株式会社RevComm様 – 顧客事例 –
“コミュニケーションの再定義”をコンセプトとしたクラウドサービスを開発・提供する株式会社RevCommは対外的な信用の獲得を目指し、LRMのサポートを受けてISMS/ISO27001認証(以下、ISMS)とプライバシーマーク(以下、Pマーク)の取得に取り組みました。バックオフィスの環境整備などの副次的効果もあったという取り組みについて、最高技術責任者 平村健勝氏、法務・コンプライアンス 部長 松浦隼生氏、広報/マーケティング ヴァイス・プレジデント 藤村侑加氏にお話しいただきました。
記事index
(株式会社RevComm について)
「新たなコミュニケーションの在り方を創造し、社会に変革をもたらすこと」をミッションとし、Voice Communicationに主眼を置いたサービスを提供している。ファーストプロダクトとして提供しているのがAI搭載型クラウドIP電話サービス 『MiiTel』だ。
これまでブラックボックス化されていた電話営業や顧客対応の内容を、音声通信や音声録音、音声認識、自然言語処理というテクノロジーを組み合わせて解析し、Webアプリケーションやモバイルアプリケーションで可視化。それによって企業の生産性を飛躍させるサービスだ。これまでIP電話などのテクノロジーを利用してこなかったような中小規模の企業にも導入できる安価な料金設定も特徴である。2018年10月中旬のリリースから、約1年半で5,000ユーザーを突破。営業電話、カスタマーサポート、コールセンターなど、これまで電話が用いられてきたあらゆるビジネスシーンでの活用が広まっている。「人間の電話営業からの解放」、「経営判断AIの創出」、「SaaSからPaaSへの展開」、「グローバル市場、特に東南アジアへの可及的速やかな展開」を経営課題とし、経済的・社会的・文化的に、より豊かな世界の実現を目指している。
設立;2017年7月。本社;東京都渋谷区。従業員数;約33名(2020年1月現在)。
LRMへの依頼内容;ISMS&Pマーク同時取得コンサルティング
— LRMへのご依頼内容をお話し下さい。
株式会社RevCommは、2019年1月、LRMにISMSとPマークの新規取得コンサルティングを依頼しました。コンサルティング期間は2019年1月から12月までです。8月上旬にISMS、12月上旬にPマークをそれぞれ取得しました。すでにコーポレートサイトと名刺に両マークを表示しており、お客様から良い反応をいただいています。
社会的な信用の獲得を目指した取り組み
— ISMS、Pマークを取得した目的をお話しください。
弊社がISMSとPマークを取得した目的は、対外的な信用力の獲得です。
取得を決めたのが2018年11月~12月です。当時はまだ実績がありませんでしたので、導入実績を伸ばしていくためには、第三者機関によって信頼できる会社であることを証明される必要があると考えました。自社サービスではお客様の重要な情報を音声としてお預かりしますし、日々の営業活動においてはお客様から「ISMSを取得していますか」と聞かれるケースも増えていました。ISMSやPマークがあれば、大企業など情報セキュリティに関心の高い企業様の導入を加速出来るのではないかと考えました。
— ISMSやPマークのルールが出来ると負荷がかかって業務スピードが遅くなるなどの懸念はございませんでしたか。
そのような懸念がありましたので、情報セキュリティマニュアルはなるべく業務スピードを落とさない方針で作成しました。
“Security Diet”に共感しLRMにサポートを依頼
— コンサルティング会社選定の経緯をお話しください。
ISMSとPマーク両方のサポートが出来るコンサルティング会社を探してLRMに依頼しました。
選定にあたっては単に取得するだけではなく、形骸化せずに運用することが出来て、業務スピードを落とさないマネジメントルールが出来なければ意味がないと考えていました。そのような意味で、LRMには柔軟にサポートしていただけそうな期待が持てました。
弊社は一般的な基準でルールを作っていくと、実態とのギャップが生じやすい組織だと考えています。
例えば勤務の仕方として、リモートワークを推奨しフルフレックス制を採用しています。正社員のエンジニアは11名いますが、朝からオフィスに出社している社員は3名か4名ということも珍しくありません。それ以外は自宅で仕事をしていたり、昼から出社したり、休みの日に働いて平日休んだりと多様な働き方をしています。
今回の取り組みでは、これらの方針を維持しながらセキュリティに関して守るべきものは守れるマネジメントシステムを構築したいと考えていました。
数社から提案をいただきましたが、LRM以外のコンサルティング会社はルールありきで、取得だけをゴールに定めているような印象がありました。LRMの掲げる“Security Diet”という方針が私達の目指す方向性に合致していると感じました。
取り組み成果は、業務の円滑化と環境整備、そして営業範囲の拡大
— 取り組み全体を振り返られて、どのようなご感想をお持ちでしょうか。
弊社は、今回の取り組みを通して、3つの成果が得られたと考えています。
(1)ルールが明確になったことによる業務の円滑化
従来は情報の取り扱いについて、現場レベルで気になることがあった場合、逐一マネージャー層に確認の問い合わせがありました。今回、情報セキュリティマニュアルが出来、ルールが明確になったことで、そのような問い合わせがなくなり、結果的に業務スピードが上がりました。
