株式会社Zeals様 – 顧客事例 –

LRMの指摘が情シス担当者の視野を広げるきっかけになりました。全体のリテラシーも上がり、ISMSが全社的な取り組みとして浸透し始めています

“チャットコマース”という独自のサービスを提供する株式会社Zealsは、大手企業との取引が増える中、情報セキュリティ体制の整備に取り組んでいます。LRMはISMS/ISO27001認証新規取得とプライバシーマークとの文書統合をサポートさせていただきました。経営企画部 HR・松田済氏に、取り組み成果と今後の課題をうかがいました。

(株式会社Zealsについて)

「会話を通じて商品を買っていただく」ことに特化したチャットコマースサービス『ジールス』を開発・提供する。チャットコマースとは、AIが顧客と会話しながら商品を案内し購買へとつなげる、マーケティング領域に特化したチャットボットサービスだ。
同社独自の概念であり、唯一無二のサービスである。リターゲティング広告など従来のネット広告とは異なり、“ヒアリングファースト”で顧客の意思決定をサポート。会話パターンは、コミュニケーションデザイナーと名付けた専門職の人材が設計しており、予測出来るあらゆる会話パターンを用意することで、従来型ツールの10倍という高いCVRを実現している。またFacebookメッセンジャーやLINE Payとの決済連携により、LPやサイトに移行する煩わしさを削減。
チャットで完結する手軽な購買体験が高い成果に繋がっている。2016年のリリース以来、人材領域やEC領域で導入数を増やし、エンタープライズだけで200社を超える導入実績を築いている。将来はこの”チャットボット”で溜めたデータを元に、コミュニケーションAIを作り「日本をぶち上げる」という理念の実現を目指す。
本社;東京都品川区。設立;2014年4月。従業員数;約60名(2020年3月現在)。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得&文書統合コンサルティング

— LRMへのご依頼内容をお話し下さい。

株式会社ZealsはLRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
またISMS認証取得に伴い、プライバシーマーク(以下、Pマーク)との文書統合もして頂きました。

LRMの担当者は三崎さんと白田さんです。2019年6月頃からスタートして同年12月にISMS認証を取得しました。

— Pマークの取得および運用ではコンサルティング会社のサポートは受けておられなかったのですか。

新規取得の際は他のコンサルタントのサポートを受けましたが、運用に関しては、サポートを受けていませんでした。そこで、ISMS認証取得にあたってはLRMにサポートを依頼し、ISMSとPマークを統合したマネジメントシステムに再構築して頂きました。

— 松田さんは普段どのようなお仕事をされているのですか。

私は現在、人事労務を担当する傍ら、もともとエンジニアだった経験を生かして、情報システム担当(以下、情シス)としてPCや社内システムの管理などの仕事も兼務しています。これまで従業員数が少ない頃は1人が様々な役割を兼務していましたが、人数が増え始めたことで2019年度は生産性の向上をテーマに掲げて、組織変革に取り組んできました。その中で適材適所に人材を配置するという流れから、ISMSとPマークの運用も私が担当することになりました。

— ISMSとPマークに関しては全て松田さんがお一人でご担当されているのですか。

私が引き継いだ時点でルールの構築は一旦出来上がっていました。そこからルールの周知浸透、従業員教育などを実施する際には、各部署のリーダークラスの人達と情報を共有しながら進めて行きました。

現在は、情シスのもう1名のメンバーと私で毎週ミーティングを開いて、ルールの見直し、進捗確認を行っています。
また各部署のリーダーとは引き続き連携し、ルールの浸透を図っています。

社内の情報セキュリティ体制を証明するための手段としてISMS/ISO27001認証を取得

「ISMSとPマークを統合したマネジメントシステムに再構築していただきました」(経営企画室 HR・松田済氏)

「ISMSとPマークを統合したマネジメントシステムに再構築していただきました」
(経営企画室 HR・松田済氏)

— ISMS認証取得の目的をお話しください。

弊社が提供する『ジールス』の導入を検討されるお客様の不安を取り除くためにISMS認証を取得しました。『ジールス』の導入社数が増えるに従い、不安を抱かれるお客さまが増え、情報セキュリティ対策についてご質問頂く機会が増えていました。お客様の不安を取り除くには第三者機関の認証制度が有効であると判断しました。

— ISMS取得を要望されるお声もありましたか。

具体的なご要望はありませんが、弊社の情報セキュリティ体制を端的に証明する手段がないことが、取引を進める上での障害となっていました。「御社はベンチャー企業ですが、セキュリティ体制は整っていますか」というご質問をいただくことが増え、商談が前に進まないケースもありました。

