株式会社エクレクト様 – 顧客事例 –
株式会社エクレクトは設立2年目の2019年4月、今後のさらなる事業拡大に備えISMS/ISO27001認証取得の取り組みを開始し、10月上旬に認証を取得しました。約6ヶ月に及ぶ取り組みについて、普段はフルリモートで働く取締役・松﨑太氏、経営企画・川崎恵祐氏、マネジメントDivリーダー・伊藤広尚氏の3名様に東京本社にお集まりいただいて話を伺いました。
記事index
(株式会社エクレクトについて)
CRMプラットフォーム『Zendesk』の公認パートナーとして導入支援を軸とした事業を展開する。業務分析や業務フローの整理、基幹システムとのつなぎ込みなど、各顧客に最適化した形での導入を支援する。2019年1月、国内初のインプリメンテーションパートナー契約を締結。さらに同年11月にはプレミアインプリメンテーションパートナー契約を締結している。SaaS領域で経験を積んできた創業メンバーが、オフィシャルパートナー制度が始まる前からZendesk日本法人と信頼関係を築き、円滑なコミュニケーションを取りながら知見を深めてきたことが大きな強みだ。Zendesk社からは高難度な案件を紹介されることも多い。クライアントサーバーからクラウドサービスへ移行する流れはCRM領域も例外ではなく、同社も急成長を遂げている。創業からわずか2年で従業員数は30名へ到達しようとしている。本格的な新卒採用もスタートするなど、今後もさらなる成長が見込まれている。本社;東京都世田谷区。設立;2017 年 12 月。従業員数;約25 名(2019年11月現在)。
LRMへのご依頼内容;ISMS/ISO27001認証取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
弊社は2019年4月、LRMにISMS/ISO27001認証新規取得コンサルティングを依頼しました。担当者は三崎さんと松原さんです。お二人のサポートのもとで準備を進め、2019年10月上旬、ISMS認証を取得しました。
自主性を重んじる文化のもと、クラウド活用によるフルリモートワークを実現
「リモートワークとクラウドの活用が制限されることは避けたいと思いました」
(経営企画・川崎恵祐氏)
— はじめに御社の働き方について伺います。御社は東京本社の他に大阪にも拠点を構える一方で、フルリモートワークを導入していると伺いました。フルリモートワークを導入している理由をお話し下さい。
リモートワークが弊社の企業文化に合致しているからです。弊社は基本的に自主性を重んじており、働く時間や場所は自分で管理するものであるという考え方が定着しています。特に弊社の業務はデスクワーク中心ですので、インターネットと端末があれば、いつでも、どこにいても仕事は出来ます。その選択肢の1つとして、東京と大阪にオフィス環境を整備しています。
— クライアントや社員同士のコミュニケーションはどうされているのですか。
クラウドサービスを最大限に活用しています。クライアントへの導入支援から社内の打ち合わせまで、コミュニケーションは全てWeb会議やチャットなどのクラウドサービス上で行っています。今回のISMS認証取得でも、ビジネスコラボレーションツール『Slack』の中にISMSのルームを作って従業員に周知するなど、クラウドツールをフル活用しました。
信用力の確保とセキュリティ意識の統一を目的にISMS/ISO27001認証を取得
— ISMSを取得した理由をお話し下さい。
弊社がISMS認証を取得した理由は2つです。
(1)対外的な信用力の確保
弊社の事業では個人情報を扱うこともありますし、顧客からはサービスのみならず、提供する弊社の情報セキュリティ体制を問われることが多々ありました。その中で、創業間もない我々は、顧客指定のセキュリティチェックリスト記入対応など、真摯な対応をしてまいりましたが、やはり、ISMSなどの第三者認証がないことから、やりとりに時間がかかることがあり、早くISMSの認証取得が求められると認識していました。
(2)社内におけるセキュリティ意識の統一
現在弊社では社員が急増しています。その社員達は中途入社が多く、前職までの経験が多様であるため情報セキュリティに対する意識やスキルのレベルも一様ではありません。新卒採用も本格化していますので、情報管理の重要性や、
機密情報の保全に対する意識を高める必要が生まれており、そのベースとしてISMS認証を取得することにしました。
様々な背景を持った従業員全員で守るべき指標としてISMSは有効です。自主性を重んじると言っても何をやっても良いということではありません。会社設立から2年目の段階で守るべきルールの基盤をしっかり作って浸透させておけば、
今後人数が増えても組織は回っていくはずです。弊社の事業はコンサルタントや営業の人数が売上に直結しますので、持続的な成長を目指すには増員が必要です。近い将来にはカスタマーセンターを設ける計画もあり、拠点も増えますので、予め体制を整備しておくことも必要でした。
