コミューン株式会社様 – 顧客事例 –

2020年10月、コミューン株式会社は、ISMS/ISO27001認証取得への取り組みを開始しました。“能動的にセキュリティを担保出来る体制作り”を目指して選んだコンサルティング会社はLRMでした。引っ越しの途中の新オフィスを訪ね、取り組みの背景や認証取得までの経緯、LRMに対する評価などを、コーポレート・廣野洸一氏に話を伺いました。

お客様が抱える課題とISMS構築アプローチ

• 能動的に情報セキュリティを担保する取り組みをしていきたい
• コーポレート業務をこなしながらISMS構築をしたい
• オフィスの移転を控えている

• LRMのひな形をたたき台として、業務実態に即したルールへカスタマイズ
• 情報資産の洗い出しや台帳作成は、各部署に協力を依頼
• 『セキュリオ』のeラーニング機能で、リモートワークでも従業員教育をストレスなく実施

LRMコンサルティングサービスへの感想

• 話しやすく、チャットでの迅速なコミュニケーション
• タスクを各部門への作業依頼レベルまで分解し、明確に示してもらえた
• 「これが正解」と押しつけるのではなく、いろいろな選択肢を挙げてくれた

（コミューン株式会社について）

企業とユーザーが融け合うカスタマーサクセスプラットフォーム『commmune』の開発および運用を行っている。『commmune』は、企業とユーザーのコミュニケーションを最適化するポータルサイトをノーコードで作れて簡単に運用できる。ユーザーコミュニティーの運営、メール配信、Q&A、イベント管理、ナレッジベースなど、導入企業が提供するサービスに関する情報を集約。企業とユーザーがあらゆるコミュニケーションを行う“顧客接点/面”として機能し、カスタマーサクセスの効率化、LTVの最大化を実現する。2018年9月のβ版リリース以来、スタートアップを中心に導入が広がり、現在はBtoC、BtoBを問わず、エンタープライズも含めた幅広い企業で活用されている。既存顧客コミュニケーション最適化のデファクトスタンダードとして、“テクノロジーの力で企業とユーザーの間の距離・断絶を解消し、全ての企業がユーザーと共創関係を構築できる社会“の実現を目指す。
本社；東京都品川区。設立；2018年5月。従業員数；約50名(2021年10月現在)

— LRMへのご依頼内容をお話しください。

コミューン株式会社は、2020年10月、LRM株式会社にISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。LRMの担当コンサルタントと一緒に打ち合わせをしながらドキュメント作成などの準備を進め、2021年4月に認証を取得しました。

— 御社側の体制をお話しください。

私がISMS担当者としてLRMと打ち合わせをしながらマネジメントシステムの構築、マニュアルの作成を行い、情報資産やリスクの洗い出しや台帳作成は、営業や開発などの各部署で作業をしてもらいました。

— 廣野さんについて伺います。コーポレートとしての普段の業務内容をお話しください。

経理、財務、総務、労務、法務、情報システム、それから経営企画の数字の作成・レポーティングまで、採用・人事以外はほぼ担当しています。

— もともとコーポレート領域のお仕事をされていたのですか。

キャリアとしてはそうです。特に経理畑で仕事をしてきました。新卒で大手化学メーカーに就職して管理会計をしていました。前職はマザーズに上場しているSNSマーケ領域の会社で経理をやっていました。弊社には2019年8月にジョインしました。

— 過去に在籍された会社では経理のお仕事をされていたということですから、ISMS認証の取得や運用に携わるのは初めてですか。

管理者としてISMSに携わるのは初めてです。前職時代は、会社でISMSを取っていて担当者と仲が良かったので、間接的に見聞きしていたぐらいです。

— 実際に取り組まれていかがでしたか。

取り組む前はわからないことばかりなので、大変だろうなと思っていました。実際、業務範囲が広範に及ぶ上に、今回はオフィスの移転もありましたので、ISMSに集中して考え続けるわけにはいかなかったことも事実です。ただ、結果を振り返ると社内でも「大きなプロジェクトやってくれてありがとう」といった感謝の言葉をいただきましたが、私自身はそこまで負荷がかかった感覚はありません。それはLRMのサポートをいただけたからだと思っています。

このようなプロジェクトは、やっている間に想定外のタスクが増えて、遅れることが多いと思いますが、今回のISMS認証取得に関してはスケジュール通りに終わりました。弊社は3月決算の会社ですので3月中に目処がつけられたら良いと思っていました。3月頭に第二段階審査を終えることが出来ましたので望む形で終えることが出来ました。

–ISMSを取得された理由をお話しください。

顧客の要求が情報セキュリティの担保にあることは感じていました。提供しているサービスの性質から自然なことだとは思います。お客様のメールアドレスをはじめとする個人情報を取得したり、コミュニティ上でお客様とコミュニケーションを取ったりするプラットフォームを提供していますので、情報セキュリティに対して求められる水準は高いと感じていました。

その一方で、私たちはまだスタートアップであるという自覚もありますので、お客様が求めることに対して受動的に応えてきました。お客様から要求されることへの対応は概ね出来ていたと思います。
例えば、セキュリティチェックシートへの回答を求められた際に、その項目を見ればどんなことが求められているのかがわかります。また、弊社の回答に対して「この部分ではこういう対応をして欲しい」と、ISMSやPマークを取るような大きな話ではなく、局所レベルでの要求を受けて対応することもありました。その中で少しずつセキュリティレベルは上がってきました。

ただ、サービスが成長する中で、要求に応えるだけではなく、自社としてあるべき水準が何かを考えて、能動的に情報セキュリティを担保する取り組みをする必要も感じていました。組織が拡大すればセキュリティ教育も課題となります。従業員数が10名程度の頃は、新しいメンバーが増えてもマンツーマンに近い形で、ダイレクトに指導することが出来ましたが、計画通りに人が増えていけばそういう訳にもいかなくなります。従業員間で情報セキュリティに対する認識レベルの格差が生じることは避けられません。最低レベルのラインを揃えるためにも、そのベースとなるルール作りが必要だと考えました。

そういった取り組みをしようと思った時にまず考えられるのは、ISMSもしくはPマークの認証取得です。
2つを比較した時に、弊社が現時点で取り組みやすいのはISMSであると考えました。

–PマークよりもISMSの方が取り組みやすいと考えた理由をお話しください。

Pマークは、絶対的にこのラインが求められるという項目が多いということは把握していました。他方、ISMSは自社に合わせて規定を作り、自社の状況に合わせて段階的にレベルを上げていく活動ができます。
弊社のようなスタートアップにとって、第一歩として適切であると判断しました。

–コンサルティング会社のサポートを受けることは当初から予定していたことですか。

自社取得も検討しましたが、どれぐらいのリソースがかかるかが読みづらいと思いました。最低限の工数は把握できますが、作業を進める間に想定外の問題は必ず発生しますので、最大でどれぐらいのタスク量になるのかは未知数です。いつどんな問題が降ってくるかわからないという怖さがあるため、自社取得は現実的ではないと考えました。

— コンサルティング会社は何社か比較されたのでしょうか。

LRMを含めた3社を比較しました。

— LRMに依頼した決め手をお話しください。

第一点は弊社の課題に対するアプローチです。課題というのはISMS認証を取得した理由、そのものです。
弊社は創業まもない成長企業であるため整備されていない部分が沢山ありますので、少しずつ整えていきたい。
メンバーが増える中でセキュリティレベルを揃える仕組みを作りたい。そういった課題感に対して、どのようなアプローチを取って解決していくのかを最も明確に提示していただけたのがLRMでした。

また、弊社と近しい業態のスタートアップ企業に対するサポート実績が豊富だったことも安心材料の一つでした。

— 御社の課題感に対するアプローチとは具体的にはどのようなことですか。

最も重視したのがひな形の使い方です。各社ともドキュメント類のひな形は持っていますが、そのひな形をどう使っていくかは、各社のスタンスで分かれます。そのままノンカスタマイズで、そのひな形に業務を合わせていくパターンもあれば、あくまでもたたき台にしてカスタマイズしていくパターンもあります。後者のスタンスであることが明確だったのはLRMだけです。弊社はまだ未整備な部分が多いという認識でしたので、その実態とひな形には絶対的な乖離があると思っており、そこを埋める作業は必要だと考えていましたので、そういう意味で最も適していたのがLRMでした。

— 成長する中での体制整備と、組織が拡大する中での個人間におけるレベル統一といった二つの目的は達成出来ましたでしょうか。

弊社が現段階で最低限やるべきだと思っている範囲では整えることが出来ました。

ただし、厳格に情報セキュリティが守られた状態なのかというと、もっとよりよくするためにできることはいろいろあると考えています。例えば、今、オフィスの引っ越しの最中ですが、これは、コロナ禍が明けた時に完全出社型に戻ることが前提で実施しています。現在は暫定的にリモートワークを行っているという認識のもとでルールを構築していますが、現在の状況を見ていると、リモートワークにも対応出来る何らかのソリューションを導入することを検討しなければいけないと考えています。

また、今回の引っ越しはISMSの構築段階で計画は上がっていませんでしたので、入退室管理や来客記録などのオフィスの管理に関するルールは定めていませんでした。計画が少し早まって、今、引っ越しているところですので、完了した段階でルールを決めなければいけません。

— 従業員間の情報セキュリティに対する意識のベースを揃えるという目的に関してはいかがでしたか。

この目的についても現状では出来ていると思います。規定や教育の仕組みが出来たことに加え、取り組みに対する共通理解が出来ました。

今回、ISMS認証取得の取り組みは、私1人ではなく、営業など他部門と連携しながら進めました。その中で、情報セキュリティは担当部署だけでやるのではなく、全社で組織的に取り組むべきものであるという共通理解を持つことが出来ました。今後、新しい取り組みをする際も進めやすくなりました。

— 実際の審査はいかがでしたか。

指摘事項は改善の機会をいくつかいただいたことと、そこに上がらない、こういうやり方もあるのではないかといった指摘もいただきました。いずれにしても、今後、セキュリティレベルを高めていく取り組みをする上で、具体的かつ非常に有意義な機会をいただけたと感じています。

— 今後の展望をお話し下さい。

まずは、今回構築したルールを浸透させていく取り組みは引き続きやっていかなければいけません。その上で、これからもサービスの成長に伴い様々なリスクが増えていきますので、開発メンバーを含め、現場の人間をより巻き込みながらしっかりリスク対応をしていきたいと考えています。

— LRMのコンサルティングを受けたご感想をお話しください。

非常に満足しています。話しやすいですし、チャットを使ったコミュニケーションも、すぐに返していただき、ストレスを感じることはありませんでした。

特に良かったことは、ルール作りにおいて「これが正解」と押しつけるのではなく、いろいろな選択肢を挙げてくれたことです。マニュアルのひな型に沿って規定を1つずつ議論しながら、ISMSの考え方に則った判断の仕方を教えていただきました。

コンサルティング会社と商談をしている段階で、各社ともコンサルタントとの相性が大切だということを言われましたが、LRMさんとは相性の良し悪しを意識してやりづらさを感じることはなく、ISMS取得という目標に集中して取り組むことが出来ました。

— 今後のご期待をお話しください。

今後は、『セキュリオ』に加え、ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約する予定です。
ISMSは認証を取得して終わりではなく、改善し続ける必要がありますが、本当に改善になっているのかどうかという判断は難しいと思っています。社内にはISMSの専門家がいませんので、自分たちが主体的に取り組む上でも知見のある方のアドバイスが必要です。新しいことをやっていこうとした時に、専門家の視点からフィードバックをいただけるところに価値があると考えています。

コミューン株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ コミューン株式会社様のWEBサイト
※ 取材日時 2021年5月