株式会社HERP様 – 顧客事例 –

ISMSとPマーク、性質の異なる要求事項を満たしながら、運用スピードが落ちるのは避けたい。少しわがままな要望を、LRMの知恵を借りて実現しました

株式会社HERPは、2020年4月、ISMS/ISO27001認証を取得しました。先立つ2019年4月にはプライバシーマークを取得していた同社が、期間を空けずにISMS/ISO27001認証取得に取り組んだ理由と成果、そしてLRMのサポートを受けた感想を、コーポレート・西山麻未氏、田口悠希氏、エンジニア・hiroqn氏にお話しいただきました。

(株式会社HERPについて)

企業における新たな採用手法として注目を浴びるスクラム採用。人事や採用の担当者だけではなく、現場の社員が主導して行う採用方法だ。その概念を提唱し、広めてきたのが株式会社HERPである。中核サービスは、企業におけるスクラム採用を支援するための採用プラットフォーム『HERP Hire』の開発・運営である。2018年1月からβ版の提供をスタートし、2019年3月には正式リリース。IT系企業を中心に、成長ベンチャーや一部上場企業グループまで広く導入が進む。2020年1月にはスクラム採用の対象となるタレント(採用活動における潜在的な候補人材)の管理プラットフォーム『HERP Nurture』β版をリリース。社員とつながりのあるタレントへのアプローチを可視化し、選考開始後は『HERP Hire』へシームレスに連携させることで、企業の最適な採用コミュニケーションとスクラム採用を加速させる。HRTech SaaSを通じ、HR業界のアップデートを目指す。
本社;東京都品川区。設立;2017年3月。従業員数;約40名(2020年5月現在)。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得&プライバシーマークとの文書統合

— LRMへのご依頼内容をお話し下さい。

西山 株式会社HERPは2019年5月、ISMS/ISO27001(以下、ISMS)認証新規取得ならびにプライバシーマーク(以下、Pマーク)との文書統合コンサルティングを依頼しました。LRMの担当者は白田さんと金子さんです。白田さんには、前年度にPマークを取得した際も御支援いただいており、引き続きご担当いただきました。Pマークで構築したルールをベースにISMSのルールを構築し、2020年4月、認証を取得しました。

ISMS/ISO27001認証取得の理由;販路拡大に向けた信頼獲得と従業員のセキュリティ意識向上

「リスクを放置することで起こりえる弊害に意識を向けられるようになりました」(コーポレート・西山麻未氏)

「リスクを放置することで起こりえる弊害に意識を向けられるようになりました」
(コーポレート・西山麻未氏)

— 当初からPマークとISMS認証のW取得を目指しておられたのですか。

西山 はい。当初からPマークとISMS認証のダブル認証取得を目指していました。
ただ、スケジュール的な問題がありましたので、まずはPマークを取得し、続けてISMS認証を取得しました。ダブル認証取得の目的は以下の2点です。

(1)大手企業への販路拡大に向けた信頼の獲得
2018年1月に『HERP Hire』のβ版をリリースした際は、日頃からお付き合いのあるベンチャー企業を中心に導入いただいていましたが、2019年3月の正式リリースに向け大手企業への販売も視野に入れた環境整備が必要でした。

(2)従業員のセキュリティ意識向上
弊社の従業員の大半はエンジニアです。平均年齢は20代後半で社会経験も一定以上ありますので、情報の取り扱いに関してリテラシーは低くはありません。しかし今後、組織が拡大していく中で社員のリテラシーだけに頼り続けることは難しく、組織を成長させながら従業員のセキュリティ意識を維持・向上させるには、社内統一ルールを定め、継続的に教育していく必要があると考えました。

— Pマークとの文書統合は、どのような経緯でご依頼されたのですか。

西山 Pマークとの文書統合はISMS認証取得のコンサルティングを依頼した際に、LRMからご提案いただきました。
弊社における情報セキュリティマネジメントシステムの運用工数がミニマムで済む文書体系にしていただきました。

