株式会社Works Human Intelligence様 – 顧客事例 –

— LRMへのご依頼内容をお話し下さい。

渡部氏　株式会社Works Human Intelligenceは、2020年11月、LRM株式会社にISMS/ISO27001(以下、ISMS)のアドオン認証、ISMS-PIMS/ISO27701(以下、ISMS-PIMS)認証の新規取得コンサルティングを依頼しました。幸松さん、高橋さん、小池さんのサポートを受けながら準備を進め、2021年3月に第二段階審査を受けました。国内ではまだまだ事例の少ない認証制度ですが、弊社が当初考えていたプラン通り進行することが出来ました。

— 今回の認証範囲をお話し下さい。ISMS-PIMSの認証制度では、PII（Personally Identifiable Information）を取り扱う事業者を管理者と処理者の2つに分けているのでしたね。

渡部氏　弊社のクラウドサービス運用における処理者として取得しました。実は当初は、クラウドサービス導入および保守サポートの部分まで拡大し、管理者としての立場も含めて取る予定でした。しかし対象部門の人数が増え、審査の工数もかかることから、審査機関と相談させていただいて、まずはスモールスタートで、ノウハウを蓄積することを優先しました。

ただ、実際のマネジメントシステムは、PII管理者としての立場も含め、全て作り上げました。当初の計画では、審査の時期を1月に設定していました。しかし12月になり、審査機関の都合上、数ヶ月ずれ込むことがわかりました。そこでLRM様にも相談して、範囲を広げることをご了解いただきました。ですから現状では、いつでも認証範囲を拡大出来る体制はできております。

— 本日、『ZOOM』のミーティングルームにお集まりいただいている方々は全員、事務局の方々ですか。

渡部氏　今、集まっているメンバーは、今回のPIMSを取得するにあたってプロジェクトマネージャーを務めた渡部と、弊社が提供するクラウドサービス運用のメンバーです。このメンバーが中心となって、LRM様と打ち合わせをしながら今回のマネジメントポリシーを構築していきました。この他、今回のプロジェクトには、内部監査や導入保守を含めて約20名が関わっています。

— 皆さんは、ISMSクラウドセキュリティ/ISO27017(以下、ISMSクラウドセキュリティ)の取得事例にもご出演いただいていますね。確か2017年でした。

渡部氏　はい。前回はワークスアプリケーションズとしてLRM様のサポートを受けてISMSクラウドセキュリティ認証を取得しました。その後、2019年8月1日に分社化によってWorks Human Intelligenceが設立されています。

— 2019年11月にはISMSならびにISMSクラウドセキュリティ認証を取得されています。これらはグループ認証などの形で引き継がれたのですか。

渡部氏　いいえ。前身の会社とは別会社ですので、プライバシーマーク(以下、Pマーク)と並行して、全て自力で取得しました。

— ISMS-PIMS認証取得はいつ頃から意識されていたのですか。

渡部氏　2019年夏頃から認識しておりまして、ウォッチし続けていました。

背景をお話しいたしますと、前身の会社の時からグローバルで展開されているお客様が非常に多くございまして、GDPRで求められているデータプライバシーの保護に対するご要望を多数いただいておりました。そのことから、HR製品を作り、サービスを提供する企業として、取り組みに対し積極的かつ継続的に取り組む必要があるということはずっと考えておりました。GDPR関連の自社規程は作ったものの、やはり継続的にPDCAを回し続けられるマネジメントシステムの必要性を感じていたところに、日本でもISMS-PIMSの認定事業が開始することが決まりました。これがあれば、GDPRだけではなく、他の国や地域のプライバシー保護に関連した法律も取り込んで、継続的に改善していける仕組みを構築することが可能となります。弊社サービスをより安心してご利用いただける裏付けになりますので、一刻も早く取得したいと考えました。

