株式会社Poetics様 – 顧客事例 –
※2023年5⽉1日に株式会社Empathは、「株式会社Poetics」へと社名が変更になりました。また、それに伴い下地様は転籍されており、2023年5月1日より株式会社Poetics(旧Empath)の代表取締役は山崎はずむ様のみに変更されております。
株式会社Poeticsは、LRMのサポートを受け、2022年6月にISMS/ISO27001認証を取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、下地 貴明氏・中西 美鈴氏・飯田 瞬太氏のお三方にお話をお伺いしました。
- お客様が抱える課題とISMS構築
-
- 新サービスローンチに合わせて、営業機会を損失しないために認証を取得したい
- 個人情報に該当しない営業ノウハウなども含めて体系的に管理したい
- すでに取得したPマークが形骸化している面もあるので、きちんと運用できる仕組みにしたい
- 実際の業務に沿って運用ベースでルールを検討
- ルールを煩雑にしないように、自分たちができる・守れる範囲で策定
- 『セキュリオ』と『メールZipper』というツールを導入することで社員に負担をかけずにセキュリティ対策
- LRMコンサルティングサービスへの感想
-
- 対応をすべきことの優先づけから、ゴールまで明確にしてもらえた
- 「この時までに、この程度やっておけば大丈夫」というような実務に沿ったアドバイスをもらえた
- コンサルタントの変更があったものの、スムーズに認証取得ができた
(株式会社Poeticsについて)
株式会社Poeticsは「人文知と科学で21世紀の詩学をつくる」をテーマに、人文知(とりわけ哲学、文学研究の知見)と諸科学の知見をクロスオーバーさせながら言語・音声などコミュニケーションに関わるAIを開発するスタートアップ。2022年6月からは商談解析AI「JamRoll」( https://jamroll.poetics-ai.com/)を提供開始、月次売上平均成長率が27.5 %を超えるなど、急成長している。
これまで国内ではB-Dash Campのピッチコンテストにて優勝、IVS Launchpadにて入賞、国内のみならずTech in Asia Singapore、ICTSpringなど国際的なピッチコンテストでも10度以上優勝しているほか、Google Launchpad Accelerator日本第一期生として採択されている。また経済産業省が主導する「J-Startup」プログラムにも選抜されている。
設立:2017年10月。本社:東京都渋谷区。従業員数:15名。(2022年10月時点)。
記事index
- LRMへのご依頼内容:ISMS/ISO27001認証新規取得コンサルティング
- Pマークに加え、ISMS認証を取得し、個人情報には該当しないが重要な情報資産も管理したい
- ISMSは継続していくことが重要。自分たちのできる範囲で運用していける仕組み作りを
- 認証取得だけで終わってしまうのではなく、セキュリティ意識やルールが浸透していく予感が持てた
- 自分たちができる、守れる範囲でルールを策定するよう心掛けた
- ツールを導入して、社員に負担をかけずにセキュリティ対策を
- 「みんながやってくれる」という想像がつくルールであることが重要
- ISMS取得の取り組みがきっかけで社内状況が可視化され、業務が効率化
- 指摘されたことを怖がる必要はない。事前の対策やアドバイスで落ち着いた審査対応
- コンサルティングを受けた後、セキュリティへの考え方が変わった。社内へ発信する姿勢をもたらしてくれたことが嬉しい
- インシデントが起きてしまうことは仕方がない。その後、どう対応するかが大事
LRMへのご依頼内容:ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話しください。
株式会社Poeticsは、2021年12月にISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。担当コンサルタントは、増元さんです。2022年5月に第二段階審査を終え、2022年6月に認証を取得しました。
— まずは御社の事業についてお聞かせください。
