株式会社キネカ様 – 顧客事例 –

ゼロからのスタートでもLRMは親身に最後まで併走してくれて安心感があった

株式会社キネカは、LRMのサポートを受け、2023年3月にISMS/ISO27001を取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、榊原様・下田様のおふたりにお話をお伺いしました。

お客様が抱える課題とISMS構築アプローチ
  • 社内にISMSに詳しい人材が不足している
  • 事業拡大も見据えて社内体制を整備したい
  • 自社に合った無駄のないルールを作りたい
  • 実績が豊富でいつでも相談できる安心感のあるコンサル会社を選択
  • 様々な働き方に合うよう柔軟に体制を構築
  • セキュリティ意識を浸透させるために粘り強く周知活動を行う
LRMコンサルティングサービスへの感想
  • 最後まで伴走してくれる安心感があった
  • どんな質問にも真摯に答えてくれた
  • 自社のやり方に合わせて柔軟に対応してくれた

(株式会社キネカについて)

株式会社キネカは、「新しいエンタメで世界の喜びを最大化させる」をミッションに掲げ、エンタメにテクノロジーを活用することによって、場所や時間にとらわれないエンターテイナーの新しい働き方を支援する事業を展開している。エンタメ特化型のマッチングプラットフォーム「pato」は、2017年にサービスがローンチされてから、現在は総会員数が20万人を超える国内最大級のエンタメマッチングサービスである。最短30分で登録キャスト1万人の中から好みのキャストをその場に呼ぶことができ、これまで35万回以上のマッチングが生まれている。24時間365日、誕生日会などのプライベートや接待などのビジネスシーン等、幅広いシーンで利用することができる。今までスキルを活かす場所が少なく活躍の場が限られていたエンターテイナーが様々な場所で活躍できるように、新しい働き方を提案しながらエンタメの新しい当たり前を作るとともに、ヒトのライフスタイルをより豊かにすることを目指す。
設立:2017年6月。本社:東京都港区。従業員数:40名。(2023年6月時点)

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話しください。

株式会社キネカは、2022年7月にISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。LRM高柳さんがサポートを担当してくださり、2023年3月に認証を取得しました。

特殊な働き方に合わせながら柔軟にセキュリティ体制を構築したい

— 認証の背景についてお聞かせください。

エンタメ特化型マッチングプラットフォームである「pato」のユーザー数や社員数が増えて事業規模が拡大していく中で、守らなければならない情報をきちんと管理できる体制を作っていきたいと思ったのがISMS取得を検討したきっかけのひとつです。

また、「pato」が成長していくにつれ、キャストの所属事務所や美容クリニックなど、様々な会社から業務提携のお話をいただくことが増えてきており、その際にISMSなどのセキュリティ認証を持っているか確認される機会が度々ありました。認証を取得していないから契約ができない、という事態には至っていませんでしたが、今後認証を取得していないことが契約のボトルネックになる可能性があると考え、認証取得に向けて動き出しました。

— 情報セキュリティ認証はISMS以外にもあると思いますが、今回ISMSを取得された理由はございますか。

ISMSを選んだ大きな理由は、ISMSであれば取り組みを通じて組織全体を統括して見ることができると思ったからです。情報セキュリティの第三者認証としては、例えばプライバシーマーク(以下、Pマーク)などもあります。
しかし、組織全体のセキュリティ体制を見直しておくことで、今後違う事業を展開する際にも応用できることを考えると、PマークよりISMSの方が弊社には合っていると考えました。

Pマークは、個人情報にフォーカスしており、運用方法や規格が割とかっちり決まっていて、そこに合わせていく必要があると思います。一方、ISMSは個人情報だけでなく組織全体の体制を見直していく必要があり、弊社の少し特殊な働き方に合わせながら柔軟にセキュリティ体制を構築していけると考え、ISMSに決めました。