そのような経緯があり、第三者機関の認証制度を利用した方が商談をスムーズに進められるだろうという判断をしました。名刺やホームページにも載せることが出来れば、説明を求められることもなくなります。そこで2019年1月にPマークを取得し、さらに今回ISMS認証を取得しました。また、担当は異なりますが、ISMSと同時並行でPCIDSS(Payment Card Industry Data Security Standard)も取得しました。

— 御社としては情報セキュリティ上の不安はございましたか。

体制作りの必要は感じていました。弊社は今、成長中の組織ですし、外国籍の方、インターン生、業務委託の方など多様な背景を持った人々が在籍しています。事業の性質上個人情報を扱うことが多いので、しっかり管理出来る体制を整備するべきだとは考えていました。特に『Slack』や『G Suite』『DocBase』など、社内システムとして利用しているクラウドツールの運用には不安がありました。こういう使い方はまずいと思っても、指摘出来る人間が情シス担当の私だけだったため、ルールを明確にしてきちんと管理出来る体制を整備することは避けられない課題でした。

— ISMS認証の適用範囲を教えて下さい。

ISMSの適用範囲は東京本社全体です。

ISMS/ISO27001認証取得が、現場の意識向上と管理者の視野が広がる機会に

— 「目指していた成果を上げることは出来た」とのことでしたが、どのような時に実感されますか。

名刺に印刷した認証マークやエントランスに飾った認証書を見て気付いて下さいますので、従来のようにセキュリティに対する不安について言及されるお客様はいなくなりました。その分、商談がスムーズに進むようになりました。

— 管理体制の整備についてはいかがでしょうか。

まず、社内システムの運用上発生していたセキュリティインシデントがほとんどなくなりました。これまでも大きなインシデントはありませんでしたが、『Slack』のオープンなチャンネルに個人のメールアドレスを上げる、『DocBase』の中にパスワードが含まれているということは日常的に起きていました。これまでは、情シス担当の私が、それを見つける度に指摘していましたが、気がつかずにそのままスルーされていることもあったと思います。今回、ISMSのルールを作って周知したことで、そういった行為そのものがなくなって、私から指摘することはなくなりました。『Slack』のオープンチャンネルに個人のメールアドレスはアップしない、『DocBase』で管理するドキュメントの中にパスワード類は含めないといったルールを明文化しています。

— その他、社内システムの運用に関連したルールはありますか。

他には社内システムの権限管理を見直しました。弊社の業務は全てクラウド上で行っています。これまではスピードを優先していたためオープンな使い方をしていましたが、ISMS認証取得を機に、必要な人だけがアクセス出来る運用に変えました。

組織が大きくなりきった後にルールを作るのは大変だと思います。そこに至るまでに構築出来たことは非常に大きな資産です。ルールが明確になって従業員の意識も向上しました。

— 従業員の皆さんの意識の変化はどのような時に感じますか。

例えば何か情報を共有しようとする際に、気になることがあれば一旦立ち止まって、確認する行動が見られるようになりました。現場の中で確認しあったり、情シスに問い合わせたりしています。

また離席時にPCの画面を閉じる行動も定着しました。これまでトイレなどでちょっと離席するという場合は、オープンにしたままの人が多かったのですが、今ではなくなりました。セールスや採用など外出が多いメンバーは、外出先で仕事をしている時に周りからモニターを見られないようにシールドを活用しています。これは我々が決めたルールではなく、現場の意見から生まれた取り組みです。

このように自主的な取り組みが生まれたり、従業員同士がお互いに注意し合えるような環境になったのは、会社全体のリテラシーが向上した証であると考えています。私もLRMにご指摘いただいて気付いたリスクが沢山ありました。

— 具体的にはどのようなリスクですか。

特に盲点だったのが、オフィス内のWi-Fiルーターの設置場所、席の配置など、物理的な管理です。Wi-Fiルーターの設置場所はこれまでオフィス内の端でしたが、誰でも触れる場所でしたし、間違えて踏んでしまう可能性がある状況でした。今回、LRMにご指摘いただいて、従業員が仕事をするデスクから離れた場所にWi-Fiルーターを設置し直しました。また、セキュリティリスクが高い情報を扱う人のデスクも、これまでは誰でものぞき込めるような配置になっていました。今回、LRMの指摘を受けて席替えをし、人が移動する動線から離しました。私も人事情報を扱いますので、今はオフィスの端に席を置いています。その他、契約書などを保管するキャビネットや金庫のカギの管理方法も見直しました。

こういったご指摘は、言われてみれば納得のいくことばかりでした。おかげで視野が広がり、ルールの見直しを進める上で役に立っています。

LRMのサポートがなければ計画通りの進行は不可能だった

— ご苦労はございましたか。

個人的には短期間で事務局向けの内部監査に必要な文書類を揃えなければいけなかったことが大変でした。私が引き継いだタイミングでマニュアルは完成していましたが、その他、従業員教育や情報資産リスト、各種記録などが揃っていない状況だった為、1週間かかりきりで準備をしました。特に苦労したのが従業員教育です。社長や役員にも働きかけて全社的な協力を呼びかけてもらい、全員のテスト結果が100点になるまでやりきりました。

— LRMのサポートはありましたか。

手厚いサポートをしていただきました。個人的に、情報セキュリティのコンサルタントに堅い印象を持っていましたが、LRMのコンサルタントは非常に親しみやすいと感じましたし、弊社側が進めやすい環境を整えていただきました。

— 具体的にはどのようなサポートでしたか。

特に従業員教育が大変だったと言いましたが、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能がなければ、期日までに完了することはできなかったでしょう。『セキュリオ』には教材やテスト、実施記録や未受講の従業員への催促機能もついています。従業員教育を実施するために必要なものは全て揃っていたことが1週間で終わらせられた要因です。

— 『セキュリオ』以外のサポートはいかがでしたか。

ドキュメント類を揃える作業でもサポートしていただきました。前任者から引き継いで、タスク量に対して時間がないことがわかった時点で、お二人から「土日を返上してでもサポートするので、二人三脚でやりましょう」とおっしゃっていただきました。実際、文書類の記入方法などでわからないことがあった際には電話、チャットなどで相談して解決しました。そのようなサポートがあったおかげで、スケジュールを遅らせることなく、予定通りに内部監査を実施することが出来ました。

また、内部監査では内部監査員を代行して頂き、それが実際の審査を受ける準備にもなりました。第2段階審査前の現場向け内部監査も同様で、周知したルールの浸透度合いをチェックした上で第2段階審査を受けることが出来ました。

— 実際の審査はいかがでしたか。

第1段階審査、第2段階審査、ともに落ち着いて受審することが出来ました。結果としては、改善の機会を少しいただいたぐらいでした。その指摘事項への対応については、現在、次回の維持審査に向け定期ミーティングで検討しているところです。

「土日を返上してサポートしますとおっしゃっていただけて心強かったです」(左;松田氏)※右2名は弊社 三崎、白田

「土日を返上してサポートしますとおっしゃっていただけて心強かったです」
(左;松田氏)※右2名は弊社 三崎、白田

継続的な周知・浸透へ、LRMのサポートに期待

— 慌ただしい準備の中でどのような方法で周知浸透を図られたのですか。

毎週開く朝会の中で行いました。ISMSとは何か、なぜやるのか、どこに気をつけて欲しいかといったことを定期的に発信しました。これは継続的な取り組みとして、今も毎月一回以上は情報セキュリティについて触れるようにしています。

— 今後の課題をお話し下さい。

ルールの周知浸透が進んだとはいえ、まだまだスタート地点に立った段階です。今後も継続的に浸透を図っていく必要があります。現在弊社は毎月従業員が増えています。既存メンバーの底上げと同時に、新しく入社するメンバーへの周知もしていかなければいけません。

そのための取り組みとして、朝会の他にISMS勉強会をスタートしました。各事業部を6名から7名のグループに分けて、現場の課題を挙げてもらい、その課題に対してどのような取り組みが有効かを話し合ってもらっています。そして、各グループで検討した結果を集約し、ルールの見直しに生かしています。このような取り組みを通して、情報セキュリティに対する会社全体の意識を高め、ルールの形骸化を防止する考えです。

— 今後、LRMへのご期待がございましたらお話し下さい。

LRMには今後も継続的にサポートしていただきたいと考えています。ISMSとPマークの運用支援サポート『情報セキュリティ倶楽部』の契約を検討中です。毎年ISMSの維持審査がありますし、今年はPマークの更新審査もあります。
従業員が増え、部門や拠点が増えれば、審査の対象範囲が広がり、労力も増えます。また事業内容が変わればリスクも増えますので、ルール作りや内部監査をサポートしていただきたいと考えています。

さらに、『セキュリオ』もより積極的に活用したいと考えています。他社の取り組み事例などは、ISMS勉強会で使える資料をご提供いただけたら嬉しいです。

株式会社Zeals様、お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。

株式会社Zeals様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社Zeals様のWEBサイト
※ 取材日時 2020年3月

  • サービス開発・提供
  • 担当者の負担軽減
  • ISMS/Pマークのルール統一
  • 50~199名
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら