ストックマーク株式会社様 – 顧客事例 –

ISMSの要求事項と業務のバランスが取れたルール作り。必要なラインをジャッジする上で、経験に基づくアドバイスは大きな安心材料になりました

エンタープライズ企業を対象とした事業を展開するストックマーク株式会社は、顧客からの信頼獲得に向けISMS/ISO27001認証を取得しました。取り組みの成果と今後の課題、LRMのコンサルティングに対する評価などを、ISMS事務局を兼務するマーケッター・竹林祥恵氏、チーフ・イネーブラー・米盛修平氏、情報システム部・阿部崇史氏に伺いました。

(ストックマーク株式会社について)

エンタープライズ企業をメインターゲットとしてデジタルトランスフォーメーションをAIで支援することを目的に事業を展開する東京大学発のAIベンチャー。テキストマイニングとAIの活用でビジネスにおける意思決定をサポートする。これまで分析が困難だったテキストデータを“言葉のAI”(最先端の自然言語処理技術)を用いて構造化し、価値あるデータに変換するサービスを提供している。
インターネット上のあらゆるニュースの中からチームメンバー1人1人にビジネスに直結する情報を届けチーム全体の情報感度を底上げするプラットフォーム『Anews』、世界中のビジネスニュースを多様な手法で分析・レポートし戦略的意思決定をサポートする『Astrategy』、営業資料などのテキスト情報や画像情報の解析によって営業プロセスを支援する『Asales』の3つのプロダクトを展開。現在、エンタープライズ企業1500社以上に導入されている。AIを組み込んだSaaSプロダクトの提供を通し、あらゆる起業と組織のDXを支え、人間がよりクリエイティブな仕事により集中できる環境作りを目指す。
本社;東京都港区。設立;2016年11月。従業員数;約65名。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

ストックマーク株式会社は、2020年1月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。第2段階審査までの約半年間、担当者の金子さんと二宮さんのサポートを受け、8月にISMS認証を取得しました。

顧客からの信頼を得られる体制構築に向けISMS/ISO27001認証を取得

「LRMのコンサルティングはISMS取得のための仕組みが整っていると感じました」(マーケッター・竹林祥恵氏)

「LRMのコンサルティングはISMS取得のための仕組みが整っていると感じました」
(マーケッター・竹林祥恵氏)

— ISMS認証取得の理由をお話し下さい。

弊社がISMS認証を取得した最大の理由は、お客様に信頼していただける体制を構築するためです。弊社はエンタープライズ企業を対象に事業を展開しており、サービス上、お客様のビジネスに関連するテキスト情報を大量に扱います。特に『Asales』に関してはセンシティブな情報をお預かりいたします。弊社は事業実績が浅いスタートアップですので、お客様はセキュリティ要件を最も心配されます。お客様とお付き合いする上で信頼感を持っていただくためにISMS認証を取得しました。また、お客様の情報資産をお預かりしてビジネスを展開するベンチャーとして、社員の情報セキュリティ意識をしっかり保つためにもISMS認証取得に取り組むこととなりました。

我々が保有するデータは、大企業のビジネスに関わる嗜好データです。消費者の嗜好データではありません。ビジネスマンのデータをしっかり持っているところが我々の優位性であるとともに、守らなければいけないポイントでもあります。

— 2020年1月からの取り組みというのは、何かきっかけがおありだったのですか。

2020年に入って『Asales』、『Astrategy』のビジネスが本格展開し始めたことが、ISMS認証取得の1つの契機になりました。トライアルから本契約に移るお客様が数百社になった段階で、我々が会社として信頼に足る会社であるということを証明するためのエビデンスが必要となってきました。また、従業員数が一気に増えたのも今年に入ってからです。1年前と比較すると倍増していますので、これ以上人数が増えても統制を取リ続けられるようルールを定める必要性が高まっていました。

— ISMS認証取得に取り組むにあたり、あらかじめ期限は設けておられましたか。

営業からは夏までには取りたいという要望が出ていました。商談の際にまず問われるのがセキュリティ要件です。
チェックシートの記入を求められることもあります。その度に営業が時間を割いて対応していましたので、なるべく早く取りたいという気持ちはありました。ただ、過去にISMSを経験した者の感覚としては、認証取得に1年はかかると思っていましたので、半年で取りたいという希望が出た際は物理的に無理じゃないかという思いもありました。

ISMS/ISO27001認証取得に取り組む上での懸念点

「事務局だけではなく運用を現場にまで落とし込んで行くことが次の課題です」(チーフ・イネーブラー・米盛修平氏)

「事務局だけではなく運用を現場にまで落とし込んで行くことが次の課題です」
(チーフ・イネーブラー・米盛修平氏)

— ISMS認証取得に取り組む上での社内体制を教えて下さい。

ISMS事務局は、本日のインタビューに参加している竹林、米盛、阿部の3名に、事務局長を加えた4名です。

竹林祥恵氏:ISMSを取得して運用していた企業に在籍した経験から主担当を務める。
米盛修平氏:イネーブルメントマネージャーとして社内の様々なプロセスを把握していることからISMS事務局に参加。
阿部崇史氏:システム管理者の立場で事務局に参加。過去に在籍した会社でISMSやPマークの取得を担当した経験があるため、システムに留まらずマネジメントシステム全体の構築にも参加。

— ISMS認証を取得するにあたり、ご懸念されていたことはございますか。

懸念点は2つありました。

懸念点1;社内の情報セキュリティ意識の統一
弊社の事業特性上、社員全員のITリテラシーは低くはありませんし、経営陣をはじめ、エンジニア、営業など、高いスキルや豊富な経験を持った人材が揃っています。ただその分、各自の中でポリシーや認識が確立されていますので、統一ルールを浸透させることに対する不安はありました。知識やITリテラシーがあるほど、自分の知識や過去の経験で判断しがちです。今回のISMS取得の取り組みは、そういった観点で、全社統一された意識を作るというところがポイントだと考えていました。

懸念点2;取り組み体制について
弊社はまだスタートアップの段階で、ISMSの専任者を配置できるフェーズにはありません。ISMS認証を取得するのに取り組むだけの体制と、人的リソースがありません。ISMS事務局のメンバーはそれぞれ、マーケティング、イネーブルメント、情報システムなど本来担当している仕事との兼任でISMSにも取り組む必要があります。兼任で、バランスを取りながら出来るかなという不安はありました。

— 業務負担が増えるご懸念は御座いませんでしたか。

特に心配はありませんでした。過去にISMSやPマークの取得を担当していた経験がある者が事務局にいましたので、最低限守らなければいけないラインを守った上で、現場には極力負担をかけないルール作りをしていくというイメージを持って取り組みをスタートすることが出来ました。

結果的に、LRMのお二人と事務局メンバーが相談しながら、ISMSの要求事項を満たしつつ、現場を締め付けない業務を優先させた、バランスの取れたルール作りが出来ました。極端に業務手順を変えたようなこともありません。

実際にLRMのサポートを受けた経験がある社員の存在が依頼の決め手

— コンサルティング会社の選定基準をお話し下さい。

最も重視したことは実績です。特にLRMはITベンチャーに対するサポート実績が豊富でした。半年で取得したいという希望をお伝えした際も快く大丈夫とおっしゃっていただきました。

また、弊社のコーポレート部門に前職時代LRMのサポートを受けてPマークを取得した社員が在籍していたことも安心材料の1つでした。LRMの他に3社ほど比較しましたが、最終的には、社内に実際にサポートを受けた経験を持った人物がいたことが決め手となり、LRMに依頼しました。

ISMS運用の土台が完成。そこに実効性を持たせることが2年目の課題

— ISMS認証取得に向けた約半年間のお取り組みで実感される成果をお話し下さい。

今後、ISMSを運用していく際のベースは出来ました。普段ビジネスを行う中で、情報セキュリティや人の管理に関して悩むことは少なくありません。マネジメントシステムを構築したことで、ISMS事務局を中心に1つの規則に従って意思決定が出来るようになったことは大きな成果です。また、従業員の間にも情報セキュリティ意識は浸透してきた実感はあります。情報セキュリティ上気になることや困ったことがあれば、事務局のメンバーに相談や問い合わせが来るまでにはなりました。

その一方で課題も残っています。

情報は、人とシステムの両方で守る必要がありますが、ISMS認証を取得するまでの取り組みでは、ISMS運用の土台となる人の部分は事務局レベルで出来ました。そこに実効性を持たせて行くには、システム面の整備を強化していく必要があると考えています。また、人の面においては、運用そのものが事務局以外の全社員まで浸透したとは言えません。ISMSは事務局だけではなく組織全体で運用するものです。今の状態をさらに推し進めて、各事業部の現場にリスクを特定していくための基準や考え方が下りていって、リスクアセスメントやリスク対応の意思決定がなされている状態を作る必要があると考えています。2年目の課題として取り組んでいるところです。

— ISMS認証を取得するまでの取り組みでご苦労された点をお話し下さい。

当初懸念していた通り、社内の意識を揃えるところは苦労しました。各自、自分なりのルールが確立されている組織でISMSを定着させることは簡単ではありません。そこでISMSの意識付けから入る必要があり、繰り返し情報を発信しながら浸透させて行きました。特に、各自が各自の解釈で動いてしまうため、一度決めたルールや体制が気付いたら変わってしまっているということが何度かありました。

— 社員の皆さんへの意識付けはどのような形でされたのでしょうか。

まずISMS事務局で決めたルールを、何度か全体会議でアナウンスしました。そして社内情報共有ツール『esa』の中で最低限押さえておいて欲しいルールをまとめたハンドブックを共有しました。さらに『Slack』でも専用のチャネルを開設してアナウンスするなど、複数の手段を組み合わせて繰り返し行いました。

— いつの間にか基準が変わっていた、というようなことが起きていた要因としては、事業の変化が早いというご事情もおありなのでしょうか。

そうですね。それ自体はスタートアップベンチャーとして悪いことではありませんが、その変化のスピードに追いつきながら、ISMSのポリシーとの整合性を取り続けることは、現場の協力がなければ不可能です。

— それが先ほどおっしゃっていた“運用そのものの現場への浸透”という課題に繋がって行くのでしょうか。

その通りです。今は状況が変わったら、現場からISMS事務局に相談が来るようになっています。しかし、わざわざ事務局に相談しなくても、現場が会社のセキュリティポリシーを理解して、リスクアセスメントを行い、対策を取れるようになることが理想です。外部の監査を受けた時に指摘を受けないレベルで対応出来る状況が作れたなら、ビジネスのスピード感にも繋がって行くでしょう。

ISMS認証を取得するための仕組みとルール構築のための的確なアドバイス

「全社統一された意識を作るというところがポイントだと考えていました」(情報システム部・阿部崇史氏)

「全社統一された意識を作るというところがポイントだと考えていました」
(情報システム部・阿部崇史氏)

— ISMS認証取得までの取り組みにおいて、LRMはどのようなサポートをしてくれましたか。

大きく言えば、(1)ISMS認証を取得するための仕組みの提供と、(2)ルール構築のための的確なアドバイス、の2点です。

(1)ISMS認証を取得するための仕組みの提供
LRMのコンサルティングメニューでは、体系的に整備されたドキュメント類のひな形や従業員教育のeラーニングシステム、内部監査員代行など、ISMSを構築し、審査を受けるまでの正しい道筋が仕組み化されていました。その仕組みにさえ乗ってしまえば、文書類を作成したり、ルールを決めたり、社内に周知徹底したり、やらなければいけない作業に集中することが出来ました。

また、作業を進める中で困ったことが発生した場合は、『Slack』を使って質問したり相談したりすると、タイムリーに回答していただきました。新型コロナ禍の影響で打ち合わせはいつもリモートでしたが、コミュニケーションで困ることは全くありませんでした。

(2)ルール構築のための的確なアドバイス
ルール構築において、ここだけは守らなければいけないという必要なラインをジャッジするときに、ISMSの専門家としての知見をお聞きできたことは非常に助かりました。事務局内にISMS認証取得経験者はいますが、どのような対策にすべきかということに関しては、取得企業によって判断が異なります。「これはやっておいた方が良い」「ここは自分たちの判断で大丈夫」といった細かいジャッジは、LRMのサポートがあったからこそ出来ました。

社会人経験をしていれば、感覚的に良いか悪いかの判断は付くようにはなっているはずですが、LRMと打ち合わせをしたり内部監査のチェックを受けたりする中で、我々自身、認識していなかったリスクに気付かされたことも少なくありません。リスク対応を考える場合も、我々が持っていない視点でアドバイスを頂けたことは非常に安心できる材料となりました。

— 当初1年ぐらいはかかるとご認識されていたISMS認証を半年で取ることになられたわけですが、途中でご不安になられることはありませんでしたか。

LRMが豊富な経験の中から出来るとおっしゃっていたので、信頼して取り組みました。最初の段階でISMS認証取得までのスケジュールやマイルストーンを設定した上で、取り組みの最中は的確にリードしていただけたので、着実に進んでいる実感を持ちながら取り組むことが出来ました。

— 従業員教育では情報セキュリティ特化型eラーニングサービス『Seculio』を使われたと思いますが、eラーニングを活用するメリットは感じられましたか。

管理者側としては、各自の実施状況をテストの結果を含めて、管理が簡単に出来るので便利だと感じました。ユーザーインターフェースも使い易かったです。また受講する側としても、迷うことなく使えました。

時期的にもeラーニングは有効でした。コロナ禍で出社が減り、リモートワークが増える中、会議室などで集合研修を実施し、その場でテストを行い紙で回収するということがやりにくくなっています。システムで一元管理できるeラーニングはそういう意味でも便利です。

また、『Seculio』は、法令管理機能も活用しています。弊社のビジネスに関係する法令をリストアップし、常に最新版がチェック出来る状況です。

— 内部監査はいかがでしたか。

内部監査は、LRMに内部監査員を代行していただいてリモートで実施しました。まだ自前で内部監査を実施できるスキルやノウハウがありませんし、現場の社員にインタビューする際は、外部の方にやっていただいた方が緊張感を持って臨むことが出来ます。そういった観点で内部監査員代行というサービスはあって良かったです。

— 実際の審査を受審されたご感想をお話し下さい。

事前に何度もLRMにチェックしていただいて、その度に大丈夫だとはおっしゃっていただきましたが、当日はやはり緊張はしました。ただ、結果としてはクリティカルな指摘はありませんでした。すぐにフィードバックをすべき指摘はありましたが、LRMのアドバイスをいただいてすでに対応を終えています。

『情報セキュリティ倶楽部』を契約。理解があるからこそ可能なアドバイスに期待

— ISMS認証取得を終えて、社内外の関係者の反応はいかがですか。

ISMS認証を取得した背景には、お客様からのセキュリティチェックがありましたので、実際に取得したことで営業は一安心しているところだと思います。また、金融機関を初めとする社外の方々にも、今後、我々の成長を評価する上で情報セキュリティにしっかり投資をしているかどうかは1つのチェックポイントにはなるはずです。そういう外部の方々に説明しやすい状況は作ることが出来ました。

— LRMのコンサルティングを受けたご感想をお話し下さい。

ロジックがしっかりしており、行き当たりばったりでコンサルティングをしているわけではないということを実感しました。単にISMS認証を取得するためだけではなく、なぜこれをやらなければならないかという根拠も示していただけたため、全体像を把握しながら細部を考えることが出来てやりやすかったです。そういったところに豊富な経験と実績を垣間見ることが出来ました。

— 今後の課題に取り組む上で、LRMに御期待されることがございましたらお話し下さい。

今後はISMS運用改善サポート『情報セキュリティ倶楽部』と『Seculio』を契約しました。

『Seculio』は、ISMSを運用していくために必要な情報が一箇所に集約され、いつでも使用できることが出来ることがメリットです。これだけのツールを自前で用意するのも大変です。

また『情報セキュリティ倶楽部』に関しては、ISMS認証を取得するまでの過程でLRMが弊社の実情を十分にご理解いただいています。運用を維持していく上で、弊社に対する理解があるからこそ可能な適切なアドバイスを頂けることに期待を込めて契約しました。

ストックマーク株式会社の皆様、お忙しい中ありがとうございました。今後ともよろしくお願いいたします。

ストックマーク株式会社の皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ ストックマーク株式会社様のWEBサイト
※ 取材日時 2020年10月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る