Poeticsは、言語・音声などコミュニケーションに関わるAIを開発するスタートアップでして、SaaS型Web会議支援システム「JamRoll」を提供しています。「JamRoll」は、特に、オンラインセールスの営業チームの育成などに活用されています。マネージャーの方が非同期に指導できるため、ロープレが不要になります。今までは、打ち合わせに同席をしてフィードバックをしてということで90分程度を要していたけれど、15分くらいで録画を見て指導ができるようになったというお声もいただいています。
Pマークに加え、ISMS認証を取得し、個人情報には該当しないが重要な情報資産も管理したい
— ISMS認証取得の経緯をお話しください。
SaaS型Web会議支援システム「JamRoll」を立ち上げたので、できる限り営業機会を損失しないために、社内体制を整えていく上で、ISMS認証を取得することに決めました。
「JamRoll」は、会議データなど、秘匿性の高い情報をレコーディングするサービスです。秘匿性の高いデータの取り扱いがきちんとされていないと、お客様も不安を抱かれることもあると思いますし、社内の状況やクラウドでの保管ルールなどを定めていく必要があると考えました。
— 今回のお取り組み体制をお話しください。
主に下記5名でルールや資料作成などに取り組みました。
- 下地様:Co-CEO。営業の統括も担当。
- 中西様:経理・総務などを担当。
- 飯田様:開発業務などシステム関連業務を担当。
- 神様:全体的な資料作成のサポートを担当。
- 山内様:過去のISMS取得経験からのアドバイス
— 皆様は、情報セキュリティの第三者認証取得のご経験はございましたか。
会社としては、プライバシーマーク(以下、Pマーク)は取得済みでした。ただ、Pマーク取得の担当者は、別の総務担当とシステム担当の2名が務めていました。ISMS認証を取得するタイミングで、中西や飯田に情報セキュリティ業務が引き継がれました。ISMS認証を取得した後、今まさにPマーク更新対応を行っていますが、ISMSに関する知識や経験を活かせているので、Pマークへの理解や資料作成などスムーズに対応できています。
— Pマークもすでにお持ちだったとのことですが、なぜISMS認証も取得されたのでしょうか。
Pマークは個人情報に関する情報セキュリティの第三者認証です。自社のセキュリティレベルの引き上げを考えたときに、情報資産全般を対象としたISMSについても、体系的に対応しておく必要があると判断しました。
会議データには、もちろん個人情報も含まれますが、個人情報には該当しないが社内ノウハウといった重要な情報資産もあります。また、Poeticsとしてもプロダクトのソースコードの管理なども重要です。個人情報だけではない情報資産全体の管理について、いつかはやりたいと前から思っていたところを、今回SaaS事業立ち上げにあわせて、スピードを上げて対応しました。
— ISMS認証取得前の従業員の方のセキュリティ意識は高かったですか。
Pマークに関するルールが少し形骸化しつつあった箇所もあるので、今回ISMS認証を取得したことで、あらためて気を引き締めるきっかけになったかなと思っています。
また、例えば名刺については、それぞれが持っているような状況で、名刺そのものが情報資産という意識がある人とない人がいるというような状況がありました。これは情報資産だよと言われたら気づけますが、日常業務において、これが情報資産かどうかを考えることはあまり多くは無いと思います。メールひとつとってもそうです。
今回の取り組み作業中に大規模なUSB紛失事故のニュースもありましたので、あらためてひとつひとつの情報資産を管理するという情報セキュリティの重要性を痛感しました。従業員にとっても、今回ISMS認証を取得したことで、「これってダメかも」と気づくことができるきっかけになったと思います。
ISMSは継続していくことが重要。自分たちのできる範囲で運用していける仕組み作りを
— お三方は、ISMSに対して、取得前はどのような印象をお持ちでしたか。
