株式会社キャリアデベロップメント・アンド・クリエイション様 – 顧客事例 –

株式会社キャリアデベロップメント・アンド・クリエイション は、事業展開を円滑に進めるため、LRMのサポートのもとISMS/ISO27001認証を取得しました。同社の情報セキュリティに対する基本的な考え方から取り組みの経緯を、代表取締役CEO・和氣忠氏、CTO・土屋優樹氏のお二人に伺いました。

（株式会社キャリアデベロップメント・アンド・クリエイションについて）

企業における人材開発および育成・発掘が進むためのプログラムを提供するHRテックサービス会社である。単発的なトレーニングや定期的な人事考課によって行動改善を目指す人材開発に対し、同社は同僚同士や上司・部下間の日常的なコミュニケーションの中で、個人が得意なことに気付かされ自信を得ていくことで、意識や行動を変えていくことを目指す。そのベースとなるのは、代表取締役CEO・和氣忠氏が開発したマイクロフィードバックコミュニケーション手法（同社登録商標）。同じ職場で働く仲間のアクションに対し、日常的に、簡単なアドバイスや声がけを高頻度で行うことでお互いの「得意・長所」を伸ばすコミュニケーション手法だ。2018年12月、マイクロフィードバックコミュニケーション手法を職場で実践するためのツール『TeaMeアプリ』を正式にリリースして商用サービスを開始。大手企業への導入が進む。日本で働く人々がそれぞれ持っている成長ポテンシャルを開花させることで真のダイバーシティ経営を実現し、日本企業のイノベーション推進に貢献していく。
本社；東京都港区。設立；2017年3月。

— LRMへのご依頼内容をお話し下さい。

和氣氏　株式会社キャリアデベロップメント・アンド・クリエイションは、2019年1月、LRMにISMS/ISO27001（以下、ISMS）認証取得コンサルティングを依頼しました。LRMの担当者は、大谷さんと三崎さんです。
弊社の希望通り、最小限の必要条件で運用出来るマネジメントシステムを、無駄なく効率的に構築し、2019年8月にISMS認証を取得することが出来ました。

— ISMS認証を取得した目的をお話し下さい。

弊社がISMS認証を取得した目的は、お客様にご安心いただける情報セキュリティ体制を整備するためです。

情報セキュリティ系の公的認証の取得を検討し始めたのは『TeaMeアプリ』を正式にリリースした2018年12月です。
その前にパイロット版の運用をしていた頃から、お客様からセキュリティチェックシートやクラウドサービスの利用基準をいただくことがあり、その中に公的認証の取得を問う項目は必ず入っていました。パイロット版は期間限定なので取得していなくても許されていましたが、商用サービスリリース以降は弊社としてもISMSかプライバシーマーク（以下、Pマーク）のいずれかは取得した方が良いと判断しました。

ISMSを選んだ理由は、弊社なりに調べた結果、企業向けサービスを提供している弊社にとってISMSの方が運用しやすいと考えたからです。

もともと弊社のサービスは、お客様である企業の財務情報や極秘情報などクリティカルな情報には触れない仕組みになっています。個人情報もメールアドレスぐらいしかお預かりしません。Pマークは取得企業の規模や状況に関わらず、
個人情報の取り扱い方を、非常に細かく管理する必要があります。一方、ISMSは認証取得企業の実態に合わせたルールを構築することが出来ます。そのため弊社にとってはISMSの方が運用しやすいと考えました。導入企業からいただくセキュリティチェックシートの内容も、ISMSの内容に近いと感じました。

— 具体的な取り組み内容について伺う前に、御社のセキュリティにについてのお考えを伺います。先ほどは、そもそもクリティカルな情報は持っていないとおっしゃっていましたね。

はい。サービスの立て付け上、クリティカルな情報はほとんど持っていません。従って、今のところは致命的な事故が起きることはほぼないと思っています。もちろんリスクはありますので、それを認識しておく必要はあります。

