個人と組織のパフォーマンスを向上させる「パフォーマンスマネジメント」を、テクノロジーとコンサルティングの両軸で支援する株式会社アジャイルHR。同社は2019年8月にプライバシーマーク(以下、Pマーク)を取得、そして、2022年10月にISO27001(情報セキュリティマネジメントシステム/以下、ISMS)を取得しました。今回、PマークとISMSを取得した経緯や、オプティマ・ソリューションズにコンサルティングを依頼した背景などを代表取締役 松丘 啓司氏に伺いました。
――御社が展開するパフォーマンスマネジメントについて教えてください。
パフォーマンスマネジメントとは、目標管理や評価制度などをベースに個人と組織のパフォーマンス向上を促進するためのマネジメント手法のことです。成果主義を取り入れた人事制度の制度疲労を蓄積した現状のままでは、個人の成長やイノベーションの阻害要因となりかねません。とくに環境変化の不確実性が高まっている今日、より機敏(アジャイル)に、かつ個々人の多様性を活かしたパフォーマンスマネジメントが必要と考えています。
当社が展開するパフォーマンスマネジメント事業は、「全社員が同じビジョンに向き、明確な優先順位をもちつつ、一定のペースで計画を進める」目標設定のOKR(Objectives and Key Results)や1on1を支援するクラウドサービス「WAKUAS」と、360度フィードバック、エンゲージメントサーベイ、評価制度などのコンサルティングサービスの両軸で構成されています。
さらに新人・若手、中堅、シニア層などに対するキャリア研修、1on1導入を効果的に行うための上司向け1on1研修、新たなパフォーマンスマネジメントの制度やプロセスを設計するワークショップ、OKRのフレームワークに基づく目標設定を支援するワークショップなど、各種研修/ワークショップ事業も展開しています。
このように当社は、パフォーマンスマネジメントの革新に関わる様々なサービスを通じて、企業のトランスフォーメーションに貢献することを使命としています。
――PマークとISMSの両方を取得されていますが、まずはPマークの取得背景からお聞かせください。
実は、Pマークの取得は今回が初めてではありません。アジャイルHRの前身の会社、エム・アイ・アソシエイツとして、2007年にPマークを取得しました。当時から、人事に関連するコンサルティングサービスや研修を展開しており、顧客の個人情報に触れる機会が多かったことから、いち早くPマークを取得しました。
――エム・アイ・アソシエイツでPマークを取得した際、コンサルティング会社は利用されましたか。
はい。あるコンサルティング会社を利用して、Pマークを取得しました。2年後の更新時にオプティマ・ソリューションズにコンサルティングをお願いしました。その後、自社で運用と更新を続けてきています。ですから、更新の仕方や修正のノウハウは十分に蓄積できていると思います。
――アジャイルHRでPマークを取得する際も、オプティマ・ソリューションズにコンサルティングを依頼されています。
それまでの運用と更新で得られた知見をもとに、Pマークを自力で取得することも可能だったと思います。しかし、自分たちで更新を続けていると、フレームが陳腐化していくという心配がありました。例えば、私たちがPマークを取得した2007年ごろは、USBメモリーの紛失や盗難による事件事故が多発しており、管理の重要性が今よりも断然上位でした。また、当時はサーバーといえばオンプレミスが当たり前でしたが、今ではクラウドが主流になりつつあります。こうした時流に沿って、Pマークの要件やマネジメントの重要度も変化させる必要がありますが、自分たちだけでこれを行おうとしても、なかなか困難がありました。そして、Pマークの審査には通るものの、自社のルールが時代にマッチしてないフレームになっているのではないかという危惧がありました。
そこで、今回はPマークの取得だけでなく、更新も含めてオプティマ・ソリューションズにコンサルティングを依頼することにし、2019年8月に無事取得できました。
――次にISMSの取得背景をお聞かせください。
当社では、HRテクノロジーとしてクラウドサービス「WAKUAS」を提供していますが、こうしたサービスを提供すると、顧客からセキュリティに関するチェックシートへの回答を日常的に求められます。当社の顧客は大手企業が多く、総じてセキュリティが厳しいため、チェックシートへの回答は必須です。それらチェックシートには膨大な項目数がありますが、ISMSを取得していれば、多くの項目が記入不要になります。
もちろん、セキュリティのチェックシートだけの問題ではありません。まず、国際的に認知されているISMSを取得すれば、大手企業に安心感を持っていただくことができて、成約までスムーズに進めることができます。また、当社としても、情報セキュリティマネジメントのフレームを構築できて、トラブルを未然に防ぐことができます。
――PマークやISMSを取得するうえで、他のコンサルティング会社の比較・検討はされなかったのでしょうか。
エム・アイ・アソシエイツのときは、サービス内容や見積りで比較・検討を行い、それをもとにオプティマ・ソリューションズに依頼しました。ただし、アジャイルHRでPマークとISMSを取得した際は、比較・検討は行いませんでした。なぜなら、当社もコンサルティングを生業にしており、ある程度はサービス内容や価格の相場を想像できるからです。
その視点からすると、オプティマ・ソリューションズのサービス内容と価格は十分に魅力的なものでした。そのため、あらためてリソースや時間を費やしてまでコンサル会社を比較・検討するメリットはないと考え、実績のあるオプティマ・ソリューションズに依頼させていただきました。
――ISMSの取得に関するプロセスと取得の範囲を教えてください。
2022年2月、オプティマ・ソリューションズにISMS取得のコンサルティングを依頼し、10月末に取得することができました。取得範囲は「クラウドサービス事業並びに関連するコンサルティングおよび研修事業」ということで、会社全般での取得になります。
――ISMSの取得のなかで大変だったことはありますか。
さまざまな規程や記録の作成や、社内への浸透を促す啓発活動などもありますから、それなりの労力は必要でした。ただ、取得自体はスムーズだったと思います。オプティマ・ソリューションズにご指導いただいたおかげで、審査機関からクリティカルな指摘事項もありませんでした。
作業は社内のISMS担当者に進めてもらいましたので、私自身は審査の際にトップインタビューを受けることぐらいでした。そのインタビューも、Pマークの審査でも経験しているので、大きな問題はありませんでした。
――実際に2つの認証を取得されて、PマークとISMSの違いを感じますか。
取得に関してですが、Pマークは個人情報に特化しているせいか、社内で多くの社員が関わるということはありませんでした。例えば、審査のときなどは個人情報の管理責任者とのやり取りが大半でした。それ対し、すべての機密情報を包含するISMSは、全社の様々な部門の責任者も審査に参加しなければならず、セキュリティに関する知識の向上と意識の統一を図る必要がありました。
運用に関して、Pマークは杓子定規というか、一律の厳格なルールのもとに運用するため、白黒が非常にはっきりしている印象があります。一方、ISMSはルールに準じてセキュアな環境を構築・維持しつつ、より効率的な業務の遂行を推奨していると感じています。
――PマークおよびISMSの運用について、今後の展開をお聞かせください。
Pマークについては、これまでも運用していましたから、とくに変わることはありません。オプティマ・ソリューションズから情報をキャッチアップしつつ、それに合わせて運用していくだけです。
ISMSに関しては取得したばかりですので、これからというところです。社内的にはクラウドシフトを推進していく方向ですから、それに合わせてISMSの規程に則しながら、会社全体でセキュリティの強化と意識の向上を図っていきたいと考えています。もちろん、業務面でも大手企業との仕事がやりやすくなることを期待しています。
――最後、オプティマ・ソリューションズに対する評価をお願いします。
コロナ禍、そして当社の働き方に合わせて、リモートでのコンサルティングをお願いしました。オプティマ・ソリューションズも慣れていらっしゃるようで、滞りなく進めることができました。オプティマ・ソリューションズのコンサルティングで感じるのは、心地良い距離感です。グイグイ来られても戸惑いますし、逆に我々から言わないと何も入ってこないようだと困りますが、そのさじ加減は絶妙だと思いました。
現在も心地良い距離感のなか、コンサルティング契約のもとにPマークおよびISMSの運用や年間スケジュールなどをご指導いただいています。今後も引き続き、よろしくお願いいたします。
