Unipos様 – 顧客事例 –
提供するクラウドサービス『Unipos』が海外の企業に導入されるなど大躍進とも言える成長を遂げる中、Unipos様は、LRMのサポートを受けISMS/ISO27001認証を取得しました。認証取得の目的や、取得に至るまでの苦労、取り組みの成果などについて、代表取締役社長・斉藤知明氏、取締役CTO・赤羽直樹氏にお話を伺いました。
記事index
(Unipos様について)
企業におけるピアボーナスの導入と運用を支援するクラウドサービス『Unipos』を提供。Fringe81株式会社の子会社である。ピアボーナスは成果給の一種で、従来の業績や成果を会社が評価して支払われる成果給とは異なり、日常的に同僚から同僚へ感謝の気持ちとして送られる少額のボーナスだ。もともとは米国で生まれて広まった制度だが、Fringe81社においても2013年から「発見大賞」と名付けた表彰制度を導入していた。「発見大賞」は月に一度、全員が誰かの素敵な貢献に投票し、最も多い票を集めた従業員が表彰されるという制度である。当初はアナログな手法で投票・集計を行っていたが、月に1度の頻度ではなくリアルタイムに投票・共有できるようシステム化し、さらに制度をブラッシュアップしていった。そのノウハウを集約して外部向けにサービス化したのが『Unipos』である。リリースされた2017年6月以降、社会全体の働き方を見直そうとする時流と合致したこともあり、ベンチャー企業を中心に導入件数を増やし、2019年1月には累計有料導入企業数200社を突破するという順調なスタートを切っている。現在は、導入企業が国内のみならず海外にも広がりを見せる中、大手企業や老舗企業への導入にも注力している。
設立;2017年12月。本社;東京都港区。従業員数;約40名。
LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
弊社は2018年3月、LRMに、ISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
担当者は井崎さんと村田さんです。2018年3月下旬から、7月下旬に第2段階審査を終えるまでサポートをしていただきました。
8月上旬には認証書が届き、現在は、ISMSの運用サポート『情報セキュリティ倶楽部』、セキュリティ教育クラウド『セキュリオ』を契約しています。
自社の情報セキュリティ体制を証明するためにISMS/ISO27001認証を取得
— ISMS認証を取得した理由をお話し下さい。
弊社がISMS認証を取得した理由は、『Unipos』の導入をご検討いただいているお客様に対し、弊社において情報セキュリティを担保するための体制が整備出来ていることを証明するためです。
ピアボーナスが解決する課題は、従来の人事考課制度では評価されずに埋もれてしまいがちな従業員の貢献性を掘り起こして認識することで、お互いに信頼し合う組織を作ることです。『Unipos』は、比較的小規模なIT系、広告系のベンチャー企業から導入され始めたのですが、実際にそのような課題を深刻に感じているのは、長い歴史を持つ老舗企業や大手企業、あるいは広範囲なエリアで店舗を展開する企業です。
そういった企業ほど変革が難しいという実態はあるのですが、『Unipos』の導入企業が増えるとともに国内におけるピアボーナスの認知が高まるにつれて、そのようなお客様からもお問い合わせをいただく機会が増えてきました。その際に必ず懸念されるのがセキュリティ体制です。セキュリティチェックシートなどを通じて、データセンターを置く地域を開示して欲しいといった要求もありまして、なかなか回答がしづらいと感じる反面、サービスを提供する立場としてそういったご懸念を放置することも出来ないという悩みが生まれました。同時に我々自身、セキュリティ対策にはしっかり取り組んできた自負がありますので、それをきちんと証明できる材料が欲しいと考えました。
自社のセキュリティ体制を証明する手段としてよく知られているのは、ISMSとプライバシーマークです。しかしその頃すでに『Unipos』に対して海外のお客様からもお問い合わせをいただいていましたので、グローバルスタンダードに基づいて証明することが出来れば、海外のお客様にもご安心いただけるだろうと考えてISMSを選択しました。
— 外部の規格を導入することによって、開発スピードが落ちたり、業務負担が増えたりするといったご懸念はございませんでしたか。