しかし、セキュリティというものは品質管理と同様切りがありません。ISO9001認証を取っている企業は沢山知っていますが、その例を見ていると、頑張って立派なドキュメントを作成しても一定以上の品質は保証されません。それと同様、セキュリティも厳しいルールを作っても、それほどの効果はないと思っています。現実レベルで適確にやった方がビジネスパフォーマンス的に優れています。これから事業を前に進めていく際に、ガチガチにセキュリティを固めていくほどの余裕はありませんので、うまい具合にバランスとりながら事故を避けていくのが現実的です。

— オフィスの入り口の物理的な対策も特別にはされていないのですか。

オフィスのセキュリティについては、お客様が最も不安視される1つの要因ですので、オフィスを探す際に、ペンシルビルであること、ワンフロア・ワンオフィスであることを条件に探しました。エレベーターもセキュリティカードを使って弊社のフロアで停止できないよう制御出来るようになっています。階段で上がって来てもロックがかかっています。さらにリモートキーもつけているため、入退室の履歴は全て見ることが出来ます。誰が入ったかという入退室管理システムはありませんが、これだけやっていればお客様は納得して下さいます。

— メールに関しては従来から取っている対策はございましたか。

メールの添付ファイルは全てZIP化してパスワードをかけて送っています。また、パソコンはOSのセキュリティが堅牢なMacを標準使用しています。MacはハードディスクをOSで暗号化が出来るため暗号化してあります。お客様側の情報システム部門も、Macならセキュリティソフトを入れなくて良いとおっしゃいます。開発環境でセキュリティソフトを入れちゃうと仕事になりません。

以上の通り、リスクの根源構造を可能な限り排除して、インシデントが発生しにくい状況で業務を行っています。

— ここで一旦、CTOの土屋さんにお話しを伺います。土屋さんはISMSに関してはどのような印象を持たれていたのですか。

土屋氏　私自身はISMSを運用している環境で仕事をした経験はありません。ただ、ISMS認証を取得している開発会社と取引をしたことがありますが、基本的には大変そうなことをやっているという印象しかありませんでした。目的と手段が混同され、よくわからないキメが出来上がっているような運用がされている開発会社は少なくありません。

諸悪の根源は、持たなくて良い情報を持ち続けることにあると思っています。不要な情報を沢山持っているがゆえに巨大な倉庫を作ったり、分社化したり、ビル全体をセキュアにしたりしていますが、それなら最初から持たなければ良いじゃないかというところには何故か行き着かない。シンプルさとは対局にあるのがISMSやPマークを運用している会社のイメージでした。

なぜそうなるのかというと、ISMSもPマークも古い制度であり、現代の状況にフィットしていないからだと考えていました。私はUSBメモリーも使ったことがありませんし、データを持ち出したり印刷をしたりもしません。それが現代のビジネスの実態だと思いますが、ISMSもPマークも、それらがある前提で規格が作られていますので、認証を取得するにはその規格通りのルールを作る必要があるのだろうと思っていました。

しかし今回、実際にLRMと打ち合わせをする中で、そういう複雑なことをしなくてもISMS認証を取得できるということを知り、新鮮でした。最初はどんな表現で切り抜けようかと考えていましたが、単純に「不要」と書けば良いと聞いて、気持ち的には楽になりました。

— 文書作成の作業は御社が行われたのですか。

和氣氏　そうです。新規構築の段階で文書作成を丸投げしてしまうと、運用フェーズになった時に、どうして良いかわからくなり、結果的に運用負担を大きくしてしまいます。最初に最小限、自分で手を入れた方が負担を軽減出来ます。

そもそも私はマネジメントコンサルタント出身なので、人に頼りたいとは思っていません。ブラックボックスが気持ち良くないのです。認証を取った後にドキュメントだけが残ってもそれをどうして良いかわからなくなってしまいます。変えて良いのか、変えられないものなのかわからないまま縛られるのは、性格に合わない。フロントロードという形で、先にちょっと手を入れて置けば後が楽になるという考えがベースにあります。

