合同会社selfree様 – 顧客事例 –

LRMのサポートを経て、2019年12月、ISMS/ISO27001認証を取得した合同会社selfree。「情報資産の洗い出しやリスクアセスメントを通して隠れたリスクを可視化することが出来た」と語るのは代表・小俣隼人氏です。ISMS/ISO27001認証を取得した目的と成果、LRMにコンサルティングを依頼した理由などについても、詳しくお話しいただきました。

（合同会社selfreeについて）

“愛される企業を増やす。”を企業理念に掲げ、企業と顧客のコミュニケーションを促進するSaaS型サービスを開発・提供している。メインサービスはブラウザ電話システム『CallConnect』。Google Chrome上で電話の受発信をし、通話の録音、メモを残すことを可能とする。様々なチャットツールとの連携も出来る。回線工事が不要なため低コストで導入出来て、即日使えるメリットもある。従来のビジネスフォンからの乗り換え需要からコールセンターシステムまで幅広い用途に対応出来る。2015年7月にリリースされ、有料版の導入企業数は400社を超えている。また、2018年6月には、企業向けライブ配信システム『wellcast』をリリース。ウェビナーの開催と顧客育成に最適なシステムだ。同社における第2の柱として販売に注力し始めている。
社員それぞれが集中しやすい環境を自由に選んで働けるフルリモートワーク制を導入。ITを有効活用し、より少ない人数で、より大きな成果を追求している。
本社；東京都新宿区。設立；2014年7月。従業員数；3名（2020年1月現在）。

— LRMへのご依頼内容をお話し下さい。

2019年4月上旬、弊社はLRMにISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。
担当者・三崎さんのサポートを受けながらマネジメントシステムの構築を進め、12月上旬、認証を取得しました。

— ISMS認証取得の目的をお話下さい。

弊社がISMS認証を取得した目的は、社内体制の整備です。弊社では、『CallConnect』が成長するにつれて上場企業や、上場を目指すスタートアップ企業との取引が増えてきました。それに伴い、サービスの導入時にセキュリティチェックシートの記入を求められることが多くなりました。それに対し、求められる度に、利用しているサーバーの名前、サーバーの監視方法などを記入していましたが、説明材料としては第三者機関による認証があった方がわかりやすいと考えました。同時に、フルリモートワークで働いている弊社にとって、社内体制を整備するきっかけにもなると考え、ISMS認証を取得しました。

弊社ではこれまで各メンバーが前職までに受けた情報セキュリティ教育を踏襲して情報管理を行っていました。
しかし、それが今の弊社にとって最適なのかどうかを判断する術はありませんでした。第三者の視点を入れて現状をチェックし、整理していくことについては合理性があると感じました。

— 外部の規格を取り入れることで、自由な働き方を阻害するというご懸念はございませんでしたか。

弊社は、成果を最大化させる上で、自由な働き方を維持することを大変重要視してはいますが、最低限の条件は満たす必要があることも理解しています。もちろん無駄な制限は排除すべきですが、ある程度のルールがあった上での創意工夫であるべきだと思っています。そういう意味では自由な働き方が阻害されるという意識はありませんでした。

その一方で、LRMにサポートを依頼した際に、自社に合った運用を出来るのがISMS/ISO27001認証であるというご説明をいただいており、ISMSでは、自社の運用に沿ったマネジメントシステム構築を目指せることを把握しておりましたので、動きづらくなるという懸念は払拭した状態で取り組むことは出来ていました。

— コンサルティング会社の選定経緯をお話し下さい。

ISMS認証取得に向けたコンサルティング会社の選定では、厳密な比較はせずにLRMに依頼しました。

LRMに依頼したきっかけは、取引先の中で特に関係の深い企業から紹介を受けたことです。弊社よりも実績がある企業が選定したコンサルティング会社ですし、ゼロから探すよりも確実性は高いと考えました。相談するにあたっては、他のコンサルティング会社のWEBサイトも確認しましたが、それらと比較してLRMはSaaS型サービスを提供している会社に対するサポート実績が豊富でした。そのためSaaS型サービス運用業務に関する知見があるのだろうという期待が持てました。また弊社は予め本社とサテライトオフィスの2拠点を登録範囲にしたいと考えていました。LRMは多拠点での取得実績もありましたので、その点も心配なく依頼出来ました。

— 実際にお会いしてご相談された際の印象はいかがでしたか。

営業の藤居さんと会って話をした際は、取り組み内容のご説明をいただきました。進め方を含めて、柔軟に対応していただけると伺い、スムーズな進行が期待出来ました。

— 全体を通して苦労はございませんでしたか。

不適合なく審査が通りました。社内教育もLRMの情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用たので、あまり苦労した実感はありません。

— 従業員教育にeラーニングという手法を活用するメリットは感じられましたか。

弊社はリモートワークが基本なので、eラーニングのメリットはあります。全員が一堂に集まって実施する集合研修は、スケジュール調整に労力が割かれます。eラーニングなら期限だけ決めておけば、各自都合の良いタイミングで受講出来ます。『セキュリオ』の場合は特に、進捗管理が出来る仕組みもあり便利だと思いました。関連法令をまとめて管理できる機能も便利でしたので、ISMS認証取得後の契約も申し込みました。

–従業員教育以外にLRMはどのようなサポートをしてくれましたか。

まずは、審査までにどのような文書類を揃えなければいけないか、またそれらの作業をいつまでにやらなければいけないか、スケジュールやタスクの全体像を明確に示していただきました。それがコンサルティング会社のサポートを導入するメリットだと思います。

また、ルールを構築する上で重要なポイントをアドバイスしていただき、内部監査をサポートしていただきました。
さらに第1段階審査、第2段階審査を迎えるにあたり、文書類のチェックや、審査員によるヒアリングのポイントなどを教えていただきました。そういったサポートにより、不安を抱えずに審査を迎えることが出来ました。

— 審査の日程は御社が審査会社と調整されたのですか。

そうです。審査機関を選定し、準備期間を勘案しながら審査のスケジュールを調整して依頼しました。その上で、三崎さんとゴールを共有し、何回か打ち合わせを重ねて作業を進めました。

— 文書類はどのように作成されましたか。

LRMとひな形の読み合わせをしながら、自社の業務実態に合わせてルールを決め、文書化して行きました。中には他のメンバーに確認しなければいけないこともありましたので、その場合は宿題という形で持ち帰って、次の打ち合わせまでに検討して決めました。

ただ、次回打ち合わせで三崎さんにチェックしてもらった時に大きな修正が入ると手戻りが発生して、進捗が遅れるので、出来るだけ打ち合わせの当日までに決めて文書に落とし込み、三崎さんと共有してフィードバックをもらうようにしていました。メールやオンラインストレージサービスの『box』を使い、連絡や共有が出来たので、スムーズに行うことが出来ました。

— ルール構築で気をつけたことはありますか。

業務の弊害にならない体制を作るために、不要なルールは排除していきました。そのために一旦決めたルールは全て三崎さんにチェックしていただいて、行き過ぎたルールがあればご指摘いただいて修正しました。例えば、メールの添付ファイルです。最初は全てZIP化してパスワードを付けるルールにしていましたが、本当に機密情報に当たるものだけに絞りました。

— ご自身で決めると行き過ぎたルールになりがちですか。

はい。情報セキュリティに関しては、他社の運用事例があまり公開されていません。そのためルールを決めるための基準が分からず、判断に迷ったら厳しめのルールを選択する傾向はありました。それに対してLRMからは“そこまでしなくても大丈夫”などのフィードバックがいただけました。それもコンサルティング会社のサポートを受けるメリットだと思います。

— 内部監査のサポートについてお話し下さい。

内部監査は、第1段階審査、第2段階審査、それぞれの2週間ぐらい前に、内部監査員を代行していただいて実施しました。内部監査は、本社とサテライトオフィスの2箇所で実施していただきました。

小規模な組織なので、社内に内部監査員を立てようと思っても限界があります。内部監査の勉強もしなければいけないので、代行していただいた方が早いですし、確実にチェックしていただけると思いました。

— 審査もスムーズにクリアできたとのことでしたね。

はい。審査員からは、「これだけ指摘事項がなく、スムーズにクリア出来た例は珍しい」という話をいただきました。マネジメントシステムへの高い評価を意味するグッドポイントも3点付与されました。
（1）小規模組織の実態に沿ったマネジメントシステムが構築されていること、（2）外部コンサルタントと協議し適宜、運用面が修正されていること、さらに（3）指摘事項をその場で解決したことをご評価いただきました。

— ISMS認証取得に取り組まれたご感想をお話し下さい。

まず国際規格に則って仕事が出来るようになったことが、1つの自信になりました。社内でいくら体制を整えたとしても、それが社会から求められているものであることを証明することは出来ません。しかし第三者機関の認証があれば、説明も容易です。もちろん認証取得だけが全てではありませんが、お客様に対して自社の体制を自信を持って示せる材料は揃いました。

— 情報セキュリティに関して今後の課題があればお話し下さい。

まだISMS認証を取得したばかりですし、これから本格的な運用が始まる段階です。次の維持審査に向け、しっかりPDCAサイクルを回していくことが課題です。 また、ISMS認証を取得したことで、今後、社会の変化に応じた対策を取るための土壌が出来ました。必要に応じて、ISO27017/ISMSクラウドセキュリティ認証取得などの検討もしていきたいと考えています。

— LRMのコンサルティングはいかがでしたか。

依頼して良かったです。10点満点なら10点です。豊富な実績、ノウハウに基づいたアドバイスにより、弊社の実態に沿って運用出来るルール作りが出来ました。また、『Slack』や『box』などのクラウドツールを活用したプロジェクト運営により、連絡や文書類の共有がスムーズに行って、非常にやりやすかったです。

— 『セキュリオ』を継続契約されたとおっしゃっておられましたが、その他のサポートに関してはいかがですか。

ISMSの運用・改善サポート『情報セキュリティ倶楽部』も契約しました。毎年の維持審査に向けた内部監査をサポートしていただく他、ISO27001の規格が改訂された際の早急な情報提供にも期待しています。ISMSを維持していく上で、困った時に相談出来る相手がいれば安心です。少規模な企業にとって、情報セキュリティ専任の担当者を確保する予算は割けません。コンサルティング会社にお任せした方が負担は軽減出来ます。第三者視点によるフィードバックをいただくことで、実態に沿ったルールを維持したいと考えています。

合同会社selfree様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 合同会社selfree様のWEBサイト
※ 取材日時 2020年1月