コンサルを使わず自社社員だけでISO認証取得に取り組んだLisB社。最初におこなったのは業務フロー見える化。業務内容を付箋に書き出し、模造紙に貼って体系を整理した(画像提供:LisB社/文字部分は修正)
法人向けにクラウドサービスやアプリの開発を手掛けるLisB(エルイズビー)社。人工知能を活用した自動会話技術「チャットボット」を強みに、2014年10月にリリースしたビジネスチャットツール「direct(ダイレクト)」をはじめ、複数の自社開発サービスをクラウドで展開している。同社はクラウドセキュリティ認証取得をきっかけに、大手企業向けに顧客層に好調な拡大を続けているという。代表の横井太輔氏に認証取得の経緯やその成果を聞いた。
「セキュリティ不安」認証取得で解消
スマートフォンとチャットボットを駆使したビジネス向けソリューションツールを展開するLisB社(本社:東京都千代田区)。サービス提供にはクラウド環境は不可欠なシステム基盤となる。2010年にベンチャー企業として設立以来、ソフトウェア開発技術者が集まって成長してきた。セキュリティ対策は、経験豊富な技術メンバーが「自分たちがやってきたことの最終確認」として「当然守るべき作法」という感覚。その多くは暗黙のルールとなってきた。
そんな同社が「ISMSクラウドセキュリティ規格」(ISO/IEC 27017)の認証取得をしようと決めたのは2015年12月。先行して同社主力のビジネスチャットサービス「direct(ダイレクト)」を一部門で採用してきた大手顧客企業から、全社採用を検討したいと打診があったのがきっかけだ。担当者から、サービスの有効性は納得できたが「セキュリティ面での不安がある」と社内の一部から採用に反対する意見があると告げられた。
先方企業が求めていたのは、セキュリティ体制の第三者認証だった。「公的機関の認証はないの?」と聞く担当者に、横井社長は「何があったらよいですか?」と率直に尋ね、勧められたのが「ISO規格」だったという。
サービスのリリースから2年目を迎えていた時期。これまで同サービスは社員10人の会社から社員1万人の大手上場企業まで、さまざまな規模の会社に採用をもらってきた。技術開発が進み充実したサービスに納得してもらえる機会が増えた一方で、「大企業になるほど業務情報の取り扱いは繊細。セキュリティ面で少しでも社内から反対意見があると採用してもらえない」(同)と大企業特有のハードルの高さを肌で感じていた。
また企業組織としても「優秀な中途採用技術者に頼ってきた時代から、今後は新卒社員を採用し育てていく時代に入っている。この段階で会社としてのルールを社内で整備するのにちょうどいいタイミングかもしれない」との想いもあった。顧客企業担当者に掛けられた一言をきっかけに横井氏は、間もなくISO認証取得を決意。翌年2016年1月に開かれた社内合宿での取得宣言をきっかけに取り組みがはじまった。
####
コンサル使わず約5カ月で取得完了
ISO認証取得にあたって横井氏が決意していたのは、外部コンサルティングを使わず、自社内のメンバーだけで自力で認証を取得すること。「起業してようやく波に乗りこれから成長していこうとする時期。会社としてのルールを社内で整備するには、コンサルを使わず自分たちの力でやってみようと決意した」と横井氏は当時を振り返る。
具体的にISO認証取得を統括したのは、同社管理部門を統括するCOO・加納正喜氏。事務局の吉成裕恵氏とともに認証取得への道のりがスタートした。
企業設立時から経験豊富な技術者が揃う同社では「セキュリティ対策の基本的作法は皆共有できていた」と加納氏。「意識としては80%~100%対応済みだが、ルールの明文化では20~30%しか進んでいない」。社内にある暗黙のルールを明文化しながら、さらに認証規格が定める要求事項で足りないところを補足していく。「途中でくじけるのは当たり前。半年から1年かけてでも、一歩ずつ前に進んでいることを実感しながらコツコツ焦らずやっていこうというイメージで始めた」と加納氏は振り返る。
当初1月~2月は、書店で関連書籍を読み漁ったり、複数の審査機関を当たって無料の入門セミナーを受講するなど、情報収集に徹した。同時並行ですすめたのは「業務フローの整理」。業務内容を付箋に書き出し、そのフローを模造紙に並べて再現したうえで、セキュリティ対応が新たに必要な業務を洗い出した。
審査申込をしたのは2016年5月。申請から審査まで約5カ月。折り返しとなる3カ月目に1度だけJQAに方向性を確認したが、それ以外は、10月末に1次審査、11月に2次審査と順調に審査をクリア。同年12月に「ISO/IEC 27001:2013(JIS Q 27001:2014)」および「ISO/IEC27017:2015(JIP-ISMS517)」の2認証を見事に同時取得した。とくにJQAにとっては同社が第1号の「ISO/IEC27017」認証取得企業となった。
最終的には全社員で共有すべき明文化ルールとPDCAを回す運用マニュアルをまとめたポータルサイトを立ち上げ、常に最新バージョンを全社員で共有できる環境を整えた。
LisB社のセキュリティ対策を集約した社内向けポータルサイト。最新のルールとマニュアルを常にアップデートし続ける
####
着実に広がる顧客層、新たなステージへ
セキュリティ認証取得によって目に見える効果があったのが社内の組織体制だ。ISOが定める要求事項を全社員が共有できるようになったことは大きな変化。社内でも「もともと慣例的にやってきていたセキュリティ対策が明文化されることで改めて体系化され、社員同士の動きが見えやすくなった」と加納氏は実感する。
認証取得の審査の際、セキュリティ対応のインタビューを社内全員が回答できることに驚かれたことは、横井氏にとって大きな誇り。もうひとつ横井氏が強く印象に残るのは「日常業務の中でも『これってISMS的にいいんだっけ』という会話が社内で聞かれるようになった」こと。「社内に新たなセキュリティ基準が実装されたことの証。外部コンサルに頼らず、社員自らでやり抜いたことが実を結んだ」と横井氏は自信をみせる。
社外的にも、これまでサービス導入検討においてボトルネックとなってきた「セキュリティ対策」が解消されたことで、「ようやく比較検討のテーブルにつき、サービスの中身を吟味してもらえるようになった」(横井氏)。認証取得の成果か、これまで接点がなかった金融機関からも問い合わせが来るなど、顧客対象の範囲が着実に広がった。2018年5月には主力サービス「direct」の導入者数が1000社を突破。また既存顧客の大手企業が一部門の2000人採用から全社1万人へと採用に切り替えを検討する案件も舞い込んでいるという。
また、同じく同社のクラウド技術を使ったJR西日本「忘れ物チャットサービス」も半年間の試行期間を経て、2018年5月24日から本格サービスを開始。「窓口業務を3分の1に短縮できるとともに、1日あたり対応可能件数も増える」と好評を得た。「今後は全国の大手鉄道会社にも提案していきたい」と意気込む横井氏。認証取得を機に、同社は着実に新たなステージへと歩を進めている。
横井太輔社長(写真中央)と、ISO認証取得を統括したCOO加納氏(同右)、事務局の吉成氏(同左)
■「LisB社」公式サイト
https://l-is-b.com
■主力のビジネスチャットサービス「direct」。モバイル端末とチャットボット技術を駆使して、机に座らずに報告書を書く機能などを充実。「現場を持つ企業に向けたサービス」でシェアを伸ばす。
https://direct4b.com/ja/
■関連記事
クラウドセキュリティ認証 、国内企業の普及動向は?
一般財団法人 日本品質保証機構(JQA)に聞く
http://www.risktaisaku.com/articles/-/7321
(了)