(2)バックオフィス環境の整備
会社が成長するにつれ、バックオフィス体制の確立が弊社の課題となってきました。ISMSとPマークを取得するための取り組みには、社員名簿や組織図の作成、入退室管理など、セキュリティ以前に会社運営にとって基本となる要件が含まれていました。そういった要件と現状を照らし合わせ、不足している部分を満たしていく作業を通して、バックオフィスの基盤を整備し会社としての基礎体力を付けることが出来ました。
(3)営業範囲の拡大
ISMSとPマークを無事に取得出来たため、取得が条件であるお客様にもアプローチ出来るようになりました。それは特に営業が肌で感じていることだと思います。
円滑な事業運営とセキュリティの両立を目指したルール作り
— 業務スピードを落とさないためのルール作りについて、具体例を教えて下さい。
例えば、個人所有の携帯電話の業務利用に関するルールがあります。ISMSやPマークを取得している企業には、性悪説的に個人の携帯は一切使わないルールにしているところもあります。しかし弊社では、LRMと相談し、禁止事項を明確にして、そのルールに則って使えるようにしました。またリスクを最低限にするために、二要素認証や、従業員情報を外部からワイプする機能を取り入れるなどの対策をうちました。
— PCも個人所有のものを使われることはあるのですか。
PCも私物利用はあります。 創業メンバーのほとんどが私物PCを使っていますし、リモートワークの従業員も私物PCを利用しています。杓子定規にISMSの規格に準ずるのであれば、会社が調達したPCで、備品管理もしっかりするということになるでしょう。しかし弊社では私物PCの業務利用も許可しました。私物PCの利用時は、上長の許可を取った上で使用すること、定期的に棚卸しをするといったことをルールとして定めています。
このように、LRMのひな形に記載された一般的なルールと我々の業務との間にギャップがあり、受け入れ難いと判断したところは、すべて違うやり方に置き換えていきました。それによって業務スピードを落とさないマネジメントシステムが構築出来たと考えています。
— 従業員にとってもPCの私物利用は都合が良いのでしょうか。
それは人によって異なると思われます。現在、新しく入社する社員に対しては基本的に新品のノートPCを貸与しています。しかし、弊社の営業事務やバックオフィス、労務管理などを担っている従業員は、小さな子供がいるためフルタイムでは働けません。そこで自宅勤務で自宅のPCを利用し、1日の限られた時間に請求書を作ったり振り込みの手続きをしたり、契約書のチェックや送付などをしていたりしています。その場合、『Amazon Workspaces』というリモートデスクトップツールを使って、会社のPCにアクセスし、データをローカルに落とさずに業務を行っています。このように、家庭の事情でなかなか仕事が出来ないという方にも、セキュリティに配慮しつつ働く機会を提供できるようになりました。働き方改革の観点からも良かったと思っています。
— リモートデスクトップツールの他に利用されているクラウドツールはありますか。
他にも色々と使っています。クラウドツールの管理表を作成した際は、LRMからも非常に多いと驚かれました。例えば、自社サービスとして提供しているプログラムはAWSに保管していますし、ドキュメント類のデータファイルは『G suite』、プログラムのソースコードは『GitHub』に保管しています。また、社内コミュニケーションはすべて『Slack』で行っています。
弊社は業務上、紙を極力使いません。会社の定款など、法律上、紙の文書で用意しなければいけない最低限のものだけ小さなキャビネットで保管して、それ以外は徹底してペーパーレス化を進めています。
— ペーパーレス化を進めてきた理由をお話し下さい。
それはリモートワークを推奨しているということやフルフレックス制を採用していることと関連があります。
例えば、家庭の事情で滋賀県に住んで自宅で仕事をしているエンジニアもいますし、リードエンジニアも同様です。そういった遠隔地で働いているエンジニアや、物理的にオフィスに来る時間が制限されている従業員に不利益が生じないよう、全ての情報資産をクラウドに置いています。
今回、ISMSとPマークを取得することになりましたが、情報セキュリティの取り組みにおいてもこの方針は踏襲したいと考えました。セキュリティは重要な要素ですが、それを理由に業務の運用体系を壊すわけにはいきません。事業運営とセキュリティの両立を目指し、業務上、どのようにクラウドサービスを扱えばセキュアに業務が推進できるのかに重点を置いて、情報システムマネジメントシステムを構築しました。
ISMSとPマークの二重管理を回避
— 今回、Pマークも取得されましたが、ISMSだけでは目的は果たせなかったのでしょうか。
ISMSとPマークに関しては、お客様によって見解が分かれるところです。
稀にISMSをご存知ではなくPマークを取得していれば導入を検討しますというお客様がいらっしゃることも事実です。そのため対外的な信用を高めるには、現状では必要であると判断しました。
ただし今後もそのような情勢が続くかどうかはわかりませんので、お客様とのコミュニケーションを通じて傾向を分析し、マーケットから求められていることと我々が実現したいことを加味しつつ判断していきたいと考えています。