Pマークを取得・運用していたので、ISMSもPマークのようなものを想定していていました。Pマークは、どうしても社内の業務とルールに距離があるように感じていて、大変であるという印象がありました。ただ、今回ISMS認証取得の取り組みをしてみて、LRMさんにもずっと言っていただいていたのですが、ISMSは実際の運用に合わせてルールを決めていくべきというスタンスが良かったです。実際の業務に沿っているから、従業員も日々の業務の中でセキュリティについて意識できている側面があると思います。また、マネジメントシステムの運用ルールについても、LRMさんにアドバイスいただきながら、しっかりと作成することができました。
— 飯田様と中西様は認証取得のお取り組みは初めてとのことでしたが、ご不安に感じられることはございましたか。
資料作成が大変だろうなという点が一番の不安材料でした。後は、取得前は書類が散らばっていることもあったので、何とかしなければいけないと思っていました。笑
ISMS認証取得は情報セキュリティ業務の他にも業務を行いながら取り組みましたが、LRMさんに「この時までに、この程度やっておけば大丈夫」というような実務に沿ったアドバイスをいただけたのが非常に良かったです。取得して終わりではなくて、その後も継続していくことが重要なので、自分たちのできる範囲で運用していける仕組み作りができたのが良かったです。
飯田は、当時入社して間もない時期で、情シス業務を引き継いだばかりの頃でした。自社の業務についても100%理解できていない中で、運用を変えるとなると本当に大丈夫なのかという不安はありました。情報セキュリティ認証を取得するのも初めてだったので、何をすればいいのか分からないことも多く、砂漠にひとり連れていかれたような感覚でした。ただ、取り組みを進める中で、ここはセキュリティの観点から守るべき・ここは運用を重視してもいいなど、バランスの取り方が分かっていきました。
— 何をすればいいのか分からなかったというお話もありましたが、コンサル会社との商談は何社かされたのですか。
そうですね。LRMさんの他にも2社お話をお伺いしました。
1社が個人事業主の方で、もう1社は、Pマーク取得の際にご支援いただいたコンサル会社でした。ただ、どちらもコンサルタントが1名しかいない状況でしたので、指導が属人的になってしまうのではないかという不安があり、自由度が低いのではないかという印象がありました。
LRMさんは、所属しているコンサルタント数も多いですし、スタートアップや小規模の事業者様の実績が多数ありました。また、取得企業の運用の仕方にあわせて、できるだけ簡便なセキュリティマニュアルが用意されており、これだったらできるのではないかという期待が持てました。
認証取得だけで終わってしまうのではなく、セキュリティ意識やルールが浸透していく予感が持てた
— お取り組み全体を振り返られていかがでしたか。
かなり想定を上回って達成できたことが多かったと感じています。当初は、認証を取得するが目標だったのですが、ISMSの取り組みによって、社内の中でセキュリティについて考えるきっかけにできたことが良かったと思っています。認証取得だけで終わってしまうのではなくて、セキュリティ意識やルールが浸透していく予感が持てたことは成果だと考えています。
— セキュリティ意識やルールが浸透していく予感が持てたということですが、取り組まれたお三方にも意識の変化などはございましたか。
初回のお打ち合わせから3~4回までは、「ISMSとはなんぞや」という授業を聞いているような感じだったので、頭に入るだろうかと不安はありました。ただ、実作業に入ってからエンジンがかかりました。LRMさんには、対応をすべきことの優先づけから、ゴールまで明確にしていただきました。自分たちだけではここまでたどり着けなかったと思うので、LRMさんに寄り添ってご支援いただけて本当に良かったと思っています。
また、社内の従業員の意識もずいぶん変わったというのはもちろんですが、何よりも私たち担当者の意識も変わったと思っています。自分自身が理解できていないことを社内に伝えるのは難しいことです。情報セキュリティは、まずは自分が理解して、なぜ大事なのかを周りに伝え、永続的に実行していく必要があります。それは、かなり労力がいりますし、周りの理解が得られないと継続が難しいことです。セキュリティで最初に重要な「こういうことを気を付けないとこういった危ない目に合うんだよね」という自分の理解の部分を、今回の認証取得の作業を通して実施できたのはとても良かったです。
— 取り組みを進める中で、バランスの取り方が分かってきたというお話もありましたが、そういった点も自身の理解が深まったから分かってきたということでしょうか。