— 働き方が特殊とのことですが、どのような点が特殊なのでしょうか。

最も特徴的な点として、出勤時間が一般的な企業とは少し異なっています。通常の勤務時間のメンバーに加えて、カスタマーサポートなどシフトを組んでほぼ24時間体制で勤務するメンバーもいて、常に人が稼働している状況で、それに合わせて仕組みやルールを作っていきたいと考えていました。その点ではISMSの方が柔軟に対応でき、弊社にはISMSが合っていると思ったのもISMSを選んだ理由の一つです。

いつでも相談できる環境があるLRMになら安心して任せられると思った

— コンサル会社選定の経緯についてお聞かせください。

弊社にはISMS取得に関するノウハウが何もなく、コンサルの方についてもらって色々と相談できる環境が必要であると思い、コンサルタント会社を探していました。そんな中LRMさんを知人に紹介してもらい、サポートを依頼しました。

コンサルタント会社だけでなく、認証取得をサポートしてくれるツールも検討はしたのですが、疑問点をすぐに聞きにくい点があることと、長期的なランニングコストを考えていくと、コンサルタント会社にサポートを依頼する方が費用面においてもメリットがあると感じました。

— LRMをお選びいただけた決め手は何だったのでしょうか。

LRMさんは実績が豊富で、いつでも相談でき、大きな安心感がありました。初めてのISMS取得で経験も全くなく、いつでも相談できる環境があるのは大事だと思っていました。LRMさんとお話をさせていただき、LRMさんになら安心してお任せできると感じ、サポートを依頼することに決めました。
実際に取り組みを進めていく際に、様々な質問をたくさんさせていただいたのですが、その度に親身に対応してくださってありがたかったです。

様々な経歴の従業員がいるためセキュリティ意識にかなり差があった

— 認証取得前の従業員のセキュリティ意識はどうでしたか。

正直なところ、従業員のセキュリティ意識が低いと思う瞬間はたくさんありました。私は前職はエンジニアでPCに触れる機会も多く、セキュリティ意識はある程度高い方だったと思います。しかし、当社には様々な経歴の方がいて、セキュリティを熟知している方もいれば、今までPCを業務で触ったことがない方もいたので、かなり意識のレベルがバラバラだった印象です。

例えば、ユーザー情報やファイルの共有方法について、明確なルールが整備されておらず、人によって対応にバラつきがありました。チャットツールに直接ファイルを貼ってしまっていたことで、ファイルがたくさん複製されてしまい、どのファイルが不要か分からなくなったり、共有場所によっては本来見る必要がない方も閲覧できてしまう状態だったりして、少しヒヤッとする場面もありました。しかし、ファイルを全部ダイレクトメッセージで送るのも非効率ですので、どのように対応するべきか悩んでいました。

— ISMS取得をきっかけにセキュリティルールを改めて整備されたということでしょうか。

事業の急成長に伴い従業員数が一気に増えたため、なかなか立ち止まってセキュリティのルールを整備するタイミングが取れませんでした。全く整備していなかったわけではないのですが、決まった対応フローがあるというよりは、気付いた人がカバーするような状況が続いていたと思います。

今回の認証取得の取り組みを始める前までは、本当に最低限ここだけは守らないといけないという意識は全員ありつつも、なかなかルールがきちんと統一しきれていないという課題がありました。

ほぼ一人で実務を担当するも、ISMSについては右も左も分からない状態だった

— 今回のお取り組みの体制についてお聞かせください。

主に下記のメンバーで取り組みました。

榊原様:取締役 兼 CTO。お取り組み全体の責任者。
下田様:開発ユニットでコーポレートITを担当。ISMS事務局の窓口として各ユニットとの連携など、横断的に実務を担う。

今回の取り組みでは、下田が取り組み全体の橋渡し役として各ユニットのマネージャーに協力を仰ぎながら、実務全般を担当していました。
もともとはセキュリティ担当者がいませんでしたが、下田はコーポレートIT担当者としてアカウント管理や業務で使用するツールの選定などをしていたため、その延長線上でセキュリティ全体の管理をしてもらうのがスムーズだと思い、事務局の実務担当者として選定しました。最終的には榊原が取り組み全体の責任者として統括しつつ、実務はほぼ下田が一人で担っていました。

