株式会社favy様 – 顧客事例 –
- お客様が抱える課題とISMS構築アプローチ
-
- 公募事業にノミネートされたため、年内まで(約5か月)に認証を取得したい
- 認証運用のためにフットワークを重くしたくない
- 取得の際の工数が不明瞭で不安
- クラウドサービスの活用方法は禁止事項を細かく設けるのではなく、利用前に情シスに一報いれるルールに
- ガチガチに縛るのではなく、負担の少ないルールを構築
- 普段の業務内容から情報資産やリスクを洗い出すことで、各従業員がスムーズに台帳を作成
- LRMコンサルティングサービスへの感想
-
- コンサルタントの層が厚く、選択肢を与えてくれた
- チャットによる連絡で密にコミュニケーションがとれた
- 『セキュリオ』のeラーニング機能は受講管理も圧倒的に便利
「飲食店が簡単に潰れない世界を創る」というビジョンを掲げ、デジタルマーケティングと食、それぞれの専門家が集まって設立された。最新テクノロジーを活用し飲食店の収益性改善に繋がる仕組みを開発・提供している。全国の美味しい店を応援する分散型グルメメディア『favy』、飲食店のデジタルマーケティングを自動化するためのプラットフォーム『favyページ』を中心に、斬新なサービスを続々と展開中である。飲食店のマーケティングを実証する実店舗を運営し、そのノウハウをサービスに反映している。2019年6月には、飲料メーカーや食材納入業者などとの提携による飲食店特化型サブスクリプションサービス『favyサブスク』を開始。リリースから1年で約1,000店舗の飲食店に導入され、累計流通総額1億円、登録者数1.5万人を突破。飲食店のDXを推進するソリューションとしてマスメディアなどでも注目を浴びている。
設立;2015年7月。本社;東京都新宿区。従業員数;50名(2021年1月現在)。
記事index
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
株式会社favyは、2020年7月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。担当者は三崎さんと石濱さんのお二人です。7月中にキックオフをして、11月に第2段階審査を終え、年内にISMS認証を取得しました。
–ISMS認証取得に向けた社内体制をお話し下さい。
情報システム部門から2名、法務から1名の合計3名でISMS事務局を組織し、必要に応じて現場にも協力してもらいました。
ISMS/ISO27001認証取得の理由;事業拡大に向けた体制整備
— ISMS認証を取得した理由をお話し下さい。
弊社がISMS認証を取得した理由は、事業規模の拡大に備えた体制を整えるためです。特に、2019年6月『favyサブスク』をスタートさせたことがターニングポイントになりました。飲料メーカーを初めとする大手企業との取引が発生するようになり、一般ユーザーの個人情報や課金情報なども預かるようになりました。そこで情報漏洩のような事故が起きてしまえば事業継続が出来なくなります。そのような事故を未然に防ぐ体制整備が必要な時期を迎えていると考えISMS認証を取得しました。
— 認証取得の期限は定めていましたか。
ISMS認証取得に向けた準備をスタートした時期と重なり、東京都の公募事業にノミネートされたため、急ぐ必要が生じました。担当者からISMSかプライバシーマーク(以下、Pマーク)のどちらかを取得していないと委託しづらいというお話がありましたので、年内取得を目指しました。
— ISMS取得の取り組みを始めるにあたって心配されていたことはございませんでしたか。
懸念していたことは2点あります。(1)フットワークが重くなる、(2)取得までの負担が大きい、この2点です。
(1)フットワークが重くなる
外部の規格に沿ったルールを作ることでフットワークが重くなるという心配はありました。ISMSについては良く知りませんでしたが、Pマークを取得している企業の話を聞いたり事例を読んだりしていると、がんじがらめになる印象を持っており、ISMSも同じようなものだと思っていました。弊社は基本的に、社内ルールを敷いて、それを従業員に守らせるというスタイルは好きではありません。また、こういったルールは形骸化しやすい性質もあると思っていました。
(2)取得までの負担が大きい
ISMSやPマークを取得するには、各部署への調整やドキュメント作成など、手間暇のかかる作業を行わなければいけません。どれぐらいの負担をしなければいけないかわからないという不安はありました。
こういったマイナス要素も考慮しましたが、会社自体がなくなるかも知れないという最大リスクを考慮すればメリットが上回ると判断し、取得に踏み切りました。
コンサルティング会社の選定で最も重視したのはコンサルタントとの相性
— ISMS認証取得に向け、最初に取り組まれたことは何でしょうか。
まずはコンサルタント探しからスタートしました。こういった認証を受けるための作業は、素人だけでやると必ず手戻りが発生します。メンタル面の負担や時間的なコストを考えれば、実績のある専門家のサポートを受けた方が、総合的なコストは軽減出来ます。
— コンサルティング会社の選定基準をお話し下さい。
料金や取組期間中の連絡手段など、色々な項目を挙げて比較表を作って検討しました。我々が最も重視したのはコンサルタントとの相性です。
各社とも商談は営業が担当しますが、実際に作業を進める際のサポートを担当するのはコンサルタントです。
そこで各社にお願いして、実際に担当していただけるコンサルタントと実際に話をさせていただき、半年間二人三脚で一緒にプロジェクトを動かしていける相手かどうかを吟味させていただきました。
— LRMのコンサルタントはどういった点が良かったですか。
まず、LRMはコンサルタントの層が厚い分、選択肢がありました。その中で弊社の主担当を務めて下さった三崎さんは、インプットが早いと思いました。弊社のビジネスは複雑で、説明が難しいと思っていましたが、理解が早いため、ややこしい説明を割愛することが出来ました。また、LRMは過去のサポート事例が豊富で、その中には我々が知っている会社へのサポート実績も多数掲載されていましたが、三崎さんが担当した事例も数多く乗っていましたので、安心してお任せ出来ると思いました。
コンサルタントとの相性以外には、プロジェクト期間中の連絡にチャットツールを使えるという点も、スムーズに進行出来る重要なポイントになると思いました。弊社は社内では『Workplace』を使っていますが、協力会社との連絡には『Slack』を使っていますので、今回も『Slack』を使用しました。
ルールで縛り付けない基本スタンスは維持。意外に自由なISMS
ISMSを取得した後、公共系の受託案件も決まりました
(取締役CTO・新堀勝氏)
— 結果から伺います。2つのご懸念をお話しされていましたが、実際にはいかがでしたか。まず、ルールを作ることによってフットワークが重くなるというご懸念に関してはいかがでしたか。
全く問題になるようなことはありませんでした。今回構築したルールは、あまりルールで縛り付けたくないという弊社の方針から外れず、全般的に負担の少ないルールになりました。
取り組む前は、もっとガチガチに固めないと審査は通らないだろうという認識でした。
例えばPマークの場合、クラウドサービスの活用1つ取っても、導入の手順、管理方法など細々としたルールを決める必要があると思いますが、今回構築したマネジメントシステムでは、包括的なルール1個で済みました。そこがおそらくPマークとの大きな差だろうなと感じました。我々自身が敷いたルールを守っていれば、審査に通るという点は意外でした。
— クラウドサービス利用に関するルールを具体的に教えていただけますか。
クラウドサービスに関して、基本的に禁止事項はありません。過去にトラブルが報告されたものや危険と言われている物は使うのをやめましょうという注意喚起をした上で、使いたいツールがあれば情シス担当に一報を入れるといったルールとなっています。
— 「情報漏洩事故を未然に防ぐための体制整備」がISMS認証を取得した理由でした。結果として、その目的は達成出来ましたか。
従業員の意識を揃えるための基準が設定出来たことで、当初の目的を達成したという認識です。
弊社はガチガチにルールで縛る文化ではありません。それは逆に言えばOKとNGの境界線のわかりづらさにも繋がっています。ルールが緩いといっても何をしても良いわけではなく、各自、常識の範囲で判断して行動する必要があります。その時に問題となるのが「常識」の基準です。新人が何気なく取った行動を、昔から在籍しているメンバーが「それは駄目だろう」と注意するようなシーンは散発的に発生していました。しかし新人からすれば「そう言うなら最初から示して欲しい」と思うはずです。
今回、マニュアルを作成し全体に周知したことで、こういった「常識」を揃えるための基盤が整備されました。
そしてそれが、情報セキュリティ事故を防ぐストッパーになると考えています。
— その「常識」には、例えばどのようなものがありますか。
例えば、メールの添付ファイルの問題があります。電子ファイルの受け渡しで通常行われているのが、メールに暗号化したファイルを添付して送信し、別便でパスワードを送るという方法です。しかし我々はメールの添付ファイル自体がナンセンスだと考えています。基本的には外部とのコミュニケーションには、クラウドストレージとチャットツールを組み合わせて行うという手段が定着しています。
弊社は設立時からGoogleの『G suite』(現在の『Google Workspace』)を採用し、従業員全員分のアカウントを取得しており、業務で発生するドキュメントは全て『Googleドライブ』に保存しています。そしてドキュメントを外部に送る必要がある際には、原則的にクラウド上に置いたファイルのURLを、チャットツールで共有しています。請求書や契約書など、証跡を残す必要があるものはメールで暗号化したファイルを送りますが、それ以外はチャットツールの方が効率が良いと考えています。
しかし弊社に入ってくる人の中には、メールのやりとりに慣れた人もいます。そういった社員にも、favyではこういう仕事の仕方をしているということを認識してもらえる環境整備が出来ました。
— 業務のフットワークが重くなるというご心配には及ばなかったとのことでしたが、逆に、業務の効率化に繋がっていると感じることはございますか。
プロジェクトを動かすことに関してはほとんど影響ありませんが、間接的には業務効率に繋がっていると思います。日々、仕事をしている中で、「これ大丈夫かな」と疑念が湧いた時に、「マニュアルを見れば良い」「誰かに聞けば良い」という状況が作れたことで、迷う必要がなくなりました。また、チェックポイントが増えたことで事故に繋がる可能性を減らすことが出来ました。
LRMのアドバイスでドキュメント作成の工程を短縮
労力も時間も、我々が覚悟していたほどの負担はありませんでした
(システムDiv. 情報システムグループ・滝澤佑貴氏)
— 取得までにかかったご負担についてはいかがでしたか。
やはりコンサルティング会社にサポートを依頼して良かったと思います。自分達だけでも出来たのかも知れませんが、実際にやろうとすれば相当な負担がかかっただろうと思います。おそらく実際にお支払いした金額以上の回収はできているのではないでしょうか。
それぐらい無駄なコストは省けたという印象はあります。
どこのコンサルティング会社も基本的には同じだと思いますが、ご用意いただいた雛形を叩き台として、我々の実情に合わせてカスタマイズしていくことで、スムーズに作業が進みました。それを社内だけでやればゼロからやらなければいけませんので、大分ショートカット出来たと思います。また、ドキュメント作成時の手戻りも基本的にはありませんでした。
— 雛形をカスタマイズしていく作業はどうされたのですか。
LRMとの打ち合わせの中で、雛形の読み合わせをして一項目ずつチェックして、実情に合わせてカスタマイズして行きました。
— その他に、台帳類の作成を含めて、社内で行うべき作業でもご苦労はございませんでしたか。
確かに、情報資産管理台帳やリスク管理台帳の作成といった作業はありました。これらの作業は、各事業部が担いました。普段やったことのない作業ですので、苦労はしたと思いますが、LRMのアドバイスに従うことで確実に工程短縮は出来ました。
ISMSの構築は一般的に、まず情報資産の洗い出しからスタートし、リスクを洗い出して対策を検討するという流れになると思います。しかし今回は、各事業部が普段行っている業務の棚卸しを行い、トラブルが発生しやすい業務と、トラブルの具体例をリストアップすることからスタートして、そのトラブルの対象となる情報を情報資産としてリスト化するというアプローチを取りました。例えば、ありがちな失敗としてはメールの誤送信があります。営業メールの送り先を間違えそうになることは珍しくないと思います。これをリスク管理台帳に記載した上で、その時に送るメールの情報やデータにはどんなものがあるか、そのデータの管理はどうしているのかを、情報資産管理台帳に記載して行きました。
これは三崎さんのご提案です。このようなアプローチができたことは、我々にとっては良かったと思っています。
弊社には部門が14部門あって、我々情報システム部のメンバーはそれぞれの業務を把握しているわけではありませんので、各現場に動いてもらう必要がありました。しかし情報資産を洗い出してくれと言っても、何が情報資産か判別することは簡単ではありません。普段、どんな仕事をしているかというところからスタートしてトラブルを洗い出していく方が、現場の人間にとってはわかりやすかったと思います。
— そういう作業だけでリスク管理台帳や、情報資産管理台帳は作成出来たのですか。
現場で一通り作成した台帳は、我々、ISMS事務局のメンバーとでチェックした上で、LRMにも確認していただきました。各部署の担当者にヒアリングをしていただき、各自が作った台帳を一項目ずつチェックしながら修正していきました。さらに、内部監査でも、内部監査員をLRMに代行していただきましたので、その中で不足していると思われる箇所があればご指摘いただき、追加していきました。
— LRMとの打ち合わせは何回ぐらい実施したのですか。
マニュアルの読み合わせやドキュメントの作成で14回ぐらい実施しました。1回1時間から2時間ぐらいです。
その他に『Slack』上で連絡を取りながら、必要に応じて細かい打ち合わせを何回か実施しています。
— 7月にスタートして、第2段階審査が11月とおっしゃっていましたので、密度の高い取り組みをされたのではないですか。
我々としては、必要最低限、これぐらいはやらなきゃいけないだろうと覚悟をしていたボリューム感には達していないと感じています。時間も労力も心配していたほどの負担はありませんでした。
内部監査員代行で審査の事前準備は万全
— ドキュメント作成以外にも従業員教育や内部監査といったタスクがありますね。まず従業員教育についてお話し下さい。
従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使いました。
— eラーニングを使うメリットは感じましたか。
圧倒的に便利でした。誰が受講しているか、受講していないかがすぐに把握出来ますし、受講していない社員には催促が出来ます。また機能的にシンプルなので管理社側は使い易いと感じました。
ただし、このeラーニングだけでは社内ルールの浸透は難しいと思いました。あくまでも一般知識のチェックには便利なツールだと思います。数学を学ぶには算数をしっかり学ぶ必要があるのと同様、最低限のレベルを全社で揃えていくために、初期段階に利用するツールだと感じました。
— ルールの浸透には、別途、実施されたことがおありですか。
現場を巻き込んだことが、意識の醸成に繋がったと考えています。もちろん情報資産やリスクを洗い出すには現場の力が必要ではありましたが、そういった作業を通して当事者意識を持つことに繋がります。実際、インシデントとまでは言えない、ちょっとした不注意が見つかった時に「ISMSを取得している会社なのだからしっかりやりましょう」といった声が、社員から出るようになりました。ISMS認証取得企業としての自覚は、社内に芽生えているように感じています。
— 内部監査員代行についてはいかがでしょうか。
社内の人間だけで内部監査を行うことは大変リスキーだと思いました。まずどういう観点で何をチェックすれば良いのか、素人には全く把握できません。また社内だけで実施すると、問題があっても慣れてしまっているから気付きにくいという弊害もあります。さらに社内の関係性があるので問題があっても指摘がしにくいなど、公正さが失われる危険もはらみます。情報資産管理台帳やリスク管理台帳の不備を補ったことを含め、LRMに内部監査員を代行していただいたことで、適正な内部監査を実施することが出来ました。審査にもしっかり事前準備をした上で臨むことが出来ました。
展望と課題;公共事業の受注拡大とリモートワークへの対応
— ISMS認証取得により、外部との接点で変化はございますか。
自治体や国とのコミュニケーションが圧倒的に楽になりました。第2段階審査が終わった後、Go To イートの取り組みの中で農水省から情報管理体制について質問がありました。従来は時間をかけて細かく説明する必要がありましたが、ISMSの認証書を待っている状態である旨を伝えただけで終わりました。コロナ禍に関連したものを含め、公共の案件が増えている状況ですが、ISMS認証取得は、各案件をスムーズに進められる要因の1つになりました。
これを機に、さらに積極的に公共領域の案件を広げて行きたいと考えています。
— ISMSの活動に関する今後の課題がございましたらお話し下さい。
目前の課題としては、リモートワークへの対応があります。もともと弊社はリモートワークを推奨しておらず、対面の方が効率的であるというスタンスで会社を運営してきました。しかし、コロナ禍の解決が見込まれない以上、働き方自体を根底から変えていく必要に迫られており、リモートワークも許容せざるを得ません。今もリモートワークを禁止しているわけではありませんが、基本は会社で仕事をすることを前提にルールを構築していますので、リモートワークを前提にしたリスクアセスメントを追加するなど、状況に合わせて刷新をしていく計画です。
リモートワークへの対応が次の課題です
(左から滝澤氏、新堀氏 ※右から、弊社石濱、三崎)
LRMと一体感のある取り組み。今後も相談窓口として不可欠な存在
— LRMのコンサルティングを受けたご感想をお話し下さい。
他社との比較は出来ませんが、一体感のある取り組みが出来ました。また、オンラインミーティングやメッセンジャーツールによるコミュニケーションを受容していただけたことで、コロナ禍においても密なコミュニケーションが実現しました。社内でドキュメントを作成する際の文面上の表現で困った時に、『Slack』に質問を投げておけば、大体は翌日に回答していただけましたので、滞りなく作業を進めることが出来ました。
— 今後の御期待がございましたらお話し下さい。
リモートワークへの対応を含め、ISMSを運用していく上で、LRMのサポートを受けられないのは困ります。相談窓口として継続的にサポートしていただくため、ISMSの運用支援サポート『情報セキュリティ倶楽部』の年間契約をしたいと考えています。
これからも相談窓口として継続的にサポートしていただきます
(左から滝沢氏、新堀氏)
株式会社favyの皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ 株式会社favy様のWEBサイト
※ 取材日時 2021年1月
- クラウドサービス(SaaS)開発・提供
- 広告・マーケティング
- 担当者の負担軽減
- 短期取得
- 50~199名
- 東京
- 1拠点