株式会社AVILEN様 – 顧客事例 –

ルールに従うのではなく、自社にとって最適なルールを作ることが大事。上手く管理すれば業務効率にもつながる。そういう意味でもISMSを取得して良かったです

株式会社AVILENは設立2年目に入った2019年11月、大手企業との取引が増える中、顧客からの信頼獲得を目的としてISMS/ISO27001認証を取得しました。「業務負担が増える懸念もあった」と話すのはCTO・吉田拓真氏。取り組み中のご苦労や、LRMのサポートによって得た成果についても詳しくお話しいただきました。

(株式会社AVILENについて)

「難しいことをわかりやすく」をコンセプトに掲げ、現在は、AI・機械学習領域に軸足を置いたソリューションを提供している。AIベンチャーとしての最大の特徴は、人材教育と技術開発のサービスを展開していることである。創業事業である人材育成では、個人向けと法人向けのサービスを提供している。個人向けには学生から社会人を対象にE資格やe検定などの対策プログラムをオンラインで提供。
法人向けには、実務に活かせることに主眼を置き、レベル別、目的別のパッケージプランを用意し、大手企業から急成長中のベンチャー企業まで幅広く支援している。また技術開発事業では、自社開発によるディープラーニング技術を搭載した自然言語処理エンジン『PARROT』、最適レコメンドエンジン『FALCON』、画像認識エンジン『HAWK』の提供およびコンサルティングなどを通じてAIプロダクトの内製化を支援する他、自社サービスの開発にも注力している。設立から順調に売り上げを伸ばし、大手企業との取引も増やしている。AIのトレンドを発信するメディア『AVILENAITrend』を運営。より多くの人々が最先端のテクノロジーを理解し活用することで、より自由でより豊かな生活が享受出来る社会の実現を目指している。
本社;東京都中央区。設立;2018年8月。従業員数;約20名(2020年4月)。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

株式会社AVILENは、2019年11月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。親身に対応していただいて、審査を受けるまでの準備はスムーズに進行し、2020年5月、ISMS認証を取得しました。

— LRMのコンサルティングをご依頼された経緯をお話し下さい。

当社の取締役が知人からご紹介いただいたことがきっかけでLRMに依頼しました。最初にLRMの担当コンサルタントとお話をさせていただいた際、親身にご対応いただき、信頼出来そうな印象がありました。

顧客の信頼を獲得するためにISMS/ISO27001認証を取得

最初に相談した時も親身にご対応いただき、信頼出来そうな印象がありました

最初に相談した時も親身にご対応いただき、信頼出来そうな印象がありました
(CTO・吉田拓真氏)

— 御社が扱う機密情報は教育事業で取得する個人情報が中心ですか。

教育事業における個人情報もそうですが、開発事業ではAIを作るためにお客様からデータをお預かりします。そのデータは機密データとして取り扱いに十分注意しなければいけないと考えています。

— ISMS認証取得の理由をお話し下さい。

開発事業を進める中で、情報セキュリティにきちんと取り組む必要を感じるようになったことが理由の1つです。お客様から信頼していただくためにも、責任を持って情報を取り扱う必要があると考えました。弊社はコアメンバーが全員20代と、若いメンバーが多い会社です。社歴も浅いためなかなか商談まで進みにくいケースもあります。ISMS認証を取得することで、お客様がご不安になられる要素を取り除くことが出来ると考えました。

自分達にとって最適なルールを作っていくことが大事。業務効率の向上も

— ISMS認証を取得するにあたってのご不安はございませんでしたか。

それはありました。やはり面倒臭いことが沢山増えてしまって、業務効率が下がってしまうのではないかという懸念は、当初ありました。

— そのご懸念は抱えたまま、取り組みはスタートされたわけですか。

はい。ただ、取り組みが進む中で、ルールに従うというよりは、むしろ自分達にとって最適なルールを作ることが大事だということがわかりましたし、上手く管理することで却って業務効率は上がるのではないかと感じました。
そういう意味でも、ISMS認証取得に取り組んだことは非常に良かったと感じています。

また、リスクアセスメントによって、どんなところにリスクが潜んでいるか明確に出来たことも良かったと思っています。例えば個人向けのセミナーで、受講者が利用規約を読まなくても受講出来る状態になっていましたので、受講していただく前に必ず利用規約を読んでいただくプロセスを検討し、システムの中に実装しました。

— 業務効率に繋がった例はございますか。

ルールが決まり迷うことがなくなったこと自体、効率化に繋がっていると思います。楽になったという点では、パスワード管理ツールの導入があります。管理者の私だけではなく、従業員全員が楽になったと言っています。

— その他にも従来にないルールも取り入れたと思いますが、いかがでしょうか。

リスクアセスメントを経て、細かいルールは色々と作りました。例えばGoogleの『G Suite』(現『Google Workspace』)を使ったドキュメント管理では、ドキュメントのアクセス権限を明確にしました。
また、PCを使う際、離席時はスリープ状態にするかスクリーンセーバーを設定し、業務用のデータはローカルに保存しないといったルールを設けました。他に、業務委託先管理の一環として定期的にアンケートをとることにしました。

— ドキュメントのアクセス権限や保存場所のルールを設けられたとおっしゃいましたが、それと関連して、私物PCの利用は認めておられるのですか。

ほとんどの社員は私物を使っていますので、利用するツールのルールを設けました。『G Suite』の他、ドキュメント管理は『Googleドライブ』、チャットツールは『Slack』、開発は『AWS(アマゾン ウェブ サービス)』を利用しています。