— フルリモートワーク体制下でのISMS認証取得についてご不安はありませんでしたか。
いいえ。現在は様々な会社がフルリモートワークを導入していますので、ISMS認証を取得すること自体に不安はありませんでした。ただ実際にフルリモートワーク体制でISMS認証を取得した経験はありませんので、このような体制下でいかにセキュリティを担保するかはLRMに教えていただきました。
— ISMS認証を取得するための社内体制をお話し下さい。
過去にISMS認証取得を経験した社員4名でISMS事務局を立ち上げて取り組みました。それぞれ過去に在籍した企業でセキュリティ委員会の委員やリーダーを務めた経験がありましたので、いつまでに何をすれば良いかは概ね把握していました。従って取り組み自体では、さほど苦労はしていません。
時代に合わせたマネジメントシステムを構築するためLRMにサポートを依頼
「『セキュリオ』は実施記録が
残るなど管理がしやすくて
便利でした」
(マネジメントDivリーダー・
伊藤広尚氏)
— ISMS認証取得のご経験を持たれた方が複数おられても、コンサルティング会社のサポートは受けられた方がよろしいですか。
そうですね。時代は変わっていますので以前と全く同じではありません。我々がISMS認証の取得に従事した時期は、現在ほどリモートワークやクラウドサービスが普及していなかった時期です。ISMSの規格も変わりましたので、その規格に合わせた文書を作成するためには専門家のサポートは必要でした。リモートワークやクラウドサービスの活用はある意味では弊社の強みだと考えています。ISMS認証を取得したからと言ってその強みを抑制するようなルールは作りたくありませんでした。現在の業務運用をISMSの要求事項に沿ってチェックし、その上で統一ルールとして文書化してしっかり運用していく。
そのフローを自分達だけで構築することは困難だと考えてLRMに相談しました。
— LRMとはそれまでに何らかの接点がおありだったのですか。
LRMは以前から『Zendesk』のユーザー企業であり、弊社と取引がありました。
弊社の創業者の1人が西宮に住んでおりまして、LRMを担当しており、LRMの社長の幸松さんとはよく話をしていました。その中で、セキュリティやインターネットビジネスに対する考え方に共感を抱いていたこともあり、ISMS/ISO27001認証を取得することになった際に、真っ先に相談し、依頼しました。
コンサルティング会社を選ぶと言っても知らないところに声を掛けて話を聞いたところで、どういう基準で評価して良いかわかりません。何らかの接点を持っているところがあれば相談しやすいし、ゴールの共有もしやすいです。
弊社の場合はたまたまですが気軽に相談できる相手がいて幸いでした。
ルールの運用状況を検証するフローを会社の仕組みとして持つことが重要
— ISMSの審査に向けた準備で最も軸となる作業は何でしょうか。
基本はルールを作ることと、そのルール通りになっているかどうかを検証することの2点ですね。社内ルールを明確に定めて文書化することは当然ですが、そのルールがきちんと運用されていることを検証するフローを、会社の仕組みとして持っているか持っていないかは非常に重要です。弊社は現在、3ヶ月ごとにチェックするフローを運用しています。
— ルール化する前は、実際、危うさを感じることがありましたか。
顕在化した問題があったわけではありませんし、概ねやるべきことは出来ていたという自負はあります。ただ、それはISMSのフレームワークを踏まえたものではなく、各自が何となくやっていたことです。現在在籍している社員のほとんどが中途採用です。従って弊社に入社するまでに何らかの形でISMSを勉強していたはずですし、悪意を持って個人情報を漏らすということも考えられません。ただ、それを担保できる要因はありませんでした。ISMS認証取得によってルールが明文化され社内共有が出来ましたし、外部に対しては社会的な要求事項に沿ってセキュリティを担保しながら業務を進めていることを証明できるようになりました。
— ISMSを構築したことで、業務運用上これまでと変わったところはありませんか。
従来と大きく乖離したようなことはありませんでした。オフィスの入り口のカードキーなど物理的な施策も含めて、
やるべきことはほぼ網羅していました。ISMS認証取得は、その事実を確認する機会となりました。
— フルリモートワークやクラウドセキュリティの利用なども制限がかかることはありませんでしたか。
はい。特別これまでと違うことをしたり、業務が煩雑になったりしたことは一切ありません。その上できっちり社内ルールを設けて運用し続けられる情報セキュリティマネジメントの仕組みを作ることが出来ました。
ISMS認証取得による副次的な効果としては、お客様からご依頼いただくセキュリティ調査への対応が簡略化されました。『Zendesk』のユーザー企業は比較的大規模な企業が多いので、そういった調査を受ける機会は少なくありません。ISMS認証取得によりその工数を削減できるようになりました。
