういうことは起きていて、これまでは「今後は気を付けて下さい」と言って済ませていたところを、報告書を提出してもらうなど、正当な手続を取れるようになりました。
大手企業でも職種などによって情報セキュリティに対する意識や知識のレベルにバラツキがあります。意識の低さや、知識のなさから気付かないこともありますが、それは弊社のみならず、その企業にとっても不利益に繋がります。
インシデントが明らかになった時に、それによってどのような弊害がもたらされるのか、どのように対処すべきかを、こちらから指摘出来るようになったことはISMS認証取得の1つの成果です。

— 今後の展望をお話しください。

今後は、ITの技術もどんどん進展していきますし、コロナ禍による影響も含め、社会は急激に変わって行きます。ISMSの運用に関しても、弊社に出来ることをコツコツやりながら、状況の変化に応じて必要なアップデートを続けて行きたいと考えています。

— LRMのコンサルを受けたご感想をお話しください。

弊社のような規模と業態の会社でもしっかりと対応していただけたことに感謝しています。オンラインからオフラインまでビジネスの幅は広いし、シェアオフィスだし、世間一般的には理解しづらい面もありますので、面倒臭いと思う人もいるかも知れませんが、LRMはしっかり対応してくれました。

初回の打ち合わせが終わった後、バックオフィスの方から電話で、「今日の初回ミーティングどうでしたか？」というフォローがありました。そういったことを含め、会社としてきちんとしているという安心感を持って取り組むことが出来ました。

— 他社様の事例を見つけて問い合わせたときの期待は満たすことが出来ましたか。

問い合わせた際は『セキュリオ』の存在は知りませんでしたので、期待以上の要素もありました。

— LRMの担当はいかがでしたか。

穏やかな人柄で話しやすかったです。その上で、本当に必要なことは言っていただける。「こうしなければ取れない」といった杓子定規なことは一切言わず、「普通はこういうことが多い」といったサジェスチョンを与えて下さったので、私も柔軟に考えることが出来ました。

— 今後のご期待をお話しください。

ISMS認証取得後、運用支援サービス『情報セキュリティ倶楽部』と『セキュリオ』のご提案をいただいていますので、今後、契約をするつもりです。私自身、マーケティングや営業など、事業拡大に繋がる業務に集中したいと考えています。そのためには、社内の整備や管理にかける時間と労力は出来るだけ削減する必要があります。ISMSの運用はLRMにサポートしていただきたいと考えています。

株式会社ディライト案野様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社ディライト様のWEBサイト
※ 取材日時 2021年3月