プライバシーマーク・ISMSの取得コンサルを行い、使いやすく有効活用可能なルールにするオプティマ・ソリューションズ

AI CROSS様(ISMS取得、法人向けSMS送受信サービス・人材管理クラウド)

法人向けSMS送受信サービスや、人材管理クラウドなど、AIテクノロジーを活用したソリューションを提供しているAI CROSS株式会社。同社は、自社の事業拡大と、直後に予定されていた株式市場への上場の準備を目的とし、2018年8月にISO27001(情報セキュリティマネジメントシステム/以下、ISMS)認証を取得しました。今回、そのISMS認証の取得にあたり、オプティマ・ソリューションズのコンサルティングを利用した経緯およびISMS認証取得の背景と効果などについて、シニアテクノロジースペシャリストの鈴木 聡氏、資産管理チームの入原 浩次氏にお話を伺いました。

――ISMSを取得するに至った背景をお聞かせください。
当社は、法人向けSMS送受信サービス「絶対リーチ!SMS」を展開しており、国内トップシェアのご利用をいただいております。このサービスを展開する上で、新規商談のお客様からISMS取得の有無を問われる機会が増加したことが大きな要因となりました。

携帯電話の番号だけでメッセージを送信できるSMSは、2011年に異なる携帯会社間でのやり取りが可能になって以降、国内での利用が拡大しています。個人としての手軽な連絡手段としてはもちろんですが、法人サービスにおける二段階認証時の認証コードの送信、マーケティングのプロモーションツールとしても幅広く活用されています。

SMSの特筆ポイントは、何といっても到達率と開封率の高さです。メールアドレスのように変更することが少ないため、到達率が極めて高いだけでなく、開封率も他の通信手段よりも圧倒的に高く、コミュニケーションツールとして法人ユーザー様から高い注目を浴びています。SMSの認知度アップとともに、当社の「絶対リーチ!SMS」の導入を検討されるお客様も増えてきています。

導入にあたり、競合他社との比較で重要なポイントになるのがセキュリティ対策です。認証コードや、クーポンの配布、予約サービスのリマインダーなど、法人ユーザー様はSMSを重要なコミュニケーションツールに位置付ける場合が多く、情報セキュリティの面での視線が厳しくなっています。その一環で、ISMS認証の取得有無を確認されることが増えていました。

もともと当社はPマークを取得しておりますが、Pマークだけでは法人ユーザーの条件を満たさないケースが出てきました。具体的に言えば、お客様から送られてくるセキュリティチェックシートにPマークとISMSの両方の取得有無を問う項目があり、ISMSにチェックできないと導入を見送られてしまうというようなことです。このようなことで、営業部門を筆頭に、社内からISMSの認証取得を望む声が大きくなり、ISMS取得に取り組むことになりました。

――コンサルティング会社を入れる予定でしたか。
Pマークを取得した際にもコンサルタントの助けを得ました。それでも取得までには大変な苦労がありました。今回はさらに上位のISMS取得です。社内だけでは対応が難しいことは分かっていましたので、コンサルタントありきで検討していきました。

――コンサルティング会社の比較・検討はされましたか。
取引会社からの紹介やWeb検索などを通じ、ISMS取得に実績があるコンサルティング会社を4社ピックアップして問い合わせしました。各社に足を運んでいただき、お話を伺ったうえで見積りを頂戴しました。

1)実績、2)コンサルティング&シナジー、3)Pマークとの整合性対応、4)価格の4つの観点で4社を比較・検討し、最終的には、全ての項目において高評価を獲得したオプティマ・ソリューションズにコンサルティングを依頼することにしました。具体的な評価については以下の通りです。

<4つの観点による比較・検討>
1)実績
そもそも実績をもとにピックアップしていますから、各社とも実績は十分でした。そのなかでもオプティマ・ソリューションズは、同業他社のコンサルティング経験があるコンサルタントをアサインできるとのことで、安心感が大きくアップしました。

2)コンサルティング&シナジー
テンプレートの通りに作業を行い、取得だけを目指すやり方をすすめてくるコンサルティング会社もありました。しかし、それではコンサルティング要素が乏しいのではないかという疑問がありました。当社としては、その都度、相談しつつ的確なアドバイスをいただきながら進めていきたいと考えていました。その点を考慮すると、オプティマ・ソリューションズは唯一、2週間に1回の訪問コンサルティングの確約がありました。対面で話すことができれば、情報セキュリティの知識を習得できるなど、さまざまなシナジーも期待できます。

3)Pマークとの整合性対応
オプティマ・ソリューションズは当社におけるPマークの規定を参照し、整合性を考慮したコンサルティングを行ってくれるとのことでした。

4)価格
オプティマ・ソリューションズは一年後の審査まで含め、十分に納得できる金額を提示していただきました。

<代表の中さんの情報発信からも信頼感を得ました>
オプティマ・ソリューションズの中さんが開催するセミナーに、何度か参加させていただきました。ISMSで求められること、満たすべき規定などを論理的に解説する姿を拝見し、そのときから「分かりやすい」という印象がありました。その後にお送りいただいたメールマガジンや個人情報保護法改正の動画配信など、定期的な情報発信にも感銘を受けていました。こうした取り組みは、情報セキュリティを真剣に捉えているからに他ならないと考え、オプティマ・ソリューションズ選定の大きな要素とさせていただきました。

――取得までの進捗をお聞かせください。
オプティマ・ソリューションズをコンサルティング会社に選定し、2018年1月から取得に向けた取り組みがスタート。無事、同年8月にISMSを取得することができました。経営層から2018年夏までの取得を厳命されていたので、何とか間に合いました。ちなみにISMSの取得範囲は「B2Bモバイルモバイルアプリケーション開発および関連するサービスにおける情報セキュリティの管理」。サービスからバックオフィスまで含む幅広い範囲で情報セキュリティに取り組みました。

――取得にあたって大変だったことはありましたか。
システムに関しては構築も運用もしていますから想定内でしたが、体系化して規定のなかに当てはめていく過程では判断に迷うところや抜け漏れなどがあり、あらためて大変だと実感しました。

例えば、情報資産の範囲をどう決めるべきか。ITのサービスを展開している会社なので、そもそも管理しているサーバーは相当数あります。それを一台ずつ列挙して用途まで詳細に記載していくのか、あるいはサーバー一式としてまとめてしまっていいのか。そもそもクラウドは、クリックひとつで簡単にサーバーをスケールすることができるので、台帳に反映すること自体、現実的ではありません。その辺りをISMSの要求事項とどう整合していくのか。

そういった疑問に対して、その都度オプティマ・ソリューションズのコンサルタントである生方さんにアドバイスをいただき、ひとつずつクリアしていきました。

また、脈々と受け継いできたPマークの規程とISMSの整合性を取ることにも苦労しました。もちろんこれも助けてくれたのは生方さんです。オプティマ・ソリューションズで用意しているISMSのテンプレートをもとに、Pマークの規程を残しつつISMSと両立させる案を出していただき、最終的にバランス良くまとめることができました。

――ISMS取得の効果はありましたか。
<顧客のチェックシートのISMSの欄にチェックできる>
お客様からのセキュリティチェックシートのISMS欄にチェックできるのはもちろん、商談の営業トークでも「PマークとISMSを取得して万全の情報セキュリティ体制を整えている」ことを語れるのは大きなアドバンテージになっているようです。実際、営業部門からはサービスの拡大に役立っているという声が聞こえてきています。

<社内の各種情報システムを委託先管理で体系化>
社員数が増えて事業も会社も拡大するにつれ、業務で利用する外部のWebサービスが多種多様になっていました。当然、それらのWebサービスを把握し、個々に十分なセキュリティレベルを担保しなければなりません。これらをISMSの委託先管理の手法でしっかり体系化することができたため、良い機会が得られたと思っています。新しい外部Webサービスを導入する際も、開発部門の主観によるセキュリティ感覚以外に、客観的なISMSのフレームと照らし合わせるフェーズが加わったため、よりセキュアなシステム構築が可能になりました。

――御社は2019年10月に東証マザーズに上場していますが、その際にPマークやISMSの存在は役立ちましたか。
当社が展開するSMS送受信サービスは、コミュニケーションインフラとして企業の基盤となるものですから、我々自身にも高い社会的信用力が求められます。そのため、サービス開始当時から上場はひとつの目標でした。その上場を目指す過程のなかで、PマークとISMSの存在は決して小さくありませんでした。なぜなら、PマークとISMSも社会的信用力を高める大きな存在だからです。

上場の過程では内部統制の観点で情報セキュリティに関する監査を受けることがありました。その際、「当社にはISMSに基づくプロセスあるので、このプロセスにそって統制しています」と自信を持って言うことができました。ISMS認証を取得し、そのISMSに沿ってPDCAサイクルを回しているわけですから、監査の方々にも納得していただけたと思います。

こうして自信を持って言えるのは、PマークとISMSをもとにした情報セキュリティの啓発活動を行い、社内にしっかりと根付いているという自負が根底にあります。

――具体的にはどのような啓発活動を行ったのでしょうか。
ISMSの取得と同時に社内の情報展開を推進しました。まず、社内のポータルサイトに「情報セキュリティとは何なのか」「情報セキュリティのC.I.A.(機密性、完全性、可用性)とは何か」「PマークとISMSは何が違うのか」「それぞれの規格で何をしなければならないのか」「社内のセキュリティポリシーは何をどう調べればいいのか」など、情報セキュリティに関するQ&Aが分かるページを設置。セキュリティ事故の実例やその際の対処法などは、随時チャットツールを使って情報発信を行いました。さらに、情報セキュリティ教育で活用した資料は、新入社員や業務委託契約する方々にも配布し、参照を義務付けています。

――情報セキュリティの意識はどのようなときに感じますか。
ISMSの運用規約にある効果測定を当社なりに解釈し、不定期の社内アンケートで情報セキュリティに関する意識調査を実施しています。実施するごとに認知度の向上を実感できるだけでなく、社内からのフィードバックを受けてPDCAサイクルに付加した施策もあります。

情報セキュリティの意識は営業担当のコミュニケーションにも反映されているようです。例えば、顧客からファイルを受け取る際、情報セキュリティの意識がない場合はそのまま受け取るだけですが、情報セキュリティの意識があれば「こういう情報の授受には問題はないか?」という気づきがあります。こうした意識の積み重ねが業務の質に反映されていくことで、「上場企業」「Pマーク&ISMSの取得企業」というような表面的な社会的信用力だけでなく、社員の日々の行動やマインドを通じて社会的信用力を発信できるのではないかと考えています。

――オプティマ・ソリューションズへの評価をお聞かせください。
コンサルティングというと上から目線からのイメージがあったのですが、生方さんは物腰が柔らかく、いつも丁寧に答えてくださる方で安心しました。しかも、当社の事情を理解したうえで程よい落としどころを見つけてくれるので、本当に助かっています。

また、取得後のアドバイスもありがたいですね。例えば、個人情報保護法は定期的に見直しがあり、随時Pマークの規程をアップデートしなければなりませんが、そういったところについても的確なアドバイスがあります。

――オプティマ・ソリューションズに対する期待などをお聞かせください。
セキュリティの分野は、「ゼロトラスト(社内ネットワークからのアクセスだからといって信頼するのではなく、インターネット上のサーバーと同様に全て認証をするという考え方)」のように次々と新しい概念が登場してきます。ご存知のことがあれば、随時共有いただけるとすごくありがたいですね。今後も困ったことがあったら迷わず質問させていただくと思います。引き続き、的確なアドバイスをお願いします。

――AI CROSS株式会社/プロフィール
ビジネスコミュニケーションプラットフォームを革新する会社として2015年に設立。「Smart AI Engagement」のもと、ビジネスチャットのログやSMS、RCSなどのメッセージングサービスのほか、勤怠・人事情報、Web上に点在する各種データなど、さまざまなテクノロジー・チャネル上にある情報を集約し、AIで多面的に分析・学習・予測することで、今まで実現できなかった企業と従業員、企業とユーザーなど、新たなエンゲージメントの創出を目指している。企業とユーザーを結びつける法人向けSMS送受信サービス「絶対リーチ!SMS」は、HTTPS(Web API)およびSMPP(SMPP v3.4)のAPIを活用した独自のシステム連携方式で、さまざまなビジネスに利用が可能。「HYOUMAN BOX」はパーソナリティや企業カルチャーをツールで定量化し、その客観的データを人事判断に加えることができる人材マネージメントサービス。また同社の「AI X Lab」では、データサイエンティストのチームがAIの研究開発を行っている。

所在地 :〒105-0003 東京都港区西新橋3-16-11 愛宕イーストビル13F
主な事業内容 :Smart AI Engagement事業、メッセージングサービス開発・運営、HR関連サービス企画・開発・運営
URL https://aicross.co.jp/ コーポレートサイト
https://aicross.co.jp/zettai-reach/ 絶対リーチ!SMS
https://aicross.co.jp/hyoumanbox/ HYOUMAN BOX

  • 東京都港区西新橋1-18-6
    クロスオフィス内幸町5階
  • 大阪市北区梅田1-11-4-923
    大阪駅前第4ビル9階
  • 愛知県名古屋市中区
    栄5丁目26-39 GS栄ビル3階
  • メール問い合わせ
  • Pマーク
  • ISMS