株式会社プレイド 様 – 顧客事例 –
2014年11月、株式会社プレイドは、ISMS/ISO27001認証(以下、ISMS)とプライバシーマーク(以下、Pマーク)の同時新規取得に向けて始動しました。コンサルティング業務の依頼先に選定したのはLRMです。取得にあたっての背景と課題、さらに取得までの経緯について、ご担当者様に話を伺いました。
もくじ
(株式会社プレイドについて)
株式会社プレイドは、ウェブ接客プラットフォーム『KARTE(カルテ)』を開発・提供するベンチャー企業である。『KARTE』は、実店舗では当たり前の相手の状況に合わせた「おもてなし」をウェブ上でも可能とするサービスだ。独自解析エンジンによって、導入の瞬間から来訪者の特徴や行動をリアルタイムで解析。そのデータを活用することで、柔軟な施策を打つことが可能となる。また、ポップアップやチャット、アンケート、SMS、LINEなどあらゆる外部サービスとの連携が可能で、多種多様な接客手法を取り入れられる自由さも大きな特徴だ。2015年3月の正式版リリース以来、大手企業を中心に、ECサイト、不動産サイト、転職サイトなど様々なサービスに導入が進んでおり、2015年10月末までに導入社数は600社を超えた。大手経済紙をはじめとするマスコミ、ウェブメディアなどでも頻繁に取り上げられ、注目を浴びる中、グローバル展開も視野に入れた積極的な事業展開を行っている。
設立;2011年10月。社員数;約25名(2015年10月)。本社;東京都品川区。
ISMSとPマークの同時新規取得コンサルティング
– LRMへのご依頼内容をお話ください。
弊社は2014年11月、LRMにISMSとPマークの同時新規取得コンサルティングを依頼しました。
LRMの担当者・幸松さんのサポートによって準備はスムーズに進み、2015年3月にISMS、同年9月にPマークの取得を完了させることが出来ました。
ISMSとPマークの同時取得を目指した理由
– ISMSまたはPマークを取得した理由をお話しください。
理由は2つあります。(1)情報セキュリティの管理体制の整備、(2)対外的信用の向上です。
(1)情報セキュリティの管理体制の整備
弊社は業務上、ユーザーの個人情報、属性情報、クライアント企業のデータや営業情報など、センシティブな情報を扱っています。そのような事業の性格上、情報セキュリティは今後、弊社が発展する上での要であると考えています。そこで、情報セキュリティの管理体制を整備したいと考えました。
(2)対外的信用の向上
(1)と関連しますが、大手事業者の場合、多くは、情報セキュリティ関連の認証や制度を取得していることが、取引条件に入っています。ビジネスを阻害されることのない条件を整えるためにも、ISMSかPマークのいずれかを取得し、その取得を通して体制を整えることが必要でした。実際、10月にテストリリースをした直後、導入を検討中の企業から問い合わせがあり、セキュリティシートへの回答を求められ対応しましたが、通らないという例がありました。そのような際にしっかり対応できる体制づくりが必要でした。
– ISMSかPマーク、いずれかではなく2つとも必要だと判断された理由をお話しください。
弊社のサービスがB to B to Cという性格を持っているからです。弊社の直接のお客様は企業であり、直接弊社が個人情報を集めることはありません。しかし弊社サービスを利用する企業は、個人情報を扱っており、そのデータは弊社が運用するサーバーに蓄積されます。そのような観点から万全な体制を整えるためにもISMSとPマークの両方を取得する必要があると考えました。
情報セキュリティの強化が開発スケジュールに影響を及ぼす心配
– ISMSおよびPマーク取得にあたって、意識されていたことがあればお話し下さい。
2点あります。(1)『KARTE』の正式リリースに間に合わせたい、という希望と、(2)取得によって工数が増える可能性への危惧です。
(1)『KARTE』の正式リリースに間に合わせたい
まずスケジュールについて、『KARTE』の正式リリース時までにはISMSかPマークのどちらかだけでも取得を完了させたいと考えていました。正式にサービスがリリースされているにも関わらず、サービスそのものの問題ではなく、情報セキュリティの管理体制の問題で導入を見送られる事態は避けたいと考えました。
(2)取得によって工数が増える可能性への危惧
ただ、その一方で心配していたことは工数の増加です。ISMS、Pマークを取得するには、それぞれの規格に基づいたマネジメントシステムを構築して、そのシステムのもとで仕事を進めることになります。それによって工数が増える可能性は十分にあると考えていました。
ベンチャー企業にとってスピード感は生命線です。そのため弊社では、社員の業務を妨げる要因は出来るだけ省いています。パソコンやツールは各自が使いやすいものを使っており、状況によって自宅で作業することもあります。また意思決定を早めるため、組織化もしていません。ISMSやPマークの規格によって、自宅での作業やクラウドサービスの活用が禁止されたり、組織化を強いられたりするなど、自由さやスピード感が損なわれることは何かしらあるだろうと考えていました。最大の懸念は、開発スケジュールへの影響です。当時、弊社はCTOとエンジニア数名という体制で開発を進めていました。そのような状況において、セキュリティを強化することで工数が増え、リリースが遅れるという事態は容認できませんでした。
