株式会社Works Human Intelligence様 – 顧客事例 –

ISMS-PIMSはPマークのグローバル版ではありません。“プライバシー=人権”の感覚を持ち対策を打つことが国際社会では求められています

株式会社Works Human Intelligenceは、2021年5月、ISMS-PIMS/ISO27701認証を取得しました。GDPR対応にもPDCAを回す仕組みが必要であると考え、同認証制度が発行された当初から注目していたと語るのは、プロジェクトマネージャーを務める渡部裕氏です。今回のプロジェクトがスタートした背景とプロジェクトの経緯を、個人情報とプライバシーとの概念の違いを含め、プロジェクトメンバーの皆様にお話しいただきました。

(株式会社Works Human Intelligenceについて)

大手法人向け統合人事システム『COMPANY®』の開発・販売・サポートを一貫して行う。『COMPANY®』は、人材情報管理、給与計算、勤怠管理、申請ワークフロー(電子申請)、人事考課等、人事関連業務をフルスイートでサポートするERPパッケージである。日本の大手企業のおよそ3社に1社、約1,200法人グループが導入。ERP市場人事・給与業務分野シェアNo.1 (※) を誇る。
“「はたらく」を楽しくする”を企業理念に掲げ、HRテック業界のリーディングカンパニーを目指す。
本社;東京都港区。設立日;2019年8月。従業員数;約1,700名(2021年5月現在)

※ 2019年度ERP市場-人事・給与業務分野:ベンダー別売上金額シェア
  出典:ITR「ITR Market View:ERP市場2021」

LRMへのご依頼内容;ISMS-PIMS/ISO27701認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

渡部氏 株式会社Works Human Intelligenceは、2020年11月、LRM株式会社にISMS/ISO27001(以下、ISMS)のアドオン認証、ISMS-PIMS/ISO27701(以下、ISMS-PIMS)認証の新規取得コンサルティングを依頼しました。幸松さん、高橋さん、小池さんのサポートを受けながら準備を進め、2021年3月に第二段階審査を受けました。国内ではまだまだ事例の少ない認証制度ですが、弊社が当初考えていたプラン通り進行することが出来ました。

※ISMS-PIMS/ISO27701について

個人情報とそれに関わるプライバシーを適切に保護するための仕組み(プライバシー情報マネジメントシステム)を構築するためのベストプラクティスを提供する国際規格。2019年に発行され、国内では2020年12月に認証制度がスタートしている。

— 今回の認証範囲をお話し下さい。ISMS-PIMSの認証制度では、PII(Personally Identifiable Information)を取り扱う事業者を管理者と処理者の2つに分けているのでしたね。

渡部氏 弊社のクラウドサービス運用における処理者として取得しました。実は当初は、クラウドサービス導入および保守サポートの部分まで拡大し、管理者としての立場も含めて取る予定でした。しかし対象部門の人数が増え、審査の工数もかかることから、審査機関と相談させていただいて、まずはスモールスタートで、ノウハウを蓄積することを優先しました。

ただ、実際のマネジメントシステムは、PII管理者としての立場も含め、全て作り上げました。当初の計画では、審査の時期を1月に設定していました。しかし12月になり、審査機関の都合上、数ヶ月ずれ込むことがわかりました。そこでLRM様にも相談して、範囲を広げることをご了解いただきました。ですから現状では、いつでも認証範囲を拡大出来る体制はできております。

GDPR対応にもPDCAサイクルを回す仕組みが必要

— 本日、『ZOOM』のミーティングルームにお集まりいただいている方々は全員、事務局の方々ですか。

渡部氏 今、集まっているメンバーは、今回のPIMSを取得するにあたってプロジェクトマネージャーを務めた渡部と、弊社が提供するクラウドサービス運用のメンバーです。このメンバーが中心となって、LRM様と打ち合わせをしながら今回のマネジメントポリシーを構築していきました。この他、今回のプロジェクトには、内部監査や導入保守を含めて約20名が関わっています。