— 社内の意識の変化といったことはございませんか。

社員の意識は大きく変わりました。何かある度に「これは情報セキュリティ的に大丈夫ですか」という問い合わせが寄せられるようになり、全体的に情報セキュリティレベルを高めていこうという動きが生まれています。
つい最近も、ある種類の資料を保存する場所について、社員からリスクを指摘する声が上がり、それを機に保存場所を変えたばかりです。マニュアルを読んでもらったり、LRMの情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能で情報セキュリティの基本を学んでもらったりした成果です。

押しつけではない、“自社に合ったセキュリティの形”を探していくような進め方

どんなところにリスクが潜んでいるかも明らかに出来て良かったです

どんなところにリスクが潜んでいるかも明らかに出来て良かったです
(吉田氏)

— LRMのコンサルティングを受けたご感想をお話し下さい。

LRMには非常に柔軟に対応していただきました。もちろん、他のコンサルタントを知らないので比較は出来ません。ただ、LRMのサポートを受けるまではISOのコンサルタントに対して、無機質に沢山のことをやらされそうなイメージを持っていましたが、LRMにはこちらの都合に合わせた対応をしていただけたと思います。

— 11月にLRMに依頼し、5月に認証を取得されたわけですが、このスケジュールは計画通りですか。

計画通りです。ただ5月に取得しなければいけない理由はありませんでした。
目安として4月に全ての工程を終えるスケジュールを組んでいただき、その通りの進行が出来ました。

— ISMSの構築はスムーズに進みましたか。

面倒な部分はありました。規格に沿う部分で、考えなければいけないことが沢山ありましたが、それはどこのコンサルティング会社でも一緒だったと思います。

そんな中でも、LRMのコンサルティングは、決まったことを押しつけるような感じではありませんでした。
意外に自由が利くイメージで、私の意見を尊重していただいて、会社としてどうやっていくべきか相談しながら、我々に合ったセキュリティの形を探していくような進め方でした。

— 面倒な部分はどんなところですか。

事務局としての作業は私が一人で担っていましたので、普段の仕事と並行して作業するのは大変でした。ただ、面倒ではありましたが、当初思ったほどではありませんでした。

— 考えなければいけないことが沢山あったというのは、やはり情報資産やリスクの洗い出しのところですか。

そうですね。考慮しなければいけない項目は多かったです。「うちはこれでいいのかな」と1個1個考える必要があります。おそらくLRMが用意したマニュアルの叩き台や台帳類のサンプルといったツール類がなければ、もっと苦労しただろうとは思います。

— ドキュメント類の作成は、事務局が全て担われたのですか。

ドキュメント類の作成は、各部署に依頼して、事務局で集約しまとめました。

— ルールを決める際、従業員の方に反対されるなどのご苦労はありませんでしたか。

ありました。みんなの反応も見ながら、どこまで厳しくして良いのかな、という悩みは常々ありました。

— 最終的な決断はどのようにされたのですか。

LRMの担当コンサルタントと相談して決めました。どうすれば、現場の社員が仕事をしやすくて、情報セキュリティが保たれるのか、他社の事例なども参考にしながら決めていきました。

— 従業員教育のサポートについて伺います。『セキュリオ』をお使いになられたご感想をお話し下さい。

自動配信や、記録が残る部分など、管理者としては便利でした。従業員教育の実施記録にもなりますので、審査で提示を求められた際も便利でした。

— 内部監査員代行もご利用にはなられたのですか。内部監査員代行のメリットをお話し下さい。

内部監査員代行サービスも利用しました。まず内部監査そのものが何をして良いのかわかりませんので、代行していただくメリットはあると思います。専門家にチェックしていただくことで、運用が改善された面もあります。
第1段階審査、第2段階審査、それぞれの2週間前ぐらいに実施した他、審査直前にもチェックしていただいたことで、審査の予行演習にもなりました。おかげで実際の審査は、多少緊張しましたが大きなトラブルもなく順調に終えることが出来ました。

ISMS認証取得後もサポートを継続。『情報セキュリティ倶楽部』と『セキュリオ』を契約

— ISMS取得後の取り組み状況をお話し下さい。

ISMS事務局の取り組みを本格的にスタートさせました。もともとISMS事務局のメンバーは私を含めた3名ですが、新規取得に向けた事務局としての作業は私が担っていました。認証取得後は、事務局メンバーが全員集まり、ルールの改善や実施状況の確認など、年間スケジュールに沿った取り組みをしています。

— 今後、LRMに期待されることがございましたらお話し下さい。

LRMには今後も継続してサポートしていただきたいと思い、ISMS運用改善サポート『情報セキュリティ倶楽部』と情報セキュリティ教育クラウド『セキュリオ』を契約しました。

ISMS認証を維持するには従業員教育を毎年実施する必要がありますので、管理を楽にしたいという思いから『セキュリオ』を継続契約しました。『情報セキュリティ倶楽部』でお願いしたいことは主に内部監査です。やはり自分たちでやるよりも、客観的にチェック出来て良いのかなと感じます。またISMSを継続的に運用する中では様々な課題が出てくると思いますので、細々とした相談にも乗っていただきたいと考えています。

株式会社AVILEN様、お忙しい中ありがとうございました。今後ともよろしくお願いいたします。

株式会社AVILEN様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社AVILEN様のWEBサイト
※ 取材日時 2020年10月

  • システム開発・運用
  • 受託開発
  • 担当者の負担軽減
  • 50名未満
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る