ガバナンスクラウド株式会社様 – 顧客事例 –

解釈と判断が難しいISMSの規格。LRMの納得いく説明とアドバイスのおかげで、主体的にリスク評価できる体制が整いました

国内初の役員会運営に特化したクラウドサービスを展開するガバナンスクラウド株式会社は、2022年6月、ISMS/ISO27001認証を新規取得しました。サービスの本格展開に向けた取り組みの中で目指したことと成果、そしてプロジェクトのサポートを担当したLRMに対する評価などを、代表取締役・上村はじめ氏に伺いました。

お客様が抱える課題とISMS構築アプローチ

役員会における機密性の高い情報を預かるため、管理体制を強化したい
半年ほどで認証を取得したい
認証取得だけのための不要なルールは避けたい

実態に即したルール構築で無駄な業務フローを生まない
運用する中で生じた不具合はその都度修正

LRMコンサルティングサービスへの感想

納得できる説明をもらえたことで、主体的にリスクを判断できるように
ほとんど打合せ内のみでルールを検討し文書が完成
フルリモートでの業務において『セキュリオ』のeラーニング機能は便利

（ガバナンスクラウド株式会社について）

役員会運営クラウドシステム『Governance Cloud』の開発・運営を行うスタートアップ企業。役員会の多くが抱える情報の適時性、安全性、業務効率性の課題をテクノロジーで解決する。『Governance Cloud』は、会議体の最適化を図り、役員会全体の機能向上をサポートするシステムだ。役員がタイムリーかつ安全に必要な情報にアクセスし、日程調整から議案・資料の共有、議事録の署名まで効率的に行うことが可能。法務局により、登記に利用できる議事録電子署名システムとしても認められている。意思決定の質と適切なガバナンスが求められる役員会をサポートし、企業の長期的発展と、持続可能な社会の実現を目指している。
設立；2021年6月。本社；東京都港区。

記事index

LRMへの依頼内容；ISMS/ISO27001認証新規取得コンサルティング
あらゆる企業の中長期的な成長に寄与するクラウドサービス
ISMS/ISO27001認証取得を通じ、より充実した情報セキュリティ体制を構築
認証を取得するためだけの無駄なプロセス導入は回避したかった
実のある体制作りをサポートしてもらえる期待感
専門家の意見を聞くことで、主体的にリスクを評価し判断できる力が養えた
コンサルタントとの会話から自動的に文書が出来上がっていく感覚
常に新しい発見。毎週の打ち合わせが楽しみに

LRMへの依頼内容；ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話しください。

ガバナンスクラウド株式会社は、2022年2月、LRMにISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。

2月初旬にキックオフした際は、約半年後の7月中に登録証を受け取るぐらいのスケジュールを想定していましたが、結果的には6月中に取得できました。担当者・増元さんのサポートを受け、スムーズに進行できました。

あらゆる企業の中長期的な成長に寄与するクラウドサービス

高い情報セキュリティレベルが求められるからこそ、実のあるマネジメントシステムを作りたいとは思っていました
（代表取締役・上村はじめ氏）

— 役員会の運営に特化したクラウドサービスが生まれた理由をお話しください。

私はインターネットサービスを運営する上場企業に15年間在籍し、そのうち10年間、取締役を務め、取締役会の運営に携わっていました。その中で様々な経験をしたことが、弊社設立の背景にあります。退職後はコンサルティング会社を始め、様々な企業のサポートをしていましたが、それらの組織は規模の大小問わず同じ課題を抱えていました。その課題をシステムによって解決できないかと考え、様々なクラウドサービスを研究し、サービスを立ち上げました。海外では既に役員会運営をサポートするサービスがかなり浸透しており、フォーチュン500、1000といったトップクラスの企業が多数導入しています。
日本においても同様のサービスの必要性は高まると考えています。

— 大小問わず、多くの企業が抱えている課題とは、具体的にはどのような課題ですか。

取締役会や、それに準ずる役員会は、民間企業をはじめ、ありとあらゆる組織に存在しています。それらは組織における最も重要な意思決定機関ですが、その運営には大きなリスクが伴います。役員会を運営するには、関係者同士の様々なコミュニケーションが発生しますし、資料も共有する必要があります。さらに、議事録には出席者全員が署名や押印をする必要があります。こういった業務は従来、アナログな手段で行われ、大変な手間がかかっていました。
近年、組織のあらゆる業務がデジタル化される中、役員会の運営管理にもシステムを活用し始めている例はあります。しかし、複数のツールを併用している場合も多く、情報が分散することで、漏えいリスクは高まりますし、管理も煩雑になってしまいます。