我々は外部のスタンダードを取り入れること自体に、ネガティブな要素を感じていません。逆に脆弱な部分があれば、それを正す機会になると考えました。
ただ、ISMSを導入するにあたり、どう体制を整備して行けば良いのか、どれぐらいの工数がかかるのかが全くわからない状態でした。弊社にはFringe81グループとして共有している社内規程があり、その中に情報セキュリティに関する規定も含まれています。この社内規程とISMSとの間にどれぐらいの乖離があるかも予測が付きませんでしたし、場合によっては二重規程が生まれてしまうという危惧がありました。そこで、そのようなリスクを回避するためにも専門家のサポートは必須であると考え、まずはコンサルティング会社の選定からスタートしました。
–ISMS認証取得の期限は設定されていましたか。
2018年9月までに取得することを目標としていました。理由としては『Unipos』の成長が早く、体制が変わりやすいことがあります。弊社は決算期が3月です。そのため4月、10月に体制の変更が起こりやすいのですが、9月までに取っておけば、1年後の維持審査の際に、その変更を前提とした話が出来ると考えました。あまり時間をかけると、全く別の体制になってしまうことが往々にしてありますので、ISMSの規格と照らし合わせて弊社のセキュリティに問題がないことが確認さえできれば、可能な限りスピーディに認証を取得したいと考えました。
自社の実態に即した制度作りを行うためLRMにコンサルティングを依頼
「弊社の実態に即した制度づくりを期待してLRMに依頼しました」
(代表取締役社長・斉藤知明氏)
— コンサルティング会社選定の経緯をお話し下さい。
コンサルティング会社を選定するにあたっては、必要なコストには、躊躇せずにきちんと投資しようと考えていました。コストを抑えた結果、業務負担が増えるような体制が出来てしまうと、プロダクト開発に支障が出ます。それを防ぐため、しっかりしたコンサルティング会社に依頼したいと考え、インターネット検索で、評判の高い会社を3社ほどピックアップして比較することにしました。
— その中でLRMにご依頼された理由をお話し下さい。
LRMを選定した決め手は、弊社の実態に即した制度作りをお手伝いいただける期待が持てたことです。要因は2点ありました。
(1)クラウドサービスに対する理解
弊社はGCP(Google Cloud Platform)の上でScalaとGoを使ってプロダクトを開発していますが、それを伝えても伝わらない会社がありました。LRMがクラウドサービスに強いことは、Webサイトの事例などを読んで感じてはいましたが、実際に営業の方と電話で話した際にもきちんと話が通じましたので、話がしやすいと感じました。
(2)柔軟性の高さ
最初に問い合わせた際、営業の方との話の中で印象に残ったのが「ISMSは規制を強くするための規格ではなく、規程を正しく守っているかどうかを判断する規格です」とおっしゃっていたことです。それを伺い、柔軟性を持った規程作りをサポートしていただけるという期待を持ちました。非常に格安でテンプレートに記入すれば認証は取れるというコンサルティング会社もありましたが、そのテンプレートの中身を拝見すると、ノートPC持ち出し禁止などと書いてあって、とても弊社の実態に即した制度が作れるとは思えませんでした。
以上2点がLRMに依頼した決め手です。
— 結果としてLRMにコンサルティングをご依頼されていかがでしたか。
非常に良かったと感じています。まず従来の社内規程を精査し、次にリスクアセスメントを通して我々が現在どのような働き方をしているのかを把握していただく。その上で最低限押さえなければいけないポイントを整理してルールを作り、PDCAを回して改善していく。このようなステップを提示していただいたため、非常に進めやすかったです。
従業員にとっては、2段階認証やPCのパスワード設定など、従来の手順に若干付け加えた程度で、ほとんど負担を感じずに遵守できるルール作りが出来ました。
既存の社内規程を生かしつつISMSを円滑に運用できる文書体系
「既存の社内規程との整合性が取れるかが心配でしたが結果的に心配は無用でした」
(取締役CTO・赤羽直樹氏)
— 今回の取り組みで、従来の社内規程は改変されたのですか。
社内規程はほとんど改変していません。あくまでも従来の社内規程をベースとし、ISMSの要求事項を満たすために必要な要素を追加するという方針でルール作りを行いました。