そうですね。本当に砂漠の真ん中に立っていたところから、何をすればいいのかをコンサルタントなしに見極めていくのは難しかったと思います。また、最初はただただ取り組みが進んでいくのについていくだけという感覚でしたが、途中から「こうすればいい」という形が見えてきました。
以前は、セキュリティは堅苦しいイメージがありました。しかし、LRM増元さんにいろいろ教えてもらう中で、セキュリティはマネジメントしていくことが大事と気づくことができました。ISMSは、運用ベースでやり方をいろいろと考えることができます。従業員にこのサービスを利用したいと提案された時に、そのサービス自体のセキュリティがどうかばかりに気を取られて業務を止めてしまうのではなくて、そのサービスを業務で利用するためにはどのように運用していくのが適切なのかを考えるというスタンスを持てるようになったのは大きな気づきです。
— 認証取得の期限などはございましたか。
「JamRoll」のローンチに合わせて、2022年の6月までには認証を取得したいとお伝えしていて、それが叶った形です。お取り組みの中で、特段大きな遅れもなく、スムーズに進めることができました。
— 認証取得されてみて社内外の変化はございましたか。
繰り返しにはなりますが、従業員の意識が変わったと思います。
ISMS認証取得の取り組みが始まってから、インシデントが発生したこともありますが、きちんと社内で報告があがってきて、対処法をみんなで検討し対応できたということも、ISMS認証取得の取り組みの成果のひとつだと思います。
また、社外とのやりとりにおいては、お取引の際にセキュリティチェックシートを記入することがあるのですが、その際に、ISMS認証を取得していると記入箇所が少なくなることがあるので、工数削減に繋がっています。
自分たちができる、守れる範囲でルールを策定するよう心掛けた
— 御社はPマークもすでにお持ちですが、ISMS構築の際に影響はございましたか。
あまりなかったと思います。Pマークのルールを全く無視したわけではないですが、先にISMSのルールを作成して、その後Pマークのルールと照らし合わせて調整しました。そもそもISMSとPマークで重なる部分も多いですし、大きく分離することもありませんでした。
Pマークの運用に関しては、うまく回っていない箇所もありました。ISMSのスタンスとして、運用できないのであればルールとして意味がないよね、だったら運用できるルールを決めるべきだよねということがあったので、まずはそのスタンスに則ってルールを再整備して、その後にPマークの要求事項にルールを落とし込んでいく流れを選択しました。
— ルール策定での軸や重視されていたポイントなどはございますか。
ISMSの管理面では、とにかく煩雑にしない、細かくしすぎないという点を大切にしていました。
例えば、経理書類・人事書類などは、ひとつひとつ書き出すと非常に細かく、量が膨大になりすぎて、管理が難しくなってしまいます。LRMさんから、「細かく記載しすぎると、実運用が回らなくなってしまうから、管理しやすいようにここはまとめてもいい」などアドバイスを頂けたので、想定していたよりは簡略化して作成できましたし、これだったら運用できるかもという感覚を持つことができました。
それを軸に、自分たちも細かくなりすぎないように、自分たちができる・守れる範囲でルールを策定するよう心掛けました。それはルール策定だけではなく、運用においても同様で、全部細かくチェックはできなくとも、この範囲であれば対応できるというラインを意識しつつ運用しています。
— 細かくしすぎないというポイントがある一方で、業務が煩雑になるようなルールはございませんか。
業務が煩雑になるようなルールはないと思います。それよりも、やり方であったりフォーマットであったり、今まで分散していたものが統一できたという印象です。情報セキュリティマニュアル等で統一されたことで、こういう時どうすればいいかが明文化されたので、動きやすくなったと思います。また、管理者としても、いまどうすればいいかを考えやすくなりました。
ツールを導入して、社員に負担をかけずにセキュリティ対策を
— 今回のお取り組みで、新しく導入されたツールはございますか。
以下の2つのツールを導入しました。
- セキュリティ教育クラウド『セキュリオ』:社内教育用にeラーニング機能や安否確認機能を主に利用