弊社はそういったリスクを軽減するため、1つのシステムで一元管理することを提案しています。

— サービスはすでにリリースされているのですか。

はい。2021年1月から開発を進め、α版ができたタイミングでガバナンスクラウド社を設立しました。それからトライアルでの提供を始め、現在、有償版に移行していただいているお客様も増えています。上場企業をはじめ、コーポレートガバナンスに対する関心が高い企業に導入いただいています。

— 事業のビジョンをお話しください。

現状は始まったばかりで、まだまだ認知されていませんので、まずは知っていただくことが先決です。コーポレートガバナンスは上場企業だけではなく、ありとあらゆる組織に求められています。それは監視の仕組みではなく、世の中が何を求めているのかを理解し、適合していくための仕組みです。規模の大小に関わらず、コーポレートガバナンスの仕組みが構築されれば、中長期的な成長に寄与しますので、より多くの組織に『Governance Cloud』をお使いいただきたいと考えています。

ISMS/ISO27001認証取得を通じ、より充実した情報セキュリティ体制を構築

— ISMS認証取得の理由をお話しください。

弊社がISMS認証を取得した理由は、サービスを提供するお客様にご安心いただくための環境整備です。外部の信頼性を得るには第三者認証が必要です。

弊社は、企業が保有する情報の中でも特に機密性の高い情報をお預かりしています。顧客情報の保全を最重要事項と捉え、システムと体制の両面でセキュリティを意識しながらサービスを構築してきましたが、今回の取り組みでは、国際的な認証規格であるISO27001に基づくとともに、専門的な知識を持ったコンサルタントの知見をいただくことで、より充実したセキュリティ体制を構築したいと考えました。第三者認証を取得することで、対外的にも、弊社の社内体制がしっかりした仕組みを持っていることを説明しやすくなると考えました。

— ISMS認証取得を意識し始めたのはいつ頃ですか。

情報セキュリティの重要性はサービスの企画段階から意識していました。ISMS認証取得も当初から計画していました。ただ、オペレーションが決まらないとルール構築は出来ませんので、ある程度、運用の形が決まった段階でLRMに相談し、2022年2月にキックオフしました。

— 7月に登録証が届くというスケジュールを設定された理由をお話しください。

まだスタートしたばかりのサービスですし、規模も大きくはないということと、スタート時点から情報セキュリティに対する社内のプライオリティは高めていましたので、半年ぐらいで無理なく取れるだろうという見立てをしました。

実際、取り組みを通して、苦労した記憶はございません。これ以上の時間をかけたとしても、結論は大きく変わらなかったと思います。LRMは、たくさんの企業の事例をお持ちです。その知見をもとに、我々の状況をご理解いただきながら迅速かつ的確なリードをしていただけたからだと考えています。

認証を取得するためだけの無駄なプロセス導入は回避したかった

— ISMS認証取得には、どのような社内体制で取り組みましたか。

私が中心となり、サポートが１名、開発担当が１名の３名体制で臨みました。

— これまでISMSなど、認証取得のプロジェクトに関わられたご経験はございましたか。

独立前に勤めていた会社で情報セキュリティ部門の担当役員を務めていました。その際に、プライバシーマーク（以下、Pマーク）の取得に、責任者として関わりましたので、プロセスは理解していました。

— 今回、ISMS認証取得にあたり、ご心配されたことはございましたか。

ISO規格に基づく認証取得を目指すこと自体は初めてですので、心配はありました。もともと情報セキュリティには配慮していましたから、実質的に意味があることはしっかりやりたいとは思っていましたが、弊社の規模感や業務オペレーションに対し、過剰な施策を取り入れなければ認証が取れないということになると本末転倒です。認証を取得するためだけに無駄なプロセスを導入すること避けたいと考えていました。

ただ、それを社内だけでやるには判断できないことが多いだろうと思っていました。LRMには、クラウドサービスを提供する事業者へのコンサルティング実績がございますので、安心してお任せできるのではないかと思い、ご相談しました。そのおかげで、イメージ通りのスケジュール感で、非常に実のある体制作りができました。

実のある体制作りをサポートしてもらえる期待感

— コンサルタント会社選定の経緯をお話しください。

サービスの構想が始まった段階から認証を取得する考えはございましたので、機会を見てはコンサルティング会社にお話を伺っていました。コンサルタントのサポートを受けずに自社で取得することも検討しましたが、LRMと話して、やはりサポートを受けた方が良いと感じて依頼しました。

— LRMに依頼した決め手をお話しください。

弊社にとって情報セキュリティは重要なプロセスですので、基本的には、信頼できる方にお願いしたいという思いはありました。その上で、LRMに決めたポイントは次の3点です。

（1）知人からの評判
最も判断に影響したのが、知人からの評判です。私の周囲に、LRMのサービスを受けた会社が複数ありまして、いずれも「良かった」と仰っていました。

（2）実績
弊社の業態と似た会社をサポートしていることは、大きな安心材料でした。

（3）サポート内容に対する期待感
ISMS認証を取得する上で最も大切だと思っていたのは、実のある体制作りです。LRMからISMS認証取得まで流れを伺い、我々が目指す体制づくりをサポートしていただけるという期待が持てました。

話を聞いたコンサルティング会社の中には、ISMS認証取得から取得後の運用まで、定額で丸投げできるサービスを提案してくる会社もありました。しかし弊社は、あくまでも自社内でしっかり判断して対応できる体制を作りたいと考えていました。LRMが提案するアプローチの方が、我々の目的には合致していました。

マネジメントシステム構築に対する考え方や、プロジェクトの進め方を、弊社本位で考えていただいているという感覚を持てたことも信頼に繋がりました。

毎回、打ち合わせに出席することが楽しみでした

毎回、打ち合わせに出席することが楽しみでした
（右；上村氏、左は弊社・増元）

専門家の意見を聞くことで、主体的にリスクを評価し判断できる力が養えた

— ISMS認証取得の取り組みを通じて、業務の進め方に変化はございましたか。

もちろんありました。リスクアセスメントによって対応すべきリスクが見つかれば、対策を検討して必要な手続きを導入しました。網羅的にリスクを識別して、対策をとることができました。

— ルール作りや文書作成に関して、「自社の規模感やオペレーションに対して、やらなくても良いプロセスを導入することは避けたい」とのことでしたが、狙い通りの結果になりましたか。

結果的には、我々の意図から外れたルールにはなっていません。今回、増元さんには、弊社の状況を含め、率直に相談させていただきました。

ISMSの規格では、必ずしも具体的な施策までは触れていません。規格の文面を読んだだけでは判断できないことは、その都度、相談してアドバイスをいただきました。一般的に採用されているプロセスでも、弊社に当てはめることが厳しい場合があります。そういったケースでは、こちらから代替手段を示して、相談しながら進めていきました。
結果的に、作成したドキュメントも無駄なく、全体を網羅したものになりました。

— 御社の現状に即して考えると「これはやるべきではない」と思われることは、少なくなかったですか。

はい。業務フローの中に、実態に即さない形式的な手続きが入り込んでしまうと、結局は定着せずに形骸化してしまいます。全社的に守れないルールができてしまえば、従業員の意識も希薄になりますので、却ってリスクは高くなります。そういったほころびが少しでもあると、今後、サービスを増やしたり拡大したりする中で、禍根を残す可能性がありますので、できる限り無駄がないようにチェックしました。LRMとのミーティングの中で決めた後も、運用してみて不具合があれば、その都度修正していきました。

— 今回の取り組みでは、現サービスの拡大だけではなく、新しいサービスが増えていくことも意識はされたのですか。

もちろんです。今後、どのような形で事業を拡大していくかは様々な可能性があります。だからこそ、事業環境や会社自体が変化する際に、どこにリスクがあり、どういう体制を取るべきかを、自分たちで判断できるようになる必要があると考えました。

実際、今回の取り組みは、我々の判断力を養うことにも繋がりました。何か新しいことやる際には、メンバーそれぞれが、自然とセキュリティ面で考慮する必要性をコメントするようになっています。専門家の意見を聞きながら、ルール作りに取り組むことで、リスクを主体的に捉えられるようになりました。LRMに依頼した際に期待した通りの成果が得られました。

コンサルタントとの会話から自動的に文書が出来上がっていく感覚

— ルールづくりや文書作成のためのお打ち合わせは、どのようなペースで行われたのですか。

週次で2時間ぐらいの打ち合わせを5～6回ほど行いました。私が1人で参加した時は、その場で決められないこともありましたので、持ち帰って他のメンバーと相談しながら作業をしたこともあります。しかし、ほとんどは打ち合わせの場で決めて、文書に反映しました。増元さんと会話をしていたら、自動的にアウトプットができていくような感覚でした。

— 持ち帰って作業をするときにご苦労されることもございませんでしたか。

ありませんでした。メールで質問させていただいたことはありましたが、特にストレスを感じることもありませんでした。

— ルール作りや文書作成以外についてもうかがいます。まず従業員教育はいかがでしたか。

従業員教育は、情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用して、スムーズに実施できました。

弊社ではリモート勤務の社員が多く、全員が1つの場所に集まって業務を行うスタイルではありません。社内ミーティングもオンラインで実施していますので、eラーニングは便利でした。予め教材も用意されていましたので、作成の手間や労力も不要です。

— 形骸化しない仕組みづくりという観点から見て、このようなISMSの要求に従って実施する従業員教育は有効に思われますか。

十分に有効だと思います。ただ、その前提として従業員の意識が揃っている必要はあります。弊社では、お客様の情報を守ることの重要性は全社員で共有できています。その認識を共有できていれば、むしろ関心を持って取り組んでもらえます。また、『セキュリオ』のeラーニングは、管理者から教材を配信した後、従業員は自らの意思でその教材に取り組みます。その仕組みによって、主体的なアクションを確認できることにも意味があると思います。それが意識レベルを量る基準にもなります。

— eラーニング以外の機能は活用されましたか。

法令管理機能とサプライチェーンセキュリティ機能を活用した他、安否確認機能を使って、有事を想定したシミュレーションも行いました。

サプライチェーンセキュリティ機能は委託先のセキュリティ状態を確認するための機能です。委託先のセキュリティチェックも、自分たちでアンケートを作成して送付し改修することは可能ですが、『セキュリオ』の機能を活用すれば効率的です。委託先にとっても手間も省けますし、専門家が作った仕組みですので、安心してご回答いただけるのではないでしょうか。

— 内部監査はLRMが代行したと思いますがいかがでしたか。

今回は初回ですので、第三者に見ていただくことに意味があると考えました。内部監査の結果を受けて、改善した箇所もありました。

また、内部監査の後も、審査前にミーティングを行い、審査を受けるにあたっての懸念点を相談しました。審査後は、審査員からいただいた指摘事項を報告して、一緒に対応を検討していただきました。

— 一通りルールづくりなどの準備を行った上で、審査を迎えるにあたり、懸念点はございましたか。

審査当日の流れです。どのようなことを聞かれるのか、どのような進め方になるのか、事前に把握しておきたく、LRMに相談しました。私自身のヒアリングであれば、私が答えるしかありませんが、社員に対するヒアリングもありましたので、その場合、どこまで私がフォローできるのか、一言でも発すればマイナス評価になるのかなどを相談しました。

結果的に審査当日は、慌てることもなく対応ができて、大きな指摘事項もなく終了しました。

常に新しい発見。毎週の打ち合わせが楽しみに

— お知り合いから評判を聞かれたことが、LRMにご依頼された一番の理由とおっしゃっていました。実際にサポートを受けたご感想をお話しください。

期待以上のサポートでした。短期間で毎週打ち合わせをさせていただきましたが、毎回、出席することが楽しみでした。嫌々やっている感覚は全くありませんでした。

それは常に新しい発見があったからです。特に規格に関して「そう解釈すれば良いのか」と納得できるご説明をいただけたことが非常に有意義でした。そのサポートがあったおかげで、1つのリスクに対し、弊社の場合はどの範囲で、どこまでやればいいのか、自信を持って判断できるようになりました。

— 情報セキュリティの取り組みに関連して、今後の展望がございましたらお話しください。

情報セキュリティの取り組みは、ISMS認証を取得して終わりではありません。特に今後、従業員も増えますので、教育を含めて体制の強化と充実に取り組んでいきたいと考えています。また、事業が拡大していく過程では、追加認証を取得することもあるかもしれません。新しい課題に取り組む際には、LRMに改めてご相談したいと考えています。

ガバナンスクラウド株式会社様、お忙しい中ありがとうございました。今後ともよろしくお願いいたします。