ただ、一通りチェックして、実情と合わない部分を洗い出して、書き換える作業は行いました。例えば紙文書の廃棄は「シュレッダー」と書いてあるけれども、実際には「溶解ボックス」を使っているといった小さな誤差です。
— 現在は社内規程とISMSマニュアルが併存しているという状態でしょうか。
2つがバラバラに存在しているのではなく、お互いに補完し合い、参照し合う関係で存在しています。
従来の社内規定は親会社と共有しているものです。弊社は必ずしも単体で事業を行っているわけではないので、それを変えてしまうとグループ全体の社員に影響します。我々もFringe81グループの社内規程がどうなっているかを参照しやすい状態は残したいと考えていました。
一方、ISMS運用の側面から考えると、ISMSの規格の条項順に並んでいる文書が存在した方が審査の際に混乱しませんし、メンテナンスも楽です。またその方が社内規程がISMSに即しているかどうかも確認しやすいです。
そこで社内規程はほぼそのまま残して、別途ISMSの条項順に並んだISMSマニュアルを作成し、各条項と社内規程の該当する箇所をお互いに参照させるとともに、ISMSの要求を満たせていない箇所があれば、ISMSマニュアルの方にルールを追加するという形を取りました。
このような管理の方法は、我々の力だけでメンテナンスできなくなるというデメリットがあります。
しかし親会社と共有する規程を生かしつつISMSを円滑に運用していくにはこの方法しかないと考えました。
結果としてベストな選択だったと考えています。もし規程を作り替える方法を選んでいたら、親会社との調整で大変なことになっていたと思います。
— 文書類をまとめる作業はどうされましたか。
LRMにお願いしました。まず社内規程を読み込んでいただいて、ISMSマニュアルとの参照関係を作るとともに、不足している部分を補足していただきました。専門的な知識が必要な作業は全てLRMにお任せし、我々自身は社内規程の実態に即していない部分を修正し、補足すべきルールを決め、それを全従業員に浸透させることに集中して取り組むことができました。
— 追加したルールにはどのようなものがありますか。
ISMSで必須となっている従業員教育やBCP訓練、内部監査を定期的に実施するルールの他に、従業員の業務に関わる部分で、PCモニターにスクリーンセーバーロックを設定するというルールを設けました。
— 従業員に浸透させるというお話がありましたが、具体的にはどのような形で実施されたのですか。
主に従業員教育とBCP訓練の実施を通して行いました。また、必要に応じて新しく追加したルールの周知を行いました。
— BCP訓練とは何ですか。
ISMSの中に事業継続計画という項目があり、その中で年に1回BCP訓練を実施することが決められています。毎年テーマを決めて実施するのですが、基本的に自然災害などの発生時に迅速な対処が出来るよう備えておくための訓練です。今回初めて従業員全員参加のもとで取り組みました。
— 従業員教育についてお話し下さい。
従業員教育は、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使って実施しました。情報セキュリティのルールを社内に浸透させるには、基本的な考え方を従業員にインストールする必要があります。しかしそれを端的に伝えることは難しいので、『セキュリオ』を活用し、イベント化して皆で楽しみながら取り組みました。
「『セキュリオ』は従業員の学習からテスト、管理まで一連の仕組みが出来上がっていて便利。認証取得後も継続して活用しています」
— 『セキュリオ』を使われたご感想をお話し下さい。
非常にシンプルで使いやすかったです。教材をLRMから提供していただき、管理者がそれを従業員に配信します。
すると従業員にメールが送信され、従業員はそこからログインして学習とテストを受けます。全員が学習とテストを受け終わったら、管理者は各自の到達レベルをチェックするという一連の仕組みが出来ていて便利でした。
また従業員一人一人の実施状況が可視化されるので進捗管理が楽ですし、実施記録が残るので、審査の際に実施記録の提示を求められても慌てる必要がないという便利さもありました。
— ISMS認証取得後も有償版を契約されたとのことでしたが、アカウントは全従業員分契約されたのですか。