— 文書作成の作業に充てられた時間はどれぐらいですか。

さほど掛かっていないはずです。5時間ぐらいでしょうか。10時間はかかっていません。私はそのような仕事は早いですよ。法務文書など、その手のプロセス文書を読み込むスピードが早いですし、文書の性質に合わせた表現もトレーニングされています。今回は、LRMのひな形を使って、参考例も見ながら1回作ってみて、わからないことがあれば聞いて作り直す、ということを何往復かして作成しました。自分が書きかえたものは全部変更履歴にしてお渡しして、表現の問題を含めて確認していただきました。 ただ、リスク管理表の作成は気が滅入る作業でした。非常に細かいExcelシートを作る作業です。洗い出したリスクを1つ1つ検討して、現状とあるべき姿を書き出して、リスクのレベルを点数化し、要改善のものはどう改善するかを書き込んでいく作業は根気がいる作業でした。

しかし、それも使いやすいひな形が用意されていたので、それに沿って作業をしました。

— 従業員教育についてお話し下さい。

従業員教育は、情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を使い、最低限理解しておくべきISMSの基本を学習しました。

『セキュリオ』のトレーニングは極めてシンプルで素晴らしく良くできていますね。難しくやったところで、簡単にやったところと効果は一緒だという割り切りがありますし、システム上で完結しているので審査用にわざわざ提出書類を作る必要がありません。非常に合理的です。

コンサルティング会社の手法としてよくあるのが、顧客を集めて行う集合研修やオンラインのビデオ研修です。
ああいったものは非常に非効率的だと思っていましたので、こういう形で効率的に出来て良かったです。

— 内部監査はいかがでしたか。

内部監査は、LRMに内部監査員を代行してもらいました。小規模な会社が自分達でやると、自問自答になってしまうので委託した方が自然です。コンサルタントが第三者視点でチェックしたという立て付けの方が審査員にとっても評価しやすいでしょう。

— 審査はいかがでしたか。

審査もスムーズに行きました。いくつか面倒な指摘もありましたが、LRMに相談して対応すべき点は対応して文書を提出し直して、一通りこちらでやる作業は終えることが出来ました。

— LRMのサポートはいかがでしたか。

「無駄のない取り組みにしたい」という我々の希望には完全に沿ってサポートしていただけたので心地よかったです。特に、文書のひな形と作成におけるアドバイス、情報セキュリティ支援サービスの仕組みが良かった。マネジメントシステムの構築には加減というものが大事です。ここまではやるべきだけど、これ以上やっても仕方がないからこれぐらいで、というバランスの取り方は経験がなければ出来ません。不安になればなるほどどんどん作業してしまうことになってしまいます。無駄なミーティングやコミュニケーションコストも発生せず、良い塩梅の取り組みになりました。

— 土屋さんから何がございましたらお願いいたします。

土屋氏　私もひな形をチェックしましたが、シンプルで長ったらしくなく、要点は抑えてあるのだろうなという印象を持ちました。ISMSの文書類は、法律文書に近く、同じ日本語でも我々が知っている日本語とはかけ離れた文章で書かれています。細かいニュアンスや読点の位置、句点の位置を変えるわけにいかない類いのものもあると思っていますので、“どうしても納得のいかないモノ以外は納得”というスタンスでやろうと思って読んでいました。しかし蓋を開けてみると、平易な文章でまとめてあり、そんなに深く考える必要はなかったと思いました。哲学的にも弊社の考えと合致していましたので苦労することなく作業を進めることが出来ました。

— 情報セキュリティに関する今後の課題はございますか。

今後は1年に1度PDCAサイクルを回すプロセス設計になっていますので、しっかり取り組みたいと考えています。
その中で、社員が増えた際の従業員教育は特に重要ですので、一般社員用に要点を押さえた簡易版のルールブックを作ろうと考えています。ドキュメント量が多くはないと言っても、きちんと読むのは従業員レベルではかなりきつい作業となります。重要な箇所だけ抜き出した簡易版のマニュアルを作る計画です。

以上のような取り組みを控えて、ISMSを無駄なく運用していくためにはどのようなストラクチャーが良いかを考えると、これからもLRMと関係性を持って行く方が良いと考えています。そこで引き続きISMSの運用改善サポート『情報セキュリティ倶楽部』の契約を検討しているところです。
※その後、正式に『情報セキュリティ倶楽部』をご契約いただきました。

株式会社キャリアデベロップメント・アンド・クリエイション 様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社キャリアデベロップメント・アンド・クリエイション様のWEBサイト
※ 取材日時 2019年12月