— GDPR対応という意味では、国内の規格に基づいたPマークだけでは要求を満たせないということですね。

渡部氏　というよりも、ISMS-PIMSは、Pマークとはまた違う概念になります。ISMS-PIMSが保護の対象としているのは、プライバシーです。それに対してPマークが対象としているのはあくまでも個人情報です。
“プライバシー”とは言っていますが、日本の個人情報保護法がベースになっており、その法律に基づいて個人情報を保護するフレームワークになっています。

ISMS-PIMSでも、要求事項には各国の法令を守ることが含まれていますが、プライバシー保護は、個人情報保護法だけを守っていれば良いというものではありません。これからは日本においても、個人の権利であるプライバシーというものに企業としてきちんと向き合って、それに対するリスクを分析して対策を立てるという、個人の人権に対する保護意識を持つことが重要だと思っています。そういう認証は今まで存在しませんでした。ISMS-PIMSは、プライバシーというものに対して、日本として向き合う非常に良いきっかけになる認証ではないかと私は思います。

— 渡部様ご自身は、ISMS-PIMSをウォッチしはじめた時から、その概念の違いはご認識されていたのですか。

渡部氏　はい。GDPRの研究をしていた時から、個人情報とプライバシーの概念の違いは感じていました。GDPRは、基本的人権を保護するEU基本権憲章をベースに作っており、日本の個人情報保護法とは発想が全く違います。

わかりやすい例を挙げると、個人情報を預けている会社から夜中に電話がかかってきたら不快に思いますよね。夜中に電話するという行為自体は法律違反ではありませんが、それによって相手が不快で嫌な思いをされるということを、きちんと人権としてとらまえて対策を打たなければいけないということです。このような説明は、幸松さんもおっしゃっていました。

— プライバシーを守る体制作りというところで、ISMSやISMSクラウドセキュリティの時とは、取り組み内容も変わってくるのでしょうか。

渡部氏　ISMS-PIMSもISMSのベースに乗る規格ですので、リスク評価を行ったり、リスク対応計画を作ったり、基本的な流れは変わりません。

ISMS-PIMSの管理策に対して、自社規程や手順書などとフィットアンドギャップをしなければいけません。
その分析の部分をLRM様にご協力いただきまして、自分たちが出来ている、出来ていないという分析を行い、マネジメントポリシーを作ったり、手順書をアップデートしたり、リスクの評価方法を見直したり、弊社用にカスタマイズをして作り上げていきました。

— 自社規程や手順書というのは、今回の場合GDPRに関連するものですか。

渡部氏　その他、日本の個人情報保護法に基づく規程、Pマークに基づく手順書なども含まれます。それらとISMS-PIMSで要求されている管理策を照らし合わせて、「ここは今できているものでOK」「ここの部分は全く出来ていない」といった精査をしていって、出来ていないことがあれば、それに対してどういう形で対応して、何を作り上げていくか、どうPDCAを回していかなければいけないかをまとめ上げていくところが一番の肝かなと思います。

— そのようなフィットアンドギャップの作業はどれぐらいの期間で行われたのですか。

渡部氏　ほぼ毎週、2時間程度の打ち合わせをして、2ヶ月ぐらいかけて作り上げていきました。ベースになるサンプルをいただきましたので、それを参考にして各クラウドサービスの担当者が、自分たちの考え方や管理方法、運用などを考えながら、自分たちなりのポリシーや手順書を作って行きました。

内海氏　先ほど個人情報とプライバシーの違いという話が出ていましたが、ISMS-PIMS認証取得に取り組み始めた際に、私が思ったことが2点ありました。

1つは、既存の自社規程に対し、PIIを中心の適用範囲を見直して、どこまで影響が及ぶかを考えた上で、どのような文言にするかを考えなければいけないということです。もう1つは個人情報の扱いをどうするということではなく、プライバシーを守るという観点からお客様を不安にさせないように、どのような施策を打っていくのか、どのような説明をすれば良いのかという点です。この2点は難しいなと思いました。

— みなさんで話し合いながら決めていかれたのですね。

内海氏　ミーティングで「こういう文言でどうか」、「ここはこういうところがあるから、もうちょっとこうした方が良いのではないか」と、各々の事情を持ち寄って話し合いながら決めていきました。また、ミーティングにはLRM様にも同席していただきましたので、「この考え方でいいですか」とか「ここの管理策はどういったことを言っているのですか」、「どこまで言及した方がいいですか」といったことを、適宜、アドバイスしていただきました。わからないことを聞くと、すぐに答えていただけるという、まさに一緒に汗をかいていただく体勢で取り組めたことが、高速に進められた要因だったと思います。

— LRMとの打ち合わせ以外にも、御社内のみなさんだけで打ち合わせをされることもありましたか。

渡部氏　基本的にはLRM様とのミーティングだけです。社内のミーティングは実施していません。社内のコミュニケーションが必要な場合は、『Slack』でやりとりしていました。マネジメントポリシーの構築や審査を受けるために必要なドキュメント作成は、LRM様とのミーティング内で全て完結しました。

— LRMにとってもISMS-PIMSのコンサルティングは初めてだったと思いますが、すでに雛形も出来ていたのですか。

渡部氏　雛形が出来ていたというより、先にLRM様が提供する情報セキュリティ教育クラウド『セキュリオ』でISMS-PIMSを構築していましたので、そのドキュメント類をご提供いただき、参考にして、弊社なりに解釈してカスタマイズしました。

— サービスのユーザー数や組織の規模・体制などに関係なく、参考にはなるのですか。

内海氏　ISMS-PIMSの管理策自体は変わりませんので、どういうことを考えなければいけないのかという部分では参考になります。

渡部氏　よくISMS-PIMSはPマークのグローバル版だとおっしゃる方がいますが、実は次元が全く違うものです。我々も今回、ISMS-PIMSを取っていく中で、プライバシーに配慮したプロセスやサービスの設計、越境移転の対応などを、改めて総点検しまして、お客様に対しては、例えば弊社の委託先の国名、会社名、業務内容を公表しています。今回の認証を取らなければ、そのようなきっかけはなかったでしょう。現在、お客様との契約関係も総点検しているところですが、こういう形でお客様に安心安全なサービスを提供できるようになったことは非常に重要であると思います。

— 安心感を持ってサービスを使っていただくためにどうするかということは、単純にガイドラインを守れば良いということではなく、お客様の感情に寄り添うようなところもあるのですね。

渡部氏　そうです。判断が難しいところもありますが、結局はデータ主体の方々がどう思われるかが大事です。それに対して我々は想定力を持って、「ここがこうなっていたらお客様が見たときに不快に思うよね」とか、「こういう形で情報を提供しないと安心していただけないよね」といった視点で点検していく必要があります。

— LRMのコンサルティングは、改めていかがでしたか。

渡部氏　今回、短期決戦を軸にLRM様を選択したのは正解でした。こういった取り組みは、時間をかければ良いというものではありませんし、集中力が高まらないと、良いものは作れません。もちろん短ければ良いというわけでもなく、質が伴う必要はあります。質を伴いながら短期集中で取り組める。それがLRM様のサポートだと思います。

— 今後のビジョンをお話し下さい。

渡部氏　ISOの認証制度全てに言えることですが、認証を取ることが最終的な目的ではありません。これから組織に根づかせて行く必要がありますので、これからが勝負だと思っています。

また、今後は、GDPRをベースにしたようなプライバシー規制が、世界の各国で始まってきますので、それらにも対応していかなければいけません。弊社は現在、米国・カリフォルニアのCCPAの研究もしておりますし、その他各国の制度もリサーチを行っています。それらが施行されたタイミングで、どういう形で対応すべきか、引き続き検討していきたいと考えています。

株式会社Works Human Intelligenceの皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※株式会社Works Human Intelligence様のWEBサイト
※ 取材日時 2021年5月