— ルールを浸透させる工夫もおありですか。
ISMSの文書だけではわかりにくいため、現場の社員に該当する部分だけを抜粋してわかりやすくまとめたハンドブックを作成しました。また、新入社員が入社した時には都度ルールを周知しています。さらにクラウドサービス上にセキュリティチェックリストをアップして、各自で振り返られるようにしています。
最新テンプレートの提供と、規格に沿った文書作成のための適切なアドバイス
「LRMのコンサルタントは
堅苦しくなくフランクに話が出来て良かったです」
(取締役・松﨑太氏)
— ISMS認証取得に向けた取り組みの中で、LRMからはどのようなサポートを受けましたか。
最新のISMS規格の要求事項に合わせたテンプレートのご提供と、実際に審査を受ける際の審査対応に関するアドバイスを頂きました。
ISMS認証の審査にもトレンドがあります。我々が前職時代にISMS認証を取得した時から環境が劇的に変化し、審査項目も細かくなってきたはずです。その最大の変化が、我々が最大限に活用しているクラウド環境です。それを文書に落とし込む際の“お作法”と言うのでしょうか。我々が普段やっていること自体は間違えていないはずですが、それを文書に落とし込む時にどういう表現が適切なのかアドバイスをいただきました。
— 従業員教育や内部監査はどうされたのですか。
従業員教育と内部監査もサポートしていただきました。
従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用しました。集合研修のように、従業員全員の時間を合わせたり、全員が集まれる場所を用意したりする手間と労力を省くことが出来ました。
— 『セキュリオ』の使い勝手はいかがでしたか。
非常に使いやすかったです。eラーニングの活用は初めてでしたが、一人一人の実施状況や成績が把握出来るなど管理がしやすい点が良かったです。 また実施記録が残せるので、審査の際に求められた時もそのまま使えました。
— 内部監査のサポートはどのような形で提供されたのですか。
内部監査員を代行していただきました。第2段階審査前の内部監査は、東京、大阪の2拠点ともLRMに代行していただいて実施しました。社内リソースが不足していたので、このようなサポートがあって助かりました。
— LRMのコンサルティングを受けたご感想をお話し下さい。
打ち合わせが堅苦しくなくて良かったです。非常にフランクにお話をしていただきました。
またプロジェクトの進め方も取り組みやすい要因の1つでした。社内で文書作成などの作業を進める中で疑問・質問が生じた際は『Chatwork』を使いましたし、文書管理はクラウドストレージサービス『box』を使いました。メールではなくクラウドツールを活用したコミュニケーションは弊社の文化に合致していました。
「特別これまでと違うことをしたり、業務が煩雑になることなく、運用出来る
情報セキュリティマネジメントの仕組み作りが出来ました」
(右から;川崎氏、伊藤氏、松﨑氏)※左から弊社 松原、三崎
組織が拡大する中で自由度を確保し続けるため『情報セキュリティ倶楽部』を契約
— 今後の課題がございましたらお話し下さい。
今後、従業員が増え、より多様性のある組織になりますので、現在と同等、あるいはそれ以上の品質でセキュリティを担保していくことが課題となります。特に新卒採用を本格化していますので、社会人経験のない若い社員の育成も重要です。
— LRMへのご期待がございましたらお話し下さい。
人が増えて拠点が増え、組織が拡大すれば業務も増えて行きます。LRMにはそのような環境の変化に適合したルール作りの相談をさせていただくために、ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。
人が増えれば思いがけないようなインシデントが必ず発生し、そのたびにルールを厳格化することになってしまいます。例えば、袖机にカギをかけなければいけないというルールがある場合、そこから機密情報が漏れてしまえば、袖机そのものを撤去したり、執務室への私物持ち込みが禁止されるということになるかもしれません。そうなると、セキュリティは高まるかもしれませんが、業務の効率を下げてしまう可能性があります。弊社としては、そういった場合でもこれまでと同様に自由度を確保したいと思っていますので、インシデントが起きる前に対策を取っておきたいところです。しかしISMS事務局のメンバーだけでは目が届かないところも出てきますので、LRMにサポートしていただきながらセキュリティ品質を維持していく考えです。また、今後は内部監査員を自前で育てていく計画もありますので、そのためのサポートもお願いします。
株式会社エクレクト様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ 株式会社エクレクト様のWEBサイト
※ 取材日時 2019年11月
- システム開発・運用
- コンサルティング・士業
- 社内の運用を変えない
- 50名未満
- 東京
- 複数拠点