はい。従業員教育は年に1回、全従業員に対して一斉に実施する他、新入社員の入社時にも実施する規程になっています。アナログな手法で実施する方法もありますが、いかに実施するか、実施記録をいかに保管するかを考えると、そこに無駄な工数をかけるより、すでに用意された教材を活用するのがベターな選択であると考えました。
— 内部監査はどのように実施されたのですか。
第1段階審査の前と、第2段階審査の2回に渡り、LRMに内部監査員を代行していただいて実施しました。斉藤が責任者として内部監査員教育を『セキュリオ』で受け、内部監査とはどうあるべきかを把握した上で代行をお願いしました。
1回目は現地審査の予行演習を兼ねてISMS担当者である赤羽を対象に実施し、2回目は従業員の中での浸透状況をチェックしていただきました。
— 内部監査員を代行してもらうメリットは何でしょうか。
第三者視点で公平性の高い評価をしていただけることです。現場に浸透しきっていない部分をご指摘いただいたり、リスクアセスメントの実施後に追加された情報に対して管理方法をアドバイスしていただいたりしたことは、1つの学びの機会になりました。
— 審査はいかがでしたか。
第2段階審査で改善の機会をいただきましたが、大きな問題はなく終了しました。いただいた改善の機会は、社内で精査し改善した方が良いと判断したものは、従業員に周知したり、来期の取り組み課題として計画に盛り込んだりして対応しています。やはり新たな気付きを得ることが出来て、組織を強化する機会になりました。
— ISMS認証取得までの取り組みの中でご苦労はありませんでしたか。
ISMS認証の取得・運用では、代表の斉藤はトップマネジメント、赤羽が情報セキュリティ責任者を務めていますが、従業員への周知徹底や受審のためには我々自身が情報セキュリティの全体像と、これから何をしなければいけないかを正しく理解しなければいけません。それが最も苦労したところです。
社内規程やISMSのルールの中でも一般社員が把握していなければいけないことは一部だけです。しかし情報セキュリティ責任者やトップマネジメントの立場では、業務遂行上は意識しなくても良いことでもきちんと把握はしておかなければいけません。従って規程を作り上げる段階で文書類は徹底して読み込みました。特に普段は使わないようなISMSの専門用語に慣れるのが大変でした。
だからこそ文書のまとめとして、ISMSの要求事項順に規程を並べていただけたことは、非常に良かったと思っています。審査でヒアリングを受けた際も、社内規程に対する索引として使えるため、膨大な規程を丸暗記する必要がありませんでした。
ISMS/ISO27001認証取得は、名実ともに安心を提供出来る組織に成長する機会
— ISMS認証取得に取り組まれた成果をお話し下さい。
今回の取り組みを通して、社内にベースとなる意識形成が出来ました。新しい体制に移ったとしても、最低限遵守しなければいけないことを把握できているので、セキュリティレベルは維持していくことが出来ます。
ISMS認証取得は、お客様に安心いただくことが目的ですが、それに耐えうる組織に成長する機会でもありました。
認証取得という形式だけではなく、実質的にそのレベルに到達した上で、お客様にご安心いただくことが、セキュリティポリシーを構築して認証を取得することの意義だと考えています。
— 対外的な効果は表れていますか。
お客様からセキュリティに関してお問い合わせいただく機会が増える中、安心材料の1つとして提示出来るようになりました。
プロダクトをいくら気に入っていただけても、セキュリティ体制が整備されていなければ導入していただけません。
最後のどんでん返しがなくなったことは非常に大きなメリットだと思います。あとはプロダクトを磨けば良いだけです。ISMS認証を取得したことで、積極的に攻めていくための防御態勢が整備されました。
— 今後の課題をお話し下さい。
弊社は変化し続ける組織なので、その変化に適応した形で、新しい規程も作らなければいけません。審査でご指摘いただいた改善の機会に対しては真摯に向き合う必要があるでしょう。従業員が疲弊しない範囲で、お客様の情報をより安全に扱える組織にしていければと考えています。
「今後も自社のステージに合わせたサポートをお願いしたいと考えています」
(左から;斉藤氏、赤羽氏)※右2名は、弊社・井崎、村田
組織としての情報セキュリティの土台作りを支援してくれるコンサルティング会社
— LRMのコンサルティングを受けたご感想をお話し下さい。