— ISMSとPマークの二重管理が発生するようなことはありませんでしたか。
そうはならないところが同一のコンサルティング会社に取得を支援していただくメリットです。
PマークとISMSは情報資産の対象範囲が異なりますが、オーバーラップするところもあります。そのオーバーラップするところを1つのルールで効率的に整備することが出来ました。
コンサルタントとチームを組むことが成功への道
— 取り組みを振り返ってご苦労されたことはございましたか。
ドキュメント作成は頑張りました。情報資産・個人情報の洗い出しや、使用しているクラウドサービスの棚卸し、業務委託先の棚卸しなど、LRMからいただいたフォーマットをベースに約1ヶ月かけて作成しました。
— フォーマットの提供以外では、LRMからはどのようなサポートがございましたか。
まず、そもそもISMSとは何か、というところから教えていただきました。次にISMSとPマークを取得するために必要な段取りを教えていただき、その段取りといただいたフォーマットに沿って作業を行いました。
その間、定期的に打ち合わせを挟んで、アドバイスをいただきながら作業をしました。 さらに従業員教育や内部監査をサポートしていただき、ISMSの審査が終わった後に、Pマークの申請対応を支援していただきました。
— 従業員教育はeラーニングですか。
そうです。ISMSもPマークも、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を利用しました。ユーザー側としては自然なUXで回答する際に迷うことなく、シンプルで使いやすいサービスでした。
— 『セキュリオ』を使うメリットは感じられましたか。
実施記録や成績のエクスポート機能は便利だと思いました。審査員から実施状況を聞かれたら、管理画面の記録を見せるだけで済みました。 今後は情報セキュリティ以外の領域の社員教育でもeラーニングを使うシーンが出てくるかも知れません。『セキュリオ』は情報セキュリティに特化していますので、他のツールを検討する可能性はあります。しかしそれは、組織が成熟していく中で出てくる話だと思います。少なくとも情報セキュリティ教育の範囲では、『セキュリオ』はとても使いやすいツールですので、今後も継続利用していく考えです。
— 内部監査はどのようなサポートをしてくれましたか。
ISMS、Pマークともに内部監査員を代行していただきました。業務の現場で従業員にヒアリングをしながらルールの浸透度をチェックしていただき、それが本審査の模擬試験となりました。
— ISMS、Pマーク、それぞれ審査はいかがでしたか。
いずれも何点か改善の機会はいただきましたが、それらの指摘事項は『Slack』上でLRMと共有し、相談に乗っていただいて対応していきました。
— LRMのコンサルタントはいかがでしたか。
お二人とも壁を作らないタイプで話しやすかったです。実は平村の前職がアクセンチュアで、コンサルタントとして経験を積んできた経験から、外部パートナーとプロジェクトを進める際の関わり方の要点は押さえていました。コンサルタントがチームの一員として関わることがパフォーマンスを最大化する方法であるということもわかっていましたので、そのような意識で取り組みました。LRMの担当者さんはお二人とも、チームを組む相手としては非常に取り組みやすいコンサルタントでした。
PDCAサイクルを回しながら顧客の信用に耐え続けられるよう取得を維持
— 今後の情報セキュリティ全般の取り組み課題をお話し下さい。
ISMSとPマークはPDCAサイクルを回し続けることを前提とした制度ですので、弊社の実態に沿った情報セキュリティルールや運用体制をいかに維持するか考えながら運用し続ける必要があると考えています。
現状を下回らないセキュリティレベルを維持しながら、事業内容や社会情勢の変化に応じてブラッシュアップしつつ、お客様にご安心してサービスをご利用いただけるようしっかり維持していきたいと考えています。
また、このような制度は時代によって価値が変わるものです。今後ISMSやPマークとは別の制度が主流になる可能性もあるでしょう。例えば、クラウドサービスを提供する会社は、ISO27017/ISMSクラウドセキュリティ認証も取得しなければいけないかもしれませんし、SOC 2(Service and Organization Controls 2)の取り組みを強化する必要があるかもしれません。ISMSとPマークの両方を維持し続けることの是非を含め、様々な可能性を視野に入れて定期的に見極めをしていきたいと考えています。
— 今後、LRMに御期待されることがあればお話し下さい。
LRMには今後も情報セキュリティの取り組みをサポートしていただきたいと考え、ISMSとPマークの運用改善サポート『情報セキュリティ倶楽部』を契約しました。今後、オフィスを移転する話もでております。その際に移転先のフィジカルセキュリティに関する支援をしていただきたいと考えています。
また、事業内容や社会情勢の変化に合わせ、適切なタイミングでルールを見直すための相談もしていきたいと考えています。
株式会社RevComm様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。
※ 株式会社RevComm様のWEBサイト
※ 取材日時 2020年1月