— 皆さんは、ISMSクラウドセキュリティ/ISO27017(以下、ISMSクラウドセキュリティ)の取得事例にもご出演いただいていますね。確か2017年でした。

渡部氏 はい。前回はワークスアプリケーションズとしてLRM様のサポートを受けてISMSクラウドセキュリティ認証を取得しました。その後、2019年8月1日に分社化によってWorks Human Intelligenceが設立されています。

— 2019年11月にはISMSならびにISMSクラウドセキュリティ認証を取得されています。これらはグループ認証などの形で引き継がれたのですか。

渡部氏 いいえ。前身の会社とは別会社ですので、プライバシーマーク(以下、Pマーク)と並行して、全て自力で取得しました。

— ISMS-PIMS認証取得はいつ頃から意識されていたのですか。

渡部氏 2019年夏頃から認識しておりまして、ウォッチし続けていました。

背景をお話しいたしますと、前身の会社の時からグローバルで展開されているお客様が非常に多くございまして、GDPRで求められているデータプライバシーの保護に対するご要望を多数いただいておりました。そのことから、HR製品を作り、サービスを提供する企業として、取り組みに対し積極的かつ継続的に取り組む必要があるということはずっと考えておりました。GDPR関連の自社規程は作ったものの、やはり継続的にPDCAを回し続けられるマネジメントシステムの必要性を感じていたところに、日本でもISMS-PIMSの認定事業が開始することが決まりました。これがあれば、GDPRだけではなく、他の国や地域のプライバシー保護に関連した法律も取り込んで、継続的に改善していける仕組みを構築することが可能となります。弊社サービスをより安心してご利用いただける裏付けになりますので、一刻も早く取得したいと考えました。

“プライバシー”と“個人情報”の違い

— GDPR対応という意味では、国内の規格に基づいたPマークだけでは要求を満たせないということですね。

渡部氏 というよりも、ISMS-PIMSは、Pマークとはまた違う概念になります。ISMS-PIMSが保護の対象としているのは、プライバシーです。それに対してPマークが対象としているのはあくまでも個人情報です。
“プライバシー”とは言っていますが、日本の個人情報保護法がベースになっており、その法律に基づいて個人情報を保護するフレームワークになっています。

ISMS-PIMSでも、要求事項には各国の法令を守ることが含まれていますが、プライバシー保護は、個人情報保護法だけを守っていれば良いというものではありません。これからは日本においても、個人の権利であるプライバシーというものに企業としてきちんと向き合って、それに対するリスクを分析して対策を立てるという、個人の人権に対する保護意識を持つことが重要だと思っています。そういう認証は今まで存在しませんでした。ISMS-PIMSは、プライバシーというものに対して、日本として向き合う非常に良いきっかけになる認証ではないかと私は思います。

<LRM 幸松>

我々LRMも2021年になるまで、この認証は個人情報保護だと思っていました。規格屋でもわかりづらい概念だと思います。

— 渡部様ご自身は、ISMS-PIMSをウォッチしはじめた時から、その概念の違いはご認識されていたのですか。

渡部氏 はい。GDPRの研究をしていた時から、個人情報とプライバシーの概念の違いは感じていました。GDPRは、基本的人権を保護するEU基本権憲章をベースに作っており、日本の個人情報保護法とは発想が全く違います。

わかりやすい例を挙げると、個人情報を預けている会社から夜中に電話がかかってきたら不快に思いますよね。夜中に電話するという行為自体は法律違反ではありませんが、それによって相手が不快で嫌な思いをされるということを、きちんと人権としてとらまえて対策を打たなければいけないということです。このような説明は、幸松さんもおっしゃっていました。

<LRM 幸松>

付け加えれば、Pマークの規格にはISO27701でいう「PII管理者」の立場から検討すべき項目が定められていますが、BtoBサービスでお客様企業から預かった(委託された)個人情報の取扱いに特有の検討項目は、Pマークの規格上は正面から定められていません。

Works Human Intelligence様を例に取ると、Pマークを取得することで自社社員の個人情報の取扱いに関するルールは整備されているが、そのサービスである『COMPANY®』に入っている他社から受け取った個人情報の取扱いに関するルールが整備されているとは言い難いです。
「PII管理者」と「PII処理者」の立場を明確に分けて考え、「BtoBサービスでお客様企業から預かった個人情報」の取扱いは、PII処理者の立場で見ていくのが世界では主流です。しかし、日本の個人情報保護法やPマークの規格ではそうはなっていません。

ISMS-PIMSでは、PII管理者とPII処理者を分けて管理策を決めています。そのため、ISMS-PIMS認証を取得するということは、自社がPII管理者として取扱う個人情報はもちろんのこと、「PII処理者として取扱う個人情報(処理の委託を受けた個人情報)の取扱いもしっかりとしている会社です」ということを胸を張って言えるということです。 ISMS-PIMSにはそういった価値もあります。

短期決戦で一緒に汗をかいてくれるコンサルティング会社

「今回、短期決戦を軸にLRM様を選択したのは正解でした」(渡部裕氏)

「今回、短期決戦を軸にLRM様を選択したのは正解でした」(渡部裕氏)

— ISMS-PIMSの認証制度は始まったばかりで、ご不安はありませんでしたか。

渡部氏 初物でなおかつ可能な限り早く取得したいと思っていましたので、そのために何をすべきかと考えて、審査機関にも色々な相談はしました。

一方で、コンサルティング会社のサポートを受けようとも思っていました。自力でもやれなくはないなと思いましたが、その場合時間がかかってしまいます。特に短期決戦でやろうと思ったら、一緒に汗をかいていただくコンサルティング会社が必要です。

ただ短期決戦で一緒に汗をかいていただけるコンサルティング会社というのは、そんなにありません。実は今回、何社かにお声がけしてご提案をいただき、相談もさせていただきましたが、短期決戦で勝負をかけるのであればLRM様しかないと確信しました。分社化前にISMSクラウドセキュリティ認証を取得した際は、LRM様のサポートを受けて1ヶ月で取得しておりまして、あの実績は非常に大きいと思いました。さすがに2ヶ月、3ヶ月でお願いしますと言ったときに、「良いですよ」と言ってくれる会社はなかなかありませんでした。

— ご依頼された際に、LRMもISMS-PIMS認証取得の準備をしていたところだったと思います。その段階でコンサルティングが出来る体制も整備されていたということですか。

<LRM 幸松>

弊社はISMS-PIMS認証に関してもサポートメニューを作るつもりでしたので、まずは実験台として審査を受けました。審査会社の審査員が、Works Human Intelligence様の審査をする方と同じ方なので、事前に審査を受ける立場としての情報交換をしながら、勘所をつかんでいきました。その作業は弊社の高橋と小池が中心になって頑張ってくれました。

渡部氏 そこは大きかったですね。ISMS-PIMSの認証制度の動向を教えていただいたり、審査会社との調整も間に入っていただいて審査員と事前打ち合わせをさせていただいたり、色々と相談に乗って頂きました。
審査会社の事情で審査スケジュールは2ヶ月ずれましたが、内容としては、最初に自分の中で決めていたプランどおり、プライバシーを守る体制作りが出来ました。

LRMとのミーティングだけでドキュメント作成を完了

— プライバシーを守る体制作りというところで、ISMSやISMSクラウドセキュリティの時とは、取り組み内容も変わってくるのでしょうか。

渡部氏 ISMS-PIMSもISMSのベースに乗る規格ですので、リスク評価を行ったり、リスク対応計画を作ったり、基本的な流れは変わりません。

ISMS-PIMSの管理策に対して、自社規程や手順書などとフィットアンドギャップをしなければいけません。
その分析の部分をLRM様にご協力いただきまして、自分たちが出来ている、出来ていないという分析を行い、マネジメントポリシーを作ったり、手順書をアップデートしたり、リスクの評価方法を見直したり、弊社用にカスタマイズをして作り上げていきました。

— 自社規程や手順書というのは、今回の場合GDPRに関連するものですか。

渡部氏 その他、日本の個人情報保護法に基づく規程、Pマークに基づく手順書なども含まれます。それらとISMS-PIMSで要求されている管理策を照らし合わせて、「ここは今できているものでOK」「ここの部分は全く出来ていない」といった精査をしていって、出来ていないことがあれば、それに対してどういう形で対応して、何を作り上げていくか、どうPDCAを回していかなければいけないかをまとめ上げていくところが一番の肝かなと思います。

— そのようなフィットアンドギャップの作業はどれぐらいの期間で行われたのですか。

渡部氏 ほぼ毎週、2時間程度の打ち合わせをして、2ヶ月ぐらいかけて作り上げていきました。ベースになるサンプルをいただきましたので、それを参考にして各クラウドサービスの担当者が、自分たちの考え方や管理方法、運用などを考えながら、自分たちなりのポリシーや手順書を作って行きました。

内海氏 先ほど個人情報とプライバシーの違いという話が出ていましたが、ISMS-PIMS認証取得に取り組み始めた際に、私が思ったことが2点ありました。

1つは、既存の自社規程に対し、PIIを中心の適用範囲を見直して、どこまで影響が及ぶかを考えた上で、どのような文言にするかを考えなければいけないということです。もう1つは個人情報の扱いをどうするということではなく、プライバシーを守るという観点からお客様を不安にさせないように、どのような施策を打っていくのか、どのような説明をすれば良いのかという点です。この2点は難しいなと思いました。

— みなさんで話し合いながら決めていかれたのですね。

内海氏 ミーティングで「こういう文言でどうか」、「ここはこういうところがあるから、もうちょっとこうした方が良いのではないか」と、各々の事情を持ち寄って話し合いながら決めていきました。また、ミーティングにはLRM様にも同席していただきましたので、「この考え方でいいですか」とか「ここの管理策はどういったことを言っているのですか」、「どこまで言及した方がいいですか」といったことを、適宜、アドバイスしていただきました。わからないことを聞くと、すぐに答えていただけるという、まさに一緒に汗をかいていただく体勢で取り組めたことが、高速に進められた要因だったと思います。

— LRMとの打ち合わせ以外にも、御社内のみなさんだけで打ち合わせをされることもありましたか。

渡部氏 基本的にはLRM様とのミーティングだけです。社内のミーティングは実施していません。社内のコミュニケーションが必要な場合は、『Slack』でやりとりしていました。マネジメントポリシーの構築や審査を受けるために必要なドキュメント作成は、LRM様とのミーティング内で全て完結しました。

最大の苦労は“プライバシー”に対する考え方を変えること

LRMにとってもISMS-PIMSのコンサルティングは初めてだったと思いますが、すでに雛形も出来ていたのですか。

渡部氏 雛形が出来ていたというより、先にLRM様が情報セキュリティ特化型eラーニングサービス『Seculio』というクラウドサービスでISMS-PIMSを構築していましたので、そのドキュメント類をご提供いただき、参考にして、弊社なりに解釈してカスタマイズしました。

— サービスのユーザー数や組織の規模・体制などに関係なく、参考にはなるのですか。

内海氏 ISMS-PIMSの管理策自体は変わりませんので、どういうことを考えなければいけないのかという部分では参考になります。

<LRM 幸松>

今は履歴書にも性別を書かなくなっています。これも個人情報保護法と無関係ですが、プライバシーには関わる問題です。そういう意味では日本も今後、いろいろと変わってくるでしょうね。

渡部氏 よくISMS-PIMSはPマークのグローバル版だとおっしゃる方がいますが、実は次元が全く違うものです。我々も今回、ISMS-PIMSを取っていく中で、プライバシーに配慮したプロセスやサービスの設計、越境移転の対応などを、改めて総点検しまして、お客様に対しては、例えば弊社の委託先の国名、会社名、業務内容を公表しています。今回の認証を取らなければ、そのようなきっかけはなかったでしょう。現在、お客様との契約関係も総点検しているところですが、こういう形でお客様に安心安全なサービスを提供できるようになったことは非常に重要であると思います。

— 安心感を持ってサービスを使っていただくためにどうするかということは、単純にガイドラインを守れば良いということではなく、お客様の感情に寄り添うようなところもあるのですね。

渡部氏 そうです。判断が難しいところもありますが、結局はデータ主体の方々がどう思われるかが大事です。それに対して我々は想定力を持って、「ここがこうなっていたらお客様が見たときに不快に思うよね」とか、「こういう形で情報を提供しないと安心していただけないよね」といった視点で点検していく必要があります。

タスク量は多くても暗中模索の苦労はなかった

「やることが明確だったので暗中模索の苦労はありませんでした」(大嶋俊祐氏)

「やることが明確だった
ので暗中模索の苦労
はありませんでした」
(大嶋俊祐氏)

— LRMのサポートは打ち合わせをしてドキュメントを作成していくところまでですか。

渡部氏 審査の準備をする時に『Slack』で細々とした相談に乗っていただいた他、ドキュメント類のチェックを行っていただきました。

その他には、従業員教育の教育コンテンツをご提供いただきました。基礎教育の部分はLRM様からご提供いただいたものを使用し、GDPR関連の自社規程に関わる部分は自社で作成した独自コンテンツを使用し、二つをマージする形で実施しました。

— プライバシーの考え方のところ以外でご苦労されたことはございませんでしたか。

林氏 私は『My Number Keeping System(MKS)』というマイナンバー管理プラットフォームを担当しています。マイナンバーを扱う手前、セキュリティや特定個人情報の保護の部分を中心に考えていましたので、プライバシーの考え方を矯正するのはやはり大変でした。それからクラウドサービスの製品側の一部で、プログラム的な対応を取る必要が少しありました。プロジェクトがスタートした当初は1月を目指していましたので、年内までにその辺も全てクリアしてリリースの状態にしなければいけないところは大変でしたね。これはとにかく頑張るしかありませんでしたが。

大嶋氏 そうですね。やるべきことは多かったのは事実でございます。ただ、私の感覚としましては、何をしなければいけないかといった暗中を模索するような苦労はありませんでした。LRM様がいろいろ示して下さる中で、自分達の製品についてどういう観点でどんなところに気をつけて確認しなおす必要があるのかがなんとなくわかりました。それに基づいてポリシーやリスク評価手順などを、自分たちの製品に合わせてカスタマイズしたり、独自に作ったりして、構築していく作業を頑張ってやり遂げたという感覚です。

プライバシーの考え方が浸透することは日本が世界で戦うための条件

「プライバシーの考え方を変えるところが一番大変でした」(内海俊一氏)

「プライバシーの考え方を変えるところが一番大変でした」(内海俊一氏)

— 審査は万全な体制で臨めましたか。

渡部氏 審査も非常にスムーズに行われました。LRM様にも同席していただきましたので、非常に安心感がありました。

— やはりISMSなどと同様に指摘事項もあったのでしょうか。

渡部氏 第2段階審査で指摘事項はいくつかいただきましたが、そんなに多くはなかったですね。すでに対応も終わっていますので、そういう意味でも非常にスムーズに行きました。

— 今回ISMS-PIMS認証の取得に取り組まれて、改めて感じられたこと、気付かれたことなどはございましたか。

大嶋氏 私は製品の強化の面で非常に有益だったという感想を持ちました。自社のプロダクトについて気を付けているつもりでも、またはこれまで何事もなかったとしても認識として不十分な箇所があったということが今回の一連の対応の中でわかってきました。今回はそこを改善する機会として非常に有益でした。これを継続しながら新しい体制や法規制に対応していくことで製品をより良くしていけるという実感が持てました。

<LRM 幸松>

今後は多分、UXの一環としてプライバシーを考えなければいけなくなるでしょう。要するに不快さを感じないユーザー体験です。ユーザーが使っていて不安にならないような設計をしていくことが重要になってくると思われます。