LRMは、単純にISMS認証が取得出来れば良いという姿勢ではなく、認証取得までの活動を通して、組織としての情報セキュリティの土台作りを支援していただけるところが非常に良いと感じました。
審査員によると、コンサルティング会社の中には審査に立ち会い、ヒアリングに対して横から口を挟むところもあるそうですが、LRMは立ち会わないスタンスのコンサルティング会社だとおっしゃっていました。
審査の際に隣にいて、答えに詰まった時に代わりに答えていただくことでISMS認証を取得するという目的は達成できるかもしれませんが、それは組織としてセキュリティの土台が出来ていることにはなりません。その点で、LRMのコンサルティングは良かったと思っています。
【トップマネジメントの視点】
代表取締役社長・斉藤知明氏
LRMのコンサルティングを受けたことは、私自身の中で情報セキュリティに対する理解が進む機会になりました。「とりあえずISMS認証を取得した」というだけではなく、私自身が「ISMSとは従業員の行動をセキュリティルールで制限することではなく、セキュリティルールを遵守する体制を作ることである」ということを理解出来て、自社内で改善していける組織になれたことが一番重要だったと考えています。
とりあえず認証を取得して、審査の度にサポートを受けながら維持していくことは可能だと思いますが、それでは本当の意味でセキュリティを担保することにはつながりません。LRMのサポートを受けたことは、私自身がそのことをきちんと意識し、会社全体に浸透させることができるようになる機会となりました。
コンサルティング会社選定の際に、別の会社から見せていただいたテンプレートは、「これでISMS認証を取得するのはむしろきついのでは」と思うような内容でした。それと比べてLRMの進め方は全く違っていました。
まず我々の社内規程を読み込んでいただいて、リスクアセスメントをしていただき、無理のない範囲でセキュリティがきちんと担保出来るルールを整えて下さいました。その進め方を見ても期待通りのコンサルティング会社でした。
— クラウドサービスに対する強さに関して実感されたことはございますか。
コンサルティングが始まってからは、ドキュメントの共有で『Box』を使ったり、連絡手段として『Slack』を使ったり、実際に対面して実施したミーティングだけではなく、オンラインを活用しながらプロジェクトを進めました。
こういったクラウドサービスを活用することに抵抗がないということは確認できましたし、それらを活用したことでストレスを感じることなく効率よく作業を進めることが出来ました。
情報セキュリティを担保しながら事業に集中するために『情報セキュリティ倶楽部』を契約
— ISMS認証取得後、『情報セキュリティ倶楽部』を契約されたのは、コンサルティング会社を選定した段階でご予定されていたことですか。
ISMS認証取得後何が必要かについては具体的にはわかっていませんでしたが、継続的なお付き合いは必要だと思っていました。従って参考として運用サポートの見積も取っていました。LRMの運用サポートはいくつかのコースが用意されており、それぞれ理にかなった価格だったので、認証取得後に改めて契約しました。
— 運用サポートの必要性はどういうところにありますか。
最も必要性を感じるのは内部監査の時です。内部監査は社内の人間同士で実施することもできますが、専門家の第三者視点でチェックしていただいた方がセキュリティを担保できますし、我々自身は事業に集中できます。今後も第三者の視点で定期的に内部監査を実施してもらい、セキュリティを担保出来ているかどうかきちんと計って、こまめに修正していきたいと考えています。
また今年度に関しては、オフィスの移転を計画しておりますので、移転後には移転審査を受審する必要があります。
継続審査と同時に受審するか、別途受審するかは審査会社が判断しますが、大事を取って年2回の訪問つきのコースを契約しました。次年度以降に関しては、自社のステージに合わせた計画を立て、その計画に合わせたサポートをお願いしたいと考えています。
Unipos様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ Unipos様のWEBサイト
※ 取材日時 2018年11月
- クラウドサービス(SaaS)開発・提供
- 短期取得
- 海外への事業展開
- 既存の社内規程/文書類を活かす
- 50名未満
- 東京
- 1拠点