株式会社ROXX様 – 顧客事例 –
株式会社ROXXは2019年4月、会社全体が大きく変化する中、ISMS/ISO27001認証(以下、ISMS)とプライバシーマーク(以下、Pマーク)の取得に向けた準備をスタートし、2020年3月までに両方の取得を終えました。今回の取り組みで社内はどう変わったのか、CTO・松本宏太氏とCTO室・吉澤和香奈氏のお二人にお話しを伺いました。
記事index
(株式会社ROXXについて)
HR Tech領域に軸足を置き、人材紹介会社向けの求人データベースサービス『agent bank』、月額制のリファレンスチェックサービス『back check』を提供している。
『agent bank』は、同サービス上に掲載されている約2,000件の求人情報を、各人材紹介会社が自社に登録している求職者へ自由に紹介できるサービス。人材紹介会社は無駄な営業コストを抱えず、転職者支援に注力出来る。営業力が弱い小規模な人材紹介企業が扱いやすい料金体系、直接契約よりも高い内定率を出せる独自の仕組みなどによって、2018年9月のリリースから2020年5月までに400社以上の人材会社が導入。その送客力が強みとなり、求人側は大企業の利用が拡大中だ。一方、『back check』は書類選考や面接だけでは分からない採用候補者の経歴や実績に関する情報を、前職の上司、同僚らから取得することが出来るサービス。選考時の不正、採用後のトラブルやミスマッチを減らし、人材が適正に評価される仕組みだ。国内におけるリファレンスチェックサービスの草分けとして、2019年10月の正式リリースから2020年2月までの5ヶ月間で導入企業数は累計300社を突破している。「人を想い、社会に問う」というビジョンのもと、社会的意義のある息の長いサービスを目指す。
本社;東京都港区。設立;2013年11月。従業員数;88名(2020年8月現在)。
LRMへのご依頼内容;ISMS&Pマーク新規取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
株式会社ROXXは2019年4月、LRMにISMSとPマークの新規取得コンサルティングを依頼しました。
まず、2019年4月、ISMS取得の準備をスタートして、同年10月にISMS取得し、次にPマーク取得の申請に向けた準備を進め、2020年3月中旬、Pマークを取得しました。
その後、ISMSとPマークの運用改善サポートサービス『情報セキュリティ倶楽部』を契約しました。すでにサポートが始まっており、7月のISMSの維持審査に向けた準備では、内部監査の監査員代行をお願いしました。
— 御社の取り組み体制をお話し下さい。
ISMSとPマークの運用は、CTO室が担っています。新規取得の期間中はCTOの松本がLRMと打ち合わせをした上で、各部署のリーダーに協力を求めながら進めていきました。
Pマークの審査が終わった後は、吉澤が主担当を努め、7月のISMSの維持審査も吉澤が中心となりLRMの担当者・松原さんと連絡を取りながら準備を進めました。
HR Tech企業に相応しい情報セキュリティ体制を整備
— ISMSとPマークを取得された理由をお話し下さい。
弊社がサービスを通してお預かりする大量の個人情報を適正に扱うための体制整備を目的としてISMSとPマークを取得しました。
HRサービスを提供する会社として個人情報を適切に扱っていかなければいけないという危機感は以前から持っていました。ただ、何もない状況からやるのは非常に困難です。
社会的に認められた第三者機関が定めた規格に沿って弊社なりのリスクを洗い出して対策した方が確実だろうと考えました。そのためにはISMSが適していると考え、まずはISMS取得に向けて動き始めました。
— これまで情報セキュリティに関するルールは何か作ろうとしたことはあるのですか。
何か問題が発生した際に、その都度決めたルールはありました。例えば誰かが外出先で端末を紛失した際に、
紛失時の対処フローを定めるというようなものです。しかし体系的かつ網羅的なルールではないので、不十分だったと思います。
— もともとPマークは考えていなかったのですか。
当初はISMSを取得すればPマークは必要ないだろうと考えていました。ただ準備を進める中で、個人情報を扱う以上Pマークを求められることもあるだろうと考えて、同時取得することにしました。