このような心配があったので、(1)の希望はありましたが、万が一、取得によって開発スケジュールに影響が出るなら、取得時期を『KARTE』の正式リリース以降に延期しようと考えていました。その意向は、コンサルティング会社各社との商談時にも、お話ししました。
本質的な課題解決が出来る本物のコンサルティング会社
– コンサルティング会社選定の経緯をお話し下さい。
まず、インターネット検索や関係者からの紹介などで4社ほどピックアップしました。LRMに関しては、知り合いのベンチャー企業がブログでLRMのサポートを受けてISMSを取得した経緯を詳しく紹介しており、その記事を読んで関心を持ちました。各社から見積もりを取り、直接面談して提案内容を吟味して、LRMに決めました。
– LRMを選定した理由をお話し下さい。
本質的な課題解決が出来るコンサルティング会社、スピード感を重視する弊社に合うコンサルティング会社であると確信できたことが決め手となりました。
他社の提案に共通していたのは、予め用意されたテンプレートを用いてルール構築を行うという進め方です。この方法だと早く取得できるかも知れませんが、弊社の実態は全く反映されないマネジメントシステムになってしまいます。当初、危惧していた通り、工数が増えてしまうことは明らかです。
それに対してLRMの提案は、現状のルールを出来るだけ活かそうとするものでした。まず自由度の高いISMSの構築に着手してPDCAサイクルを回す土台を作り、その上でマスト項目が多いPマークの要件を付け加えて行くという段取りです。それによって自社のルールに一本化したマネジメントシステムが構築できます。現状行っている業務に規格を当てはめていくイメージなので、工数が極端に増えることもありません。またリリースまでに少なくともISMSだけは取得できます。LRMの提案は、『KARTE』の正式リリースに間に合わせたい、工数を増やしたくないという課題を解決できるものでした。
テンプレートを用いる方法では、一本化したマネジメントシステムの構築は不可能です。2つのルールが併存するので、運用が煩雑となり破たんすることは目に見えていました。また、他社の場合は、スケジュールに関しても曖昧で、失敗した場合の言いわけの方が目立ったため、信頼感に欠けました。
フレキシビリティなルール作り。「やりたくないことはやらない」という選択肢も
– コンサルティングは、どのように進みましたか。
まず行ったことは、ルール作りです。11月、12月はほぼ毎週、LRMと打ち合わせをしてISMSの詳細管理策114項目をチェックしながら、現状はどうなっているのか、今後はどうするか、を1項目ずつ決めて、決まったルールを順次現場に落とし込んで行きました。
ほとんどの項目は、実際の業務で行っていることを明文化した形ですが、最低限やらなければいけないことで出来ていないことは、守るべきルールとして取り入れました。例えば、パスワードをメールで送らない、ウィルス対策ソフトの導入などです。
その一方、どうしても容認できないこともありました。例えば、外部サービス活用に関するルール決めです。そのようなルールを作って制限してしまうと業務スピードが落ちてしまいます。従って外部サービスの活用は制限したくありません。幸松さんにその意向を伝え、ルールを作ることはやめました。その代わり、そのリスクは会社として受け入れることにしました。
このような形で、基本的にLRMからは「こうしなくてはいけない」と言われたことはなく、非常にフレキシビリティでやりやすさを感じました。
ルール決めに関しては、LRMと決めた以外に、開発現場が自発的に決めたものもあります。例えば、当初、『KARTE』サーバーへのアクセスをIDとパスワードで管理することにしましたが、開発メンバーが、オフィスとIPアドレスを認識して特定の場所からしかアクセスできないようにしました。また、サーバーダウン時の復旧手順もメンバーが決めたものです。これらは一例ですが、もともと弊社には大手IT企業で働いていた経験を持つメンバーが多く、彼ら自身がISMSを取得するなら必要だと判断して決めたルールがいくつかありました。私、個人としては、現場がやりにくくなるだろうと判断してルール化しなかったことでしたが、現場が決めて、業務効率も落ちなかったため、ルールに取り入れました。
以上のような経緯でルールを決めて現場に落とし込み、PDCAサイクルを回しながら、従業員教育、内部監査、マネジメントレビューを経て1月にISMSの審査を受け、3月に取得しました。PマークはPDACAサイクルを回さないと申請が出来ませんが、この段階でPDCAサイクルは一度回したことになるので、ISMS取得後若干の見直しをして、Pマークの申請を行い、9月にはPマークの取得も完了しました。
– 全体を通して何か困った点がありましたか。
全体を通して準備活動はスムーズに進行し、3月末にはほぼすべきことが終わっていました。Pマーク取得が9月になったのは、3月に一旦ISMSを取得した一方、会社として優先的に取り組む課題があったため、そちらを優先したからです。
その中で、特に対応に困ったのは審査準備です。初めての審査であったため、何を聞かれるのか、どのレベルで指摘されるのか、何を準備すれば良いのかわからず戸惑いました。その中で、幸松さんにポイントを聞きながら念入りに準備し、問題なく審査を対応することが出来ました。
会社にとってセキュリティが重要課題であることを示す機会に
– 今回、ISMSとPマーク取得を通した成果をお話し下さい。
今回の最大の成果は、社内のセキュリティ意識の高まりだと考えています。統一したルールを作ることで、会社にとってセキュリティが重要課題であることを従業員に示すことが出来たことは非常に有意義でした。それによって、情報セキュリティにしっかり取り組むという方向に全員がベクトルを合わせてくれたことが、今回スムーズに進めることが出来た1つの要因だったと考えています。取得によって開発が滞ることもなく、業務の進め方が整理できて、逆にスムーズになりました。
10月にオフィス移転を行ったのですが、社長からこれを機会に改めて情報セキュリティを徹底するように指示があり、社員に意識統一を図りました。そのようにしてことあるごとに振り返るようにしているので、かなり浸透している感覚は持っています。
今回のこのような成果は、内部統制への試金石となったと考えています。弊社は今、急激に事業が拡大しており、今後の成長の可能性も探っているところです。その上で内部統制は大きな課題であり、弊社にとっては大きなチャレンジですが、やはりそれによってベンチャー企業としてのスピード感が落ちるという危惧を持っていました。しかし、今回の情報セキュリティに関するメンバーの反応を見ていると想像以上に出来ると感じました。今後も沢山の取り組みがひつようになるとは思いますが、主旨を説明して納得してもらえれば、メンバーに主体的に取り組んでもらえるという自信に結びつきました。
また営業面でも早速効果が出始めています。以前セキュリティに関する懸念点を指摘されたお客様がいました。取得後に再度セキュリティに対する弊社の取組をご連絡したところ、懸念点を払拭することができました。
組織文化に情報セキュリティ意識が根付いたのはLRM関与の成果
– LRMのコンサルティングをどのようにご評価されておられますか。
今回、情報セキュリティへの取り組み意識が社内に浸透したのは、LRMの関与による成果だと考えています。杓子定規に規格を押しつけられたら、社内の反発を買いながらとりあえず運用しているだけ、という事態になっていたのではないかと想像します。弊社の実態に即したマネジメントシステムが構築出来たからこそ、しっかり守れる状況が生まれたのだと考えています。
私は、課題解決というのは、組織文化に反映されなければ意味がないと考えています。1本筋の通った考え方があって、その上で取り組まなければ、根本的な課題解決にはならず、風土として根付いて行きません。今回、短期的な目標としてはISMSとPマークを取得しましたが、その過程で根本的な課題解決が出来て、組織文化に落とし込むことが出来たということは非常に重要です。それはLRMのコンサルティングのおかげです。
以上を踏まえて考えてみると、LRMはITベンチャー企業にピッタリのコンサルティング会社です。
実際、弊社に対して出資しているベンチャーキャピタルからISMSやPマークの取組に関して質問を受けた際にもLRMの話をし、そのベンチャーキャピタルが出資している他のベンチャー企業への紹介につながりました。LRMを信用し、ベンチャー企業に相応しい対応をして下さると考えているからこその紹介です。LRMは、投資家や投資家から紹介される他のベンチャー企業にも自信を持って紹介できるコンサルティング会社だと考えています。
データを守り最大限に活用する情報セキュリティのリーディングカンパニーへ
– 今後のビジョンをお話し下さい。
弊社は情報セキュリティのリーディングカンパニーでありたいと考えています。弊社は大量データを扱っている会社です。インシデントを起こしたら存続そのものが危ぶまれます。今後、事業が成長すると、さらに大量なデータが集まることが見込まれますが、情報を守るだけではなく、情報を活用することでしっかり攻めることが出来る会社にしたいと考えています。
そして、将来的には政策提言もできるような会社にしたいという考えもあります。日本はビッグデータ分野が出遅れているためデータを扱うリーディングカンパニーとして、自社が事故を起こさないだけではなく、日本全体の情報セキュリティ環境の整備に影響を与える存在になりたいと考えています。データを守り、積極的に使い、ビジネスに活かすことに加えて、広い視野に立って社会に貢献したいと考えています。
– LRMへのご期待をお話し下さい。
弊社には情報セキュリティマネジメントのエキスパートがいないため、LRMとは今後に向けて保守契約を結ぶ考えです。法律そのものは理解出来ますが、その法律を実際に運用していくときにどうしたら良いのか、世の中のトレンドを踏まえながら実務的なアドバイスを頂けることを期待しています。
株式会社プレイド様、お忙しい中、有り難うございました。
株式会社プレイド様のWebサイト
※取材日時 2015年10月