— ほぼ一人で実務を担当するのは大変ではありませんでしたか。

正直、全体的にすごく大変でした。一番大変だと感じたのは一人で全国を回らないといけなかったことです。
全国で事業を展開している都合上、支社を含めて各所を回るとなると北は北海道、南は沖縄まで回る必要があったのですが、最終的に動いていたのがほぼ自分一人のような状態だったので、それらを全て一人で回らないといけませんでした。認証取得以外の業務を兼務していたのもあり、全て一人で回るのは少し無理があったかなと感じています。

また、認証取得の経験も全くなかったので、ISMSについて理解を深めるところから始める必要がありました。エンジニアの経験はあったのですが、コーポレートITは未経験だったのでISMSが何なのかも知らない状態でした。
そのような状況で、ISMSの取得が決まり、さらに取り組みの実務全般をほぼ一人で担当することになったため、最初は不安でした。一気に一人で進めていくのは厳しいと思ったので、まずは少しずつスモールスタートで進めていきました。

— ISMSの知識が全くなかったとのことですが、ISMSの理解はどう深めていかれましたか?

最初は本当に何も分かっていなかったので、コンサルタントの高柳さんとのミーティングや実際の取り組みを通して大事なポイントを掴んでいきました。文書の修正や従業員への周知、内部監査などで監査を受ける中で、「何が大事なのか」「審査でどこが見られるのか」などが徐々に分かるようになってきました。ドキュメントベースで体系的に勉強していくというよりは、実践という戦いの中で成長している感じでした。
そうして理解を深めていく中で、あくまで取り組むことを目指すからこそ、ルールを決めただけで運用できなければ意味がないし、無理なくルールを守っていけるような体制の構築が重要であると強く意識するようになっていきました。

ルールを押し付けるのではなく全員が主体的に取り組めるような体制づくりを目指した

— お取り組み全体を通して大切にしていたことはありますか。

まず、ルールを作成するにあたって、効率が悪く業務を阻害するようなルールは作らないようにすることは大切にしていました。もちろん審査などで対外的な見え方を意識するような側面もあるとは思うのですが、対外的な面ばかりを意識して結局よくわからないルールが増えていくのは避けたいという気持ちがすごくありました。規格に則りつつも業務をできるだけ阻害しない無駄のないルールを作るようにしていました。

あとは、ルールを構築した後に、それをいかに浸透させるかはすごく意識していました。様々なバックボーンの方がいて、当たり前の基準がバラバラな中で、ルールを押し付けるのではなく、本当に大事なものだと理解してもらえるように周知していくことは、一番大事にしていましたし、苦労もしましたね。
この作業やルールがなぜ必要なのかを全員がきちんと理解したうえで、自分たちで主体的に取り組んでいくという状態が一番理想的だと思っていたので、その方向に持っていけるように取り組みを進めていました。パソコンの使い方一つとってもそうですし、セキュリティに関しても、全員が理解したうえで私の助けがなくても自分たちだけで対応できるような状態にするのが一番大事だと考えています。

— 主体的に取り組んでもらうために意識されていたことなどはありますか。

なるべく押し付けのように聞こえる言い方はしないように意識していました。「普通はこうだからとりあえずこうして!」というような押し付けがましい伝え方をされるとやっぱり抵抗を感じる方もいると思います。なので、「普通は」「一般的には」「みんなこうやってる」などの言い方はしないように意識していました。
本質的になぜそれが必要なのかを説明しつつ具体的な例を示しながら、このルールがないとこういうことが起こるのでこうする必要があるとひたすら伝えていました。

また、セキュリティを強固にしようとするとその分縛りも強くなり、業務のスピード感も少し落ちてくると思います。なので、周知する時はこのルールがあるとスピードは少し下がるかもしれないけど、その分守れるものがあるということも併せて伝えるように意識していました。