— ISMS認証の適用範囲をお話し下さい。

hiroqn 本社のみです。現在、つくばと京都にも開発拠点がありますが、いずれも準備中に増えた拠点であるため適用外とし、本社のみで取得しました。

ベンチャー企業のサポート実績などがコンサルティングを依頼した決め手に

— コンサルティング会社選定の経緯を伺います。Pマーク取得の際、LRMにご依頼された経緯と理由をお話し下さい。

西山 当時Pマーク取得に携わった者が、知人の紹介を受け、LRMに依頼しました。最終的に依頼を決めた理由は以下の4点です。

(1)ベンチャー企業に強い
LRMはベンチャー企業に対するサポート実績が豊富です。ベンチャー企業の文化を熟知しているので話がしやすいと考えました。特にITベンチャーのサポート経験があるコンサルタントにご担当いただけるという点も重要なポイントでした。

(2)コンサルタントがほぼプロパーである
LRMのコンサルタントのほとんどが、LRMが直接雇用する社員です。他社は外注が多いと聞いています。プロパー中心の方が、責任を持ってサポートしていただけると考えました。

(3)PマークとISMS認証のW認証に対応出来る
PマークとISMS認証のW認証取得を計画していたため、どちらにも対応していただけるコンサルティング会社に依頼したいと考えていました。

(4)認証取得後の運用コストが安価である
コンサルティング会社選定に当たっては、認証取得後の運用サポートの金額も提示していただきました。長期的に見た際の運用コストが最も安かったのがLRMでした。

以上、4点が決め手となりLRMに依頼しました。結果的にしっかりサポートしていただきましたので、ISMS認証取得もサポートしていただきました。LRMはPマーク取得を通じて弊社の事情を把握していたので、一から説明する必要もありません。他社を探す理由はありませんでした。

プライバシーマークのドキュメントをベースにISMSの要素を加えて1つの文書体系を整備

「担当者だけではなくチーム全体で対応するサポート体制も良かったです」(コーポレート・田口悠希氏)

「担当者だけではなくチーム全体で対応するサポート体制も良かったです」
(コーポレート・田口悠希氏)

— 御社内の取り組み体制を教えて下さい。

西山 ISMSとPマークの運用は、ISMS事務局と情報セキュリティ担当者が連携して取り組んでいます。ISMS認証取得にあたっては、Pマーク取得時の担当者から引き継ぎ、コーポレート部門の西山と開発部門のhiroqnの2名体制でスタートしました。田口は内部監査の準備から参加しており、現在はこの3名がISMS事務局として活動しています。
情報セキュリティ担当者は部門ごとに任命しており、情報資産やリスクなどの洗い出し、ルールの周知・浸透を担っています。部門ごとに洗い出した情報資産やリスクなどは、
それぞれISMS事務局が集約し、検討の上情報資産台帳、リスク管理台帳などのドキュメントにまとめました。

— 情報セキュリティ担当者はどのように選定されたのですか。

田口 情報セキュリティ担当者は、各部署の業務を把握し、なおかつ部署のメンバーにセキュリティの啓蒙を行う際の窓口になっていただける人物を選任しました。

— ISMS事務局の方々の、ISMSおよびPマークの運用経験をお話し下さい。

西山 田口は前職でISMSとPマークを運用していた経験がありましたが、西山、hiroqnはいずれも未経験でした。
そのため12月に田口をISMS事務局に迎えるまでは、円滑に作業を進めることが出来ずにいました。

— ご苦労されたのはどのような点ですか。

西山 本来の業務とのバランスを取るところが最も苦労した点です。ISMS認証取得に取り組み始めた当時は従業員数が14名ぐらいで、まだコーポレート部門も確立されていませんでした。ドキュメント類を整備していく作業は主として私が担当していましたが、コーポレート業務との両立で苦慮していました。途中でオフィスの移転準備があったことも業務量が増えた要因でした。しかし田口が入社し、ドキュメント類の整備を分担してもらったことで、円滑に進めることが出来るようになりました。

— 文書統合はどのような方法で行われたのでしょうか。

hiroqn 今回はすでにPマークの文書が存在していましたので、個人情報以外のISMSに必要なリスクアセスメントを追加で実施した上で、Pマークの文書と合体させて1つの文書体系にまとめ、それを叩き台として打ち合わせの中で確認しながら、弊社の実態に合わせて修正していきました。

— 今回、ISMSを構築した中でみなさんの業務に影響を与えるようなルールはございませんでしたか。

hiroqn 特に現場の業務に負荷がかかったり、開発スピードにブレーキを掛けたりするようなルールはありませんでした。今回適用したルールは、無理なく出来る範囲のルールばかりです。

リスクを放置しておくことによって生じる弊害を意識出来るようになったことが最大の成果

— ISMS認証取得に取り組まれた成果をお話し下さい。

西山 機密情報全般のセキュリティルールが整備されたことが最大の成果です。ISMS認証取得に取り組み始めた当初は、ISMSやPマークの運用経験がないメンバーでスタートしたこともあって、取得出来ないという事態になることを恐れていました。しかしLRMのサポートを受けながら進めていく中で、情報セキュリティ上のリスクに気付き、それらを放置しておくことによってどのような弊害を起こしてしまうかということに思い至るようになりました。ISMS認証取得に留まらない成果が得られたと考えています。

— 社内の変化として感じられることはありますか。

hiroqn 従業員の情報セキュリティに対する意識が変わったと思います。業務の中で「これはISMS的に大丈夫か」とかいう会話が生まれていることから、これまではあまり深く考えずにひとまず取り組んでいたことも、一旦立ち止まって確認してから行動するようになりました。

また優先順位も考えて行動するようになりました。これまでもどんなリスクがあるかということは、みんな何となくは感じていたはずです。ただ何を優先して対応すべきかについては、あまり意識せずに来ました。必ずやらなければいけないことと、さほど気にしなくて良いことが明確になったことで、メリハリを付けて対応出来るようになりました。

— ISMS取得の取り組みを進める際のみなさんの反応はいかがでしたか。

西山 Pマーク取得に続いてISMSを取得することになった時は、作業が大変そうだと心配する声もありました。ただ取り組み始めるとむしろ協力的で、ルールにも積極的に意見を寄せてくれる社員もいました。

出来るだけ不要なルールは増やしたくない。希望に沿ったマネジメントシステムの構築をサポート

「不要なルールは増やしたくない。その想いに沿ったサポートをしていただきました」(エンジニア・hiroqn氏)

「不要なルールは増やしたくない。その想いに沿ったサポートをしていただきました」
(エンジニア・hiroqn氏)

— ISMSの構築、Pマークとの文書統合を行う上で、LRMはどのようなサポートをしてくれましたか。

hiroqn 私たちとしては出来るだけ不要なルールは増やしたくないという思いがありました。そういった希望に沿ったマネジメントシステムの構築をサポートしていただきました。

田口 PマークとISMSの要件をどちらも満たしつつ、業務スピードを落とさない形でのマネジメントシステムを構築するための知恵を頂きました。ISMSとPマークは、重なる要素もありますが、単に個人情報と機密情報と守る範囲が違うだけではなく、そもそもの性質が異なる制度に基づいた認証です。それらを維持する中で、ISMSの要求事項を守ったばかりにPマークがおろそかになるということがあってはなりません。逆も同様です。
どちらの要求事項も満たしつつ、弊社の運用が重くなるのは望ましくないという、ややわがままな要望を実現するためにLRMのお知恵をいただきました。

— ISMSとPマークで、矛盾する部分もあるということですか。

田口 矛盾というほど大きな乖離ではありません。ただ、「ルールを定めること」が要求されているISMSと異なり、
Pマークでは、要求事項に「こうして下さい」と厳密に運用が規定されています。LRMにはその議論を通して決めたルールについて、ISMSならびにPマークの要求事項上問題ないかどうかを確認していただきました。

その中で、両方の規格の要求事項を満たしながらも、業務のスピード感や柔軟性を維持しつつ、セキュリティも担保するためにどの程度のレベル感で落ち着かせるのが望ましいかという議論をかなりしました。LRMにはその議論を通して決めたルールについて、ISMSならびにPマークの要求事項上問題ないかどうかを確認していただきました。

— その他のサービス内容についてお聞きします。従業員教育では情報セキュリティ支援サービス『Seculio』をご利用になられましたか。

西山 『Seculio』は、従業員教育の実施と管理、およびPマークとISMS上必要な法令管理台帳を揃えるために使いました。

— 『Seculio』をご利用になられたご感想をお話し下さい。

西山 必ず必要かと言われるとそうではないかも知れませんが、例えば従業員教育は、従業員数が増えるに従って対象者が増えますので、全従業員への周知や準備、テスト結果の管理などが一元的に行えるところは便利だと思いました。また、全てクラウド上で完結しますので、紙の文書が発生しない点も管理がしやすい要素です。

田口 法令管理台帳に関しても同様です。法令管理台帳で管理すべき外部ドキュメント類は、外部でバラバラに存在しているものです。それらの更新状況や改訂状況を逐一見に行くのは結構手間がかかることですので、一箇所に集約され、常に最新版をチェック出来ることは非常に有り難いツールだと思っています。

機能面では、対象となる法令や外部文書を検索する際の選択も容易ですし、エクセル形式でエクスポートすることも出来ますので、そこからGoogleスプレッドシートに移して社内文書として容易に管理、活用が可能です。
特にPマークでは自社の運用に関連がある法令を一覧化しておく必要があります。前職時代はこういった管理台帳類を一から作っていましたが、大変な作業でした。

— 内部監査員代行も活用されましたか。

田口 はい。弊社規模の組織はメンバー同士の関係が濃いため、内部監査がなあなあになったり、形骸化したりしてしまうのではないかと懸念していました。あくまでも内部監査責任者は社内の者である必要がありますが、監査員をLRMに対応してもらうことで公平性のある内部監査が実現できたと考えています。妥協のない内部監査を実施したことで、対応が不足している箇所も洗い出せましたし、こういう指摘があったと社内で話しやすい状況も生まれました。

— 外部審査はいかがでしたか。

田口 スムーズに終わった印象はありました。もちろん指摘事項はありましたが致命的なものではなく、今後の運用に結びつく前向きな指摘事項ばかりでした。

— 田口さん以外のお二人は審査を受けるのは初めてですね。

西山 はい。どういう審査員が来るかもわからないし、何を聞かれるかもわからないので、始まる前は緊張しましたし不安でした。しかし、始まってみると、すでにLRMとのミーティングで話したことを聞かれることが多かったので、回答に困ることは特にありませんでした。

「自分達で調べるよりプロに聞いた方が圧倒的に解決のスピードが早い。『情報セキュリティ倶楽部』を契約しました」(左から田口氏、西山氏、hiroqn氏)※右から弊社・金子、白田

「自分達で調べるよりプロに聞いた方が圧倒的に解決のスピードが早い。
『情報セキュリティ倶楽部』を契約しました」
(左から田口氏、西山氏、hiroqn氏)※右から弊社・金子、白田

コンサルタントの親身な対応とチーム体制でのサポート。継続サポートにも期待

— LRMのコンサルティングを受けられたご感想をお話し下さい。

西山 コンサルタントの方々がすごく親身で、親切に対応していただけたことが有り難かったです。また対面での打ち合わせ以外に、メールや電話などで問い合わせをした際もレスポンスが早かったので、スムーズに作業を進めることが出来ました。

田口 ご担当いただいたコンサルタントの方々だけではなくチーム体制で対応して頂けたところも良かったです。

— 今後のサポートは継続されるのでしょうか。

西山 ISMSとPマークの運用改善サポートサービス『情報セキュリティ倶楽部』は申し込みました。

— 『情報セキュリティ倶楽部』を契約された理由をお話し下さい。

西山 ISMSとPマークを運用する中で、わからないことがあった時に、我々自身が時間をかけて調べて不安を抱えたまま審査に臨むよりは、わからない時点ですぐにわかっている方に質問して確実なお答えをいただいた方が良いと考えて契約しました。

田口 ISMSもPマークも、プロの方にお伺いした方が、圧倒的に解決のスピードが早いケースがありますので、力をお借りしたいと考えています。

hiroqn 今後、事業が拡大していけば、ルールが変わることがあると思います。また、ISMSもPマークも定期的に審査がありますし、将来的にはISO27017/ISMSクラウドセキュリティ認証の取得も考えていますので、必要に応じて、専門家の視点でアドバイスいただければありがたいです。

株式会社HERPの皆様、お忙しい中、ありがとうございました。今後ともよろしくお願いいたします。

株式会社HERPの皆様、お忙しい中、ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社HERP様のWEBサイト
※ 取材日時 2020年5月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る