「自社のサービスを、より安心してお使いいただける証が1つ増えました」(林勇人氏)

「自社のサービスを、より
安心してお使いいただける
証が1つ増えました」
(林勇人氏)

林氏 今回はプライバシーという観点から、管理策を一項目ずつ整理しながら見直して、それを製品に還元した上で認証が取れました。それは自分たちが扱うクラウドサービスを、より安心してお使いいただける証が1つ増えたということです。
今後もこういった認証を増やすことで、よりお客さんが増えていけば、私達としても嬉しい限りです。

内海氏 弊社の製品は一度作ったら終わりではなく、日々進化していくものです。今回のISMS-PIMSだけではなく、ISMSとISMSクラウドセキュリティを含めて、年間でPDCAを回していくことによって、製品の進化に応じて、ポイントを抑えながら改善していくことが出来ますし、そこが非常に重要です。来年になったら変わっているだろう弊社の製品でも、セキュリティだけではなく、プライバシーに関しても、しっかりと対応出来ていますということを打ち出せるところは大きなメリットだと思います。

— チェックポイントが増えて、逆に混乱してしまうようなことはありませんか。

内海氏 そこは逆に仕組み化していけるよう改善をしていくことになると思います。チェックポイントを気にしなくても自然とそうなるようなアーキテクチャを組めれば理想です。

— 渡部様はいかがでしょうか。

渡部氏 私は今回ISMS-PIMS認証に取り組んでみて、この認証はグローバルなプライバシーに関連した法規制に対応することの重要性だけではなく、国内企業にプライバシーの重要性を再確認させてくれるツールであると感じました。グローバルではスタンダードとなっているプライバシーの概念を浸透させていくことが、日本が世界で戦っていくためには必要になるだろうと思います。

当社のお客様はグローバルで活躍されているお客様が非常に多く、お客様ご自身もデータプライバシーの規制に適合したサービスやシステムを使っていくことが求められる状況です。弊社製品を提供することで、お客様の国際競争力をプライバシーの面からご支援することが出来れば良いと思っています。

スピードと質が伴うLRMのコンサルティング

— LRMのコンサルティングは、改めていかがでしたか。

渡部氏 今回、短期決戦を軸にLRM様を選択したのは正解でした。こういった取り組みは、時間をかければ良いというものではありませんし、集中力が高まらないと、良いものは作れません。もちろん短ければ良いというわけでもなく、質が伴う必要はあります。質を伴いながら短期集中で取り組める。それがLRM様のサポートだと思います。

<LRM 幸松>

Works Human Intelligence様は、国内だけではなく、グローバルなところもしっかり対応しようとしておられます。特にGDPRはどちらかというと積極的には取り組まれない領域です。はっきり言えば、多くの企業からすると、プライバシー対応も面倒臭い分野だと思います。そういうところにリソースを割いて、率先して取り組む姿勢は非常に素晴らしいですね。

— 今後のビジョンをお話し下さい。

渡部氏 ISOの認証制度全てに言えることですが、認証を取ることが最終的な目的ではありません。これから組織に根づかせて行く必要がありますので、これからが勝負だと思っています。

また、今後は、GDPRをベースにしたようなプライバシー規制が、世界の各国で始まってきますので、それらにも対応していかなければいけません。弊社は現在、米国・カリフォルニアのCCPAの研究もしておりますし、その他各国の制度もリサーチを行っています。それらが施行されたタイミングで、どういう形で対応すべきか、引き続き検討していきたいと考えています。

株式会社Works Human Intelligenceの皆様、お忙しい中ありがとうございました。

株式会社Works Human Intelligenceの皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※株式会社Works Human Intelligence様のWEBサイト
※ 取材日時 2021年5月

お気軽にご相談ください
ISO27701管理策資料
お問い合わせ/無料相談
お電話でのお問い合わせもお待ちしております
TEL:03-5719-6234
受付: 10:00~18:00 ※土日祝日、年末年始は除く

ページの先頭へ戻る