— ルールの周知はどのようにしたのですか。

周知はSlackでもやりましたし、週に1回開催している各ユニットやチームごとの事業報告会でも話しました。
一度話しただけだとみんな本質的には理解してくれないので、何度も何度も話していました。取り組みの中盤以降は、かなり頻度高く、もう半分念仏のように周知をしていました(笑)。必要性をひたすら何度も話すという感じですね。
また、セキュリティは正直堅苦しい面もあると思うので、もはやエンタメのように少し面白がりつつ理解してもらう方が堅苦しさを感じずに周知ができるのではないかと考えていました。もちろんセキュリティそのものは堅苦しくあるべきかもしれませんが、堅苦しいものだと思い込む必要はないと思うので、堅苦しさを感じないように周知や教育をするようにしていました。

周知や教育を行っていく中で、だんだん従業員の意識にセキュリティが自然に浸透してきているような実感がありました。具体的な話だと、情報の区分けについて周知し始めてから、あらゆる場面で何度も情報の区分について話していると、従業員の方から「この情報はどの区分にあたるのか」を聞いてくれることがありました。冗談交じりでも、情報の区分についての話が日常的に飛び交うようになってきているので、従業員の意識にセキュリティが自然に溶け込んできているなと感じました。

— 従業員への教育はどのように行いましたか。

セキュリティインシデントの被害について具体的なイメージを持ってもらえるよう、定期的にセキュリティに関するニュースをSlack上で投稿していました。決まった時間に教育をするというより、業務中に質問をされたついでにISMSについてもお話ししていました。相手の用件を聞き終わった後に、ISMSの取り組みで協力してほしいことや、なぜこのルールが必要なのかなどを話すことで理解を深めてもらいました。様々なバックボーンの人がいるため、相手の理解度に応じて、話す内容を変えていました。ほぼマンツーマンでの教育を各所で行うようなイメージです。
こういった個別の理解度に応じた教育以外に、一律でセキュリティについて知ってほしいことを教育する際にはセキュリティ教育クラウド「セキュリオ」を利用しています。簡単に操作ができるので、ITツールに慣れていないような従業員でもすぐに使えるというのは、担当者としてありがたいですね。

中央は榊原様、右上は下田様、左上は弊社・高柳

中央は榊原様、右上は下田様(左上は弊社・高柳)

ゼロからの取り組みでもLRMには安心して頼ることができた

— 内部監査はLRMが行いましたがいかがでしたか。

社外の人からヒアリングを受ける機会が今まで少なかったので、各位のセキュリティ意識が高まりましたし、今では当たり前のようにやっていた内容も改めて言語化されたので、内部監査を受けて良かったと思っています。
また、本番の審査の時に備えて予行演習のような感じでワンクッション挟めたので、審査の時にあまり緊張せずに済んだように感じています。

内部監査を受ける前はとても緊張していたので、内部監査が終わったときはかなりホッとしました。何も知らない状態で監査と聞くと、すごくシビアなものを想像すると思うのですが、思ったよりはシビアではなく少し心配しすぎていたような面があったかなというのが正直な感想です。内部監査を受けるまでは、指摘されそうなポイントや注意しなければいけない範囲が途方もなく広く感じていたので、全部やりきれてないように感じていました。しかしいざ終わってみると、ある程度抑えるべきところは抑えられていたので、そんなに構えすぎなくてもよかったのかなと思いました。

— 審査前の準備で困ったことはありましたか。

最終確認で詰めなければいけない部分が、審査が近づくにつれてどんどん出てきてしまいました。LRM高柳さんには分からない点を本当に細かく質問させてもらったので、とても助かりました。表記方法についてなど、かなり細かいところから本質的なところまで、色々と聞いていました。この書き方で実際にやっている内容として差し支えないか、この部分はきちんとできていない気がするが大丈夫か、これは本質的な取り組みではないような気もするがどうすればいいのかなど、審査前に無限に出てくる細かい疑問について一つ一つ真摯に対応してくださいました。
きちんと弊社にあっている体制を構築していくのはすごく大事だと思っていたので、最後までその辺りはすごく細かく質問させていただきました。