— 外部からISMSやPマークを取得するよう求められることはありませんでしたか。
その時点では具体的な要請はありませんでした。しかし『agent bank』、『back check』ともに、大手企業の利用が増えて来ていることから、近々要請されることもあるだろうと感じていたため、先に手を打ちました。
実際、ISMS取得に向けて動き始めた後、ISMSやPマークの取得を要請いただくことが増えました。
いずれも、取得中である旨を説明すると商談がスムーズに進むケースが多いので、早めに動き始めて良かったと思っています。
— 御社は、エンジニア主体の会社ですか。
いいえ。メンバーの半分以上は、ビジネスサイドです。約80名の社員のうち開発職は15名弱です。それ以外は営業、カスタマーサポート、バックオフィスです。バックオフィス以外は各職種ともサービスごとに配属されています。
— ISMS、Pマークを取得することによって現場が混乱するなど、マイナス要因は感じておられませんでしたか。
そういったマイナス面もあるだろうと思っていました。規格の項目は膨大ですし、担当する業務によって全く関係ないものもあります。ただ、今後、弊社が成長する上で情報セキュリティへの取り組みは避けて通れない課題でした。
心配だったことは、全員の意識を揃えることです。しかし全員の意識をすりあわせて合意を取りながらやっていたら絶対に間に合いません。まずはルールを作り、問題が発生したら都度調整していくしかないと覚悟して取り組み始めました。
しかしながら、一方で、いずれの部門も情報セキュリティに関するリテラシーは概ね高い方ですし、これまでも会社で決めたルールはきちんと遵守されていましたので、ルールを明確化して浸透させることが出来ればうまく回っていくだろうという期待はありました。
LRMに依頼した決め手は高品質なひな形とニーズに合わせたサポートメニュー
— コンサルティング会社選定の経緯をお話し下さい。
まずはインターネット検索で上位に上がってきた会社を3社ぐらいピックアップしておおまかな見積もりを出していただき、その見積もりの根拠をご説明いただきました。
LRMに依頼した決め手は、高品質なひな形が揃っていたことと、ニーズに合わせたサポートメニューの用意があり、その中に比較的安価なコンサルティング料金のコースがあったことです。
他のコンサルティング会社は、ゼロから細部に渡って弊社に合わせたルールを作っていくという進め方しかなく、見積金額も割高でした。しかし弊社はそれをやるほど組織が固まっていませんし、事業部もどんどん変化していくフェーズでしたので、現段階でガチガチに固めてもすぐ変化するだろうと思っていました。
また『agent bank』も『back check』も、ビジネスのフェーズとしてなるべく早く取りたい事情がありましたので、より早く取るためにも、ひな形を用意しているLRMしかないと考えて依頼しました。
ISMS取得の取り組みは初めてですので、ひな形の細部まで精査することはできませんでしたが、少なくとも取得保証を謳っているので取得は出来るはずだと判断し、まずはLRMに任せて進めることにしました。
— なるべく早くとのことでしたが、具体的な取得時期は設定されていたのですか。
2019年10月を取得期限に定めていました。そのスケジュールを満たすためにも、ひな形が揃っていることは必須条件でした。結果としてスケジュール通りにISMSを取得出来たので満足しています。
意思決定の基準となるルールを整備できたことが最大の成果
— ISMSとPマークを取得すると二重管理は大変ではありませんか。
LRMに工夫していただいて、情報セキュリティマニュアルも一つにまとめることが出来ましたので、二重管理にはなっていません。当然、それぞれの審査を受ける際に必要となる文書類は異なりますので、分けて管理しているものもありますが、基本的には両方の要求事項に沿う形のマニュアルになっています。管理が煩雑になって困る状況ではありません。
— 今回、ISMSやPマークのルールを構築する中で、御社側の運用を変えた部分はありましたか。
いくつかあります。全社にパスワード管理ツールを導入し、戸締まりの管理方法を定めました。『Slack』上に新しくチャネルを作り、毎日、最後にオフィスを出る人は戸締りを確認して報告するようにしました。さらに、パソコンを持ち帰る際の申請フローも作りました。業務に極端な負担がかかるようなルールは作っていません。
— 新規取得の取り組みが一通り終わって、現在の運用は順調ですか。
今回はひとまずLRMのひな形を使って運用ルールを作りましたが、まだ現場とのすり合わせに時間がかかっている状況です。かなり改善はされましたが、現場の運用と食い違うところがありますので、その都度リスクアセスメントを追加して潰しています。
— そういう意味では、体制整備という最初の目的は、まだ達成できていないということでしょうか。
いいえ。そういう状況はありますが、何かを意思決定する際に基準となる考えが一つ出来たため、従来とは全く状況は変わりました。常にマニュアルを基点にルールを整備することが出来ます。その基準があるかないかは非常に大きな違いです。
何もないところからやるとなると、各自の言い分を汲み取って調整しながらルールを作るという過程が必要になります。その工数を削減出来るだけでもかなり違います。ISMSの規格に沿って網羅的にルールを決めておけば、それをもとに弊社なりのアレンジをするだけで済みます。何か問題があった時の対応も格段に早まります。
— 従業員の行動や発言から情報セキュリティに対する意識の変化が感じられることはございますか。
何か懸念があるときに相談してくれるようになりました。それは意識の高まりだと感じています。
また、今回の取り組みを通してリスク管理に対する意識も高まりました。情報セキュリティとの直接的な関係はありませんが、Pマークの審査が終わった3月、『agent bank』のチームに、業務がちゃんと回っているかどうかをチェックする部署が生まれました。その部署ではクレームの発生状況を把握するとともに、発生する前の防止策を検討しています。そのルールを策定する際はISMSで策定したルールが活かされました。
ルールの周知だけではなく、浸透状況をチェックする重要性を実感
— ISMSのマニュアルや台帳類が揃うまでどれぐらいの期間がかかりましたか。
4月から6月までの3ヶ月で一通り揃えました。
— その過程でご苦労されたことはございませんでしたか。
ISMSとPマークの取得に関しては苦労した記憶はありません。ちょうど、社名変更やオフィスの移転、さらに新規サービスのリリースに伴う部署の再編など、会社全体が一気に変わるタイミングで、ISMSとPマーク以上に大変なタスクを沢山抱えていました。
ISMSのルール作りは、LRMが準備したひな形を読み合わせして、修正していく形で進めました。不確定要素が強いところもコンサルタントと一緒に話し合って落とし所を見つけて行きました。情報資産管理台帳やリスク管理台帳などの台帳類も、いただいたフォーマットに弊社が記入して、LRMにチェックしてもらうことを繰り返して作成しました。この過程での苦労はほとんどありませんでした。
— 文書作成以外のタスクはいかがでしたか。まず従業員教育についてお話し下さい。
従業員教育は、LRMが提供するセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使って実施しました。
— 『セキュリオ』をご使用になられたご感想をお話し下さい。
eラーニング自体は便利だなと思いました。テスト機能がついていて、情報セキュリティに関する基礎的な知識をひとまず従業員に落とし込むためのツールとしては非常に有用です。ISMSとPマークを維持するには毎年従業員教育を実施する必要がありますし、他に代替できるツールはありませんので、取得後も継続契約をしました。ゼロから教材を作って周知し管理するという手間をかけている余裕はありません。
ただ、弊社の情報セキュリティルールを徹底させるためのツールとしてはまだ使い切れていません。法令管理など使っていない機能もたくさんありますので、LRMと相談してより有効に活用していきたいと考えています。
— 社内への周知はどうされたのですか。
弊社で使用している『Slack』にチャンネルを作り、各事業部のリーダー陣を招集し、LRMと話し合って決めたルールを、その都度周知していきました。
ただその後、LRMに内部監査員を代行してもらって実施した内部監査では、しっかり運用できていない点が散見されましたので、ルールを周知するだけではなく、きちんとチェックする必要性も感じています。
— 内部監査はいつ実施されたのですか。
9月です。その際に出た指摘事項を修正し、ISMSとPマークの審査に臨みました。
— 内部監査員を代行してもらうメリットは感じられましたか。
今回は初めてでしたので、何をチェックすべきなのかがイメージ出来ませんでしたが、LRMに代行していただいて感覚を掴むことが出来ました。全部署の監査について回ることは出来ませんでしたが、内部監査が終わった後に所感をいただき、何をどのようにチェックしているのかを把握することが出来ました。
— その後、順番としてはまずISMSの審査を受審されました。実際に受審されてみていかがでしたか。
審査はISO27001の規格に準じて評価するというより、弊社にとってのより良い運用を一緒に考えていただく場だったように感じます。非常に有意義な時間でした。
— 指摘事項の内容はいかがでしたか。
厳しい指摘はありませんでした。いただいた指摘の内容は、弊社の運用がまずい、というものではなく、むしろマニュアルの方をもっと現場の運用に合わせた方が良い、というものでした。例えば普段社内のコミュニケーションを『Slack』上で行っているなら、ISMSの運用も『Slack』上で管理した方が良いだろうというものです。
より自社の運用に即したルール作りを進めるヒントをいただきました。
— ISMSの審査を終えた後、Pマークの審査に向けてはどのようなサポートがありましたか。
申請に向けて書類を揃えるためのサポートをしていただきました。申請書類のフォーマットをお送りいただき、作成の手順を教えていただきました。その後は、弊社側の作業となりますので弊社内で作業を進め、審査を受けました。
— Pマークの審査はいかがでしたか。
こちらもISMSと同様、弊社の業務をしっかりご理解いただいて、より良い管理方法を一緒に考えていただくような審査でした。
もちろんアウトプットされるものは審査結果ですが、審査を受けている時間は、審査員とコミュニケーションを取りながら、情報セキュリティを実運用レベルに高めるにはどうすれば良いかを議論する時間となりました。
真摯な対応は料金以上。後任への引き継ぎを考慮して『情報セキュリティ倶楽部』を契約
— LRMのコンサルティングはいかがでしたか。
料金以上のサポートをしていただけたように感じています。何か気になることがあって質問すると、きちんと回答していただけました。「このコースだからできない」といったお話は一切なく、終始真摯にご対応いただきました。
— 『情報セキュリティ倶楽部』はいつ契約されたのでしょうか。
Pマークを取得した後、松原さんからお話をいただいて契約しました。先ほど申し上げました通り、マネジメントシステム自体に改善の余地が残っていることに加え、担当者が松本から吉澤に変わり新しい運用体制に移行しました。まだコンサルタントのサポートを止めて、自分たちだけでPDCAを回していくにはリスクが高いと判断しました。
— 吉澤さんは過去にISMSやPマークを担当されたご経験はございましたか。
いいえ、初めてです。そのため担当することになった時は、基礎から教えていただきたいと思っていました。
維持審査に向けて準備を進める中でわからないことがあるたびに松原さんに質問し、アドバイスをいただけたのでとてもやりやすかったです。資料も念入りにしっかり揃えることが出来て、初めての維持審査は無事に終えることが出来ました。
LRMのコンサルタントは、あくまでも外部の方ですので弊社の業務を完璧に把握しているわけではありません。それでも細かいところまでしっかりヒアリングして掘り下げて考えていただきました。文書類も細かくチェックしていただけましたので、非常に感謝しています。
今後の課題に取り組む上でのサポートにも期待
— 情報セキュリティの今後の取り組みについて展望をお話し下さい。
先ほど申し上げた通り、マネジメントシステムを弊社の運用によりフィットさせることが最優先課題です。
それが出来たら次のステップを考えたいと考えています。
— LRMへのご期待が御座いましたらお話し下さい。
『情報セキュリティ倶楽部』を契約した理由は先ほど申し上げた通りです。その上で、弊社が情報セキュリティマネジメントシステムを固め、浸透を図っていくにあたっては様々な問題が出てくると思いますので、『セキュリオ』の活用を含めていろいろと相談させていただければ有り難いとは思っています。どうぞよろしくお願いいたします。
株式会社ROXX様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ 株式会社ROXX様のWEBサイト
※ 取材日時 2020年8月