- 「メールZipper」:添付ファイルのWebダウンロード形式への変換や自動暗号化が可能
社員のやることを増やさずに、セキュリティの運用を改善できることがあると思っています。
例えば、添付ファイルつきでメールを送る時に、パスワード付きで送るのかそれ自体も議論があると思いますし、担当以外の人もそういったことを考えなければならないとなると工数が余計にかかってしまう事態を招きます。
今回ツールを導入したことで、社員には負担をかけずにセキュリティ対策ができたかなと思っています。
— 新しくツールを導入されて、社員の方から反発などはございましたか。
特にありません。『セキュリオ』には、社内教育に利用できるeラーニング機能や、安否確認機能など、セットとしてセキュリティに関するさまざまな機能が揃っています。入社時にやることとして、セキュリティ面は『セキュリオ』という風に簡潔しているので、社員も戸惑わずに対応できていると思います。
— 『セキュリオ』の使い心地はいかがでしょうか。
『セキュリオ』のeラーニング機能を利用して、従業員全員に情報セキュリティ教材を受講してもらいました。
最初の教材配信の設定は一瞬戸惑いましたが、受講した皆さんは戸惑いもなかったと思います。実際に、ほとんどの人が期限内に受けていますし、一部遅れていた人はいましたが、リマインド機能を利用して、審査までには皆さんに受講いただけました。特段使いにくさは感じませんでした。
「みんながやってくれる」という想像がつくルールであることが重要
— 運用してみてから、ルールを変更した箇所などはございましたか。
運用後に変更した箇所は無かったと思います。どちらかというと、運用し始める前に、このルールは社員にとって、面倒くさくないか、きちんと対応してもらえるかをしっかり検討しました。これだとやらなさそうだからアナログにしよう、これだと面倒くさそうだからデジタルにしようなど、ひとつひとつ検討していきました。
セキュリティのルールを決めたとして、最初は守られていても本業をおこなう中で、段々と守られなくなってしまう側面があると思います。セキュリティは実担当者でないとどうしても意識がしづらいです。自分ひとりだったら守らなくてもいいかという油断もあると思います。ただそういった油断が、会社全体のセキュリティ意識が薄れるきっかけになってしまいます。つねにセキュリティを意識してもらうためには、こちらから呼びかけ続ける必要もありますし、みんながやってくれる想像がつくルールであることが重要だと考えます。
例えば、入室記録の紙を置いておいても、やっぱり書いていないという状況がありました。それに対して、タッチするだけなら対応してくれるか、カレンダーに記入する方がやりやすいかなどを議論して、これであればやってくれそうというルールを決めて、それについては私たちがしっかり広めていくという方法をとりました。
— みんながやってくれる想像がつくルールを決めたということですが、従業員へのルールの浸透はスムーズでしたか。
これからだと思っています。
まだISMS認証を取得して間もないですし、私たちが気を緩めたら、会社全体の意識も薄れていってしまうと感じています。まずは私たち3人がしっかり言い続けていくことが、今は一番大事だと思います。社内教育も実施してはいるものの、完全に理解できている人は少ないと思います。今後もただテストを受けてもらうだけではなくて、しっかりと教育をする期間も設けたいです。
ISMS取得の取り組みがきっかけで社内状況が可視化され、業務が効率化
— ご担当者のお三方は、セキュリティ業務と本業との兼ね合いはいかがですか。
大変は大変でしたが、書類整理などの属人的でない作業は、社内の方にサポートしていただいたり、自分で抱え込まないように分散して対応していくことができました。3人でも持ち場を棲み分けできていたので、自分の詳しいところを対応すればいい状況でした。
ISMSの取り組みは、記録や文書作成などの実作業をやりながらも、整理整頓のイメージに近かったです。
本業として、いずれ対応したいなと思っていたところを、今回の取り組みをきっかけに整理することで、本業が効率よくなる部分もありました。
例えば、委託先リストを作成する際に、誰がどんなツールを使っているかを洗い出しました。以前は、経理業務で確認している際に金額があがったツールに対して、担当者が不明瞭で確認作業に時間がかかることがありましたが、今回整理したことでスムーズに確認できるようになりました。社内の状況が見える化されることで、今後の対応の検討がしやすくなりました。
— セキュリティ業務はまったく本業と関係ない訳ではなくて、セキュリティ業務をおこなうことで本業が効率化した側面もあったということでしょうか。
いずれできていなきゃいけないですとか、理想としては管理されているべきだなという箇所はあったものの、誰にお願いされている訳でもないという状況からのスタートでした。
ISMS取得を皮切りに、いずれやらなきゃいけなかった本業を後ろ倒しにすることなく取り組めたのは非常に良かったと思います。
各営業が情報を腹がかえしてしまっていたり、共有はしているものの共有ルールが無かったりという状況だったところを、情報資産管理台帳を作成することで、整備の仕方が見えてきました。どこにどういう情報があるかを理解できるいい機会になったと思います。
ISMSはどうしても、取得のための・更新のための作業になってしまいがちですが、
年月をかけてこそ認証の意味があると思っています。
(左上は下地氏、右上は中西氏、左下は飯田氏、右下は弊社・増元)
指摘されたことを怖がる必要はない。事前の対策やアドバイスで落ち着いた審査対応
— 内部監査は、LRMコンサルタントが担当させていただきましたがいかがでしたか。
まずは、私たち事務局への内部監査を実施してから第一段階審査を受けて、その後、現場への内部監査を実施してから第二段階審査を受けるという流れでした。初回の事務局への内部監査は、その後に控えていた第一段階審査を考えると、本当にこれで大丈夫かと疑心暗鬼になってしまうほど、シンプルな印象でした。
7~8年前にはなりますが、知人のISMS取得企業が「ISMSはめちゃくちゃ大変だよ」と話していたので、審査も重箱の隅をつつくような細かいところまで聞かれるイメージを持っていました。そのため、全方位どこを聞かれてもきちんと答えられるように守備を固めなくてはとかなり力んでいました。しかし、実際に審査を受けてみると案外シンプルでしたし、2回目の内部監査は安心して受けることができました。
— 外部審査を受けたご感想をお話しください。
事前に内部監査などで、審査員に質問された際の対策やアドバイスを頂けたのが非常に良かったです。
指摘されたことを怖がる必要はないし、こういう理由で我々はこうしていますと説明できれば必ずしも審査員の指摘に従う必要はないということを増元さんに教えていただきました。審査の中で、審査員の方に指摘されるとうっかり謝ってしまいそうになる局面があったりするのですが、落ち着いて事情を説明することができました。
また今回、審査員の方とやりとりをしていく中で、指摘が来るかもしれないと思った箇所がありました。その箇所に対して、こちらから「ここは課題を感じていて、こういうことを進めている最中です」とお伝えすると、課題と捉えて対応中であれば問題ないですと審査員の方にすごく納得していただきました。改めて、LRMさんに事前にアドバイスを頂いておいて良かったと感じました。
— 審査は想定していたよりも、シンプルだったとのことですが、納得のできない指摘などはございませんでしたか。
特段ありませんでした。審査員の方もマイルドな方でした。指摘事項はありましたが、すぐに対応できるものだけだったので、特段大慌てして対応することもなく、スムーズに認証を取得できました。
コンサルティングを受けた後、セキュリティへの考え方が変わった。社内へ発信する姿勢をもたらしてくれたことが嬉しい
— LRMのサポートへのご感想をお話しください。
セキュリティへの考え方が、コンサルティングを受ける前と受けた後で変わったことが嬉しかったです。
また、セキュリティに関する考えを社内の従業員に発信していこうという姿勢をもたらしてくれたということが、会社のトップマネジメントとしても非常にありがたく、いいきっかけを与えていただきました。
また、ルールを柔軟に自分たちの無理のない運用に合わせた考え方もありがたかったです。おそらく、当社と同じような規模の企業様は「自分たちにはまだ早い」「がんじがらめのルールになってしまう」という想いが強いところもあると思いますので、LRMさんにそうじゃないよと伝えていってほしいです。そうした情報発信によって、社会全体のセキュリティリスク自体が減っていくと思いますので、引き続きお願いできればと思います。
— 弊社都合で、途中で担当コンサルタントを変更させていただいたのですが、やりづらさや手戻りなどはございましたか。
かなりテンポよく取り組みが進んでいて、ようやく関係性もできてきたタイミングでの変更だったので、最初は不安でした。また、どこまで情報が引き継がれているのか分からず、もしかするとイチからやり直す事態になるのではないかという懸念もありました。
しかし、増元さんには、Todoを細かく切って提示していただけて非常にやりやすかったですし、情報もきちんと引き継がれておりスムーズに進んでいったので、2~3回お打ち合わせをしてみて安心感を持つことができました。
インシデントが起きてしまうことは仕方がない。その後、どう対応するかが大事
— 御社の事業における今後の展望をお話しください。
Poeticsの事業としては、まずはデータを収集する段階であると思っています。データを集めることで、AIによって予測のモデルを立てることができます。例えば、JamRollでは商談のデータ等を集めていますが、商談が前進したのか、成約につながったのかのデータをとると、成約に繋がる法則を見つけられると思っています。営業マンの発話割合が70%を超えると売れないという法則が提唱されていたりしますが、そういった法則をAIの自学自習に基づいて導き出すことができます。また、解析がもっと進むと、商談はこの時間配分で進行すると成約率が高いなど、AIから提案することもできるようになると思います。音声データや感情解析データを取得していくことで、商談やプレゼンの効果測定など、さまざまなシーンに活用していただけるソリューションになると考えています。
— 御社の情報セキュリティにおける今後の課題をお聞かせください。
ようやくルールができて、運用が始められたと思っています。これからは、メンテナンスをしたりしながら、継続して運用していくことが必要です。Pマークの際は形骸化してしまったところもありますし、我々が気を抜いてしまうと従業員も守らなくてもいいのかと思ってしまうと思います。我々が気を引き締めている状態を見せて、みんなにも気を付けてもらうことで、会社が守られるし、会社の成長にも繋がっていくといういい状態を維持できればと思います。
実は、最近Pマークの更新対応をしていた際に、「せっかくISMS認証を取ったのにインシデントが起きたら嫌だよね」と何気なく言ったときに、「インシデントが起きてしまうことは仕方がない。その後どう対応するかが大事ですよね」という話になりました。つい、事故を起こしてはいけない、みんなにルールを守らなせなきゃ、ということに意識がいってしまいがちです。もちろん、そういった部分も大事ですが、起きてしまったらどうするかという部分もマネジメントシステムでは大切です。事故が起きてしまうと、感情的になってしまって「やっちゃった」となってしまいがちですが、そこから先の部分を落ち着いて考えることが重要です。絶対に何も起きないようにしなきゃではなくて、リスクは必ずあるものなので、起きたリスクに対してきちんと対処できる状態でいたいと思っています。そういった心掛けも社内全体に共有していきたいです。
今回の認証取得の取り組みでは、学んだことが非常に多かったです。当初は、認証を取ることが営業的な側面でもひとつのゴールだったものの、取り組む中で、続けていくこと・作成したルールを意識のレベルにもっていくことが大切だと気づきました。取得してからが一番肝心だと感じています。ISMSはどうしても、取得のための・更新のための作業になってしまいがちですが、年月をかけてこそ認証の意味があると思っています。審査直前に慌てて対応するのではなく、きちんとコンスタントに継続して運用確認を行っていきたいと考えています。
また、ISMS認証取得後も人が増えたりしているので、事務局の我々が学んだことをいかに伝えるかも大事だと感じています。
株式会社Poetics様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ 株式会社Poetics様のWEBサイト
※ 取材日時 2022年10月
- システム開発・運用
- クラウドサービス(SaaS)開発・提供
- 社内の運用を変えない
- 50名未満
- 東京
- 1拠点