— 審査はいかがでしたか。

どれほど審査前にきちんと準備していても、どこを聞いてくるかは当日になってみないと分からないですし、やっぱり緊張しました。情報システム部分の審査ですごく細かいところまで聞かれたり、予想外の箇所を指摘されたこともありました。少しびっくりしたところもありましたが、基本的には納得できるような質問が多かったので正直にお答えしました。その上で、逆にこちらから審査員の方にたくさん質問もさせていただいたので、今後の改善につながる点が色々と見えてきて、審査を受ける前よりも視野がかなり広がりました。

セキュリティが従業員の意識に浸透しているのを実感

— ISMSの取り組みを通じて目標は達成できましたか。

全体的なセキュリティ意識をある程度のラインには持っていけたかなと思っています。最初は従業員全体のセキュリティ意識が高いとは言えない状況だったのですが、今は当たり前の基準を全員がクリアできている状態になったと思うので、とりあえずスタートラインには立てたのではないでしょうか。審査を受ける前は過度に不安に思っていた部分もあるのですが、審査を終えた現在は今後の改善に向けてやるべきことをやっていくだけだなと考えることができており、不安は解消されました。

— 取り組み前後で何か変化はありましたか。

社内ではさっきお話したような情報の区分や、これはセキュリティ的によくないよねという声かけが私以外からも出るようになってきているのが一番大きな変化ですね。従業員が自然とセキュリティについて意識してくれるようになったというのは目に見えて感じますし、そういうのを見るとISMSを取得して良かったなと思います。

また、弊社は珍しい事業をしているので少し特殊な企業のように見られることもあったのですが、セキュリティ対策をきちんとしている企業であると対外的にアピールできるようになった点も大きな変化だと感じています。

事業を積極的に伸ばしながら守りもさらに固めていきたい

— LRMのサポートはいかがでしたか。

ISMSについて本当に何も知らなかったので、ゼロから色々とサポートしていただけてありがたかったです。
最初は初歩的な知識もなく質問の嵐だったのですが、その質問にも一つ一つ丁寧に回答していただきましたし、かなり長いやり取りになっても懇切丁寧にお答えいただいたので、本当に助かりました。直接会ったことのある人が常にサポートしてくれるのは、質問もしやすかったですし、とても信頼感があって心強かったです。ISMSについてはもちろん、セキュリティの知識や体制構築に関するアドバイスなども含めて、自分もかなりリテラシーが身に付きました。

また、弊社のスタイルに合わせて、かなり柔軟に対応してくださった点にもすごく感謝しています。それこそファイルのやり取りに使うツールの変更や、連絡手段をメールからSlackへ変更するなど、様々な面で柔軟に対応いただきました。そのおかげでかなり進めやすく、セキュリティに対する敷居を下げつつ取り組みを始めることができたと思うのですごくありがたかったです。

— 今後の展望をお聞かせください。

今はまだスタートラインに立っただけなので、ここからさらにセキュリティを強固にしていくためにも、啓発や教育、そして環境の変化に応じたルールの整備は今後も続けていこうと思っています。現状で定めているルールも、事業の内容や組織の状態などが変わっていくにつれて、ルールも更新していく必要があると思うので、これからも状況に応じて整備を続けていきたいです。
また、システム的にもさらにガードを強固にできる部分はまだまだたくさんあると感じているので、そのあたりをどう整備していくかも課題の一つです。今後システムが変わったり、利用ツールが増えたりすると思うのですが、たとえ担当者が変わったとしても、問題なく運用し続けられるような体制を作っていきたいと思っています。

今回のISMS認証取得の取り組みを通じて大体の枠組みができたので、まず今年1年間はPDCAをひたすら回していくつもりです。その上でまだ行き届いてない範囲のオペレーションなど、詰めきれていないところはあると思うので、オペレーションとリスクのバランスを考えながら手を加えていきたいです。
今後も事業が成長して行く見込みですので、大きなセキュリティリスクに足元をすくわれないようにしていきたいです。全員がきちんとセキュリティを意識して守りを固めながら、事業をどんどん伸ばしていけたらいいと思っています。

株式会社キネカ様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社キネカ様のWEBサイト
※ 取材日時 2023年5月

  • サービス開発・提供
  • 認証知識を基礎から学ぶ
  • 50名未満
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら