BizteX株式会社様 – 顧客事例 –

LRMにはエンジニアと円滑に会話できるセキュリティコンサルタントがいます。自社サービスで成長を目指すテクノロジースタートアップにとってとても貴重な存在です。

BizteX株式会社は自社サービスであるクラウドRPAソリューション『BizteX cobit』への反響が高まる中、LRMのサポートを受けてISMS/ISO27001認証を取得しました。ISMS/ISO27001認証を取得した目的や認証取得に向けた取り組みの経緯、LRMへのご評価などについて、代表取締役CEO・嶋田光敏氏、バックオフィス・堀上祐里氏のお2人にお話を伺いました。

(BizteX株式会社について)

“テクノロジーで新しいワークスタイルを創る”をミッションとするスタートアップ。
企業におけるルーティンワークを自動化するソリューションを開発・提供することで従業員の生産性・創造性向上を支援する。同社が開発・提供するのはクラウドRPAソリューション『BizteX cobit』。
WebサイトやWebシステム、Excel / CSVなどを使った定型業務をデジタルロボットに予め指示しておけば、ワンクリックで代行してくれるソリューションである。従来のRPAはオンプレミス型が主流で導入コストが高くUIが複雑だったため、情報システム部門を抱える大企業向けの市場であったことに対し、『BizteX cobit』はクラウド化して導入コストを押し下げ、UIを簡素化したことで中堅・中小企業への普及促進を狙った。2017年7月のクローズドβ版リリース以来、金融、製造、流通小売、人材紹介、広告代理店、インターネットサービス等、幅広い業種から多くの反響を受け、同年11月には正式版をリリース。以降、大手企業と中堅・中小IT企業を中心に導入件数を伸ばしている。
設立;2015年7月。本社;東京都港区。従業員数;13名(2018年3月現在)

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話しください。

弊社は2017年9月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。

コンサルティング担当・井崎さんをはじめLRMの組織的なサポートによって、準備はスムーズに進行し、2018年4月ISMS認証を取得しました。

対外的な信頼獲得に向けISMS/ISO27001認証を取得

— ISMS認証を取得した理由をお話しください。

弊社がISMS認証を取得した理由は、社内の情報セキュリティ体制を構築し、対外的な信頼を得るためです。

弊社が開発・提供する『BizteX cobit』は企業の情報やシステムと連携して使っていただくソリューションです。そのため導入を検討されるお客様からは、弊社のセキュリティレベルを問われます。

2017年7月にクローズドβ版をリリースした際にプレスリリースを打ったところ、大手企業や金融機関を含め、非常に沢山のお客様からお問い合わせをいただきましたが、営業に伺った際によく聞いたのがセキュリティという言葉でした。

お客様によってはセキュリティチェックシートをいただいて回答することもあります。その中には「プライバシーマーク(以下、Pマーク)を取得している」「ISMS認証を取得している」というチェック項目が必ず入っています。

弊社がサービスを成長させていく上でこのような情報セキュリティに関する問いは今後もなくなることはないと思い、
PマークかISMS認証のいずれかを取得した方が良いという判断に至りました。

— PマークではなくISMS認証を取得した理由をお話しください。

ISMS認証を選択した理由は以下の2点です。

(1) 国際規格に基づいた認証である
RPAはもともと欧米で生まれ普及したソリューションです。最近では先進国企業のバックオフィス業務のアウトソーシング先である東南アジアでも人件費の高騰を背景にニーズが高まっています。そのため弊社は『BizteX cobit』のグローバル展開も見据えています。

(2) 情報資産全般を対象としたマネジメントシステムが構築できる
個人情報に特化したPマークに対し、ISMSは情報資産全般を対象としたセキュリティマネジメントシステムです。
そのため企業向けのクラウドサービスを提供する弊社に適していると判断しました。

以上のことから、ISMS認証取得に取り組むこととしました。

LRMに依頼した決め手は「顧客に向き合う姿勢」

「LRMは会社全体がしっかりしている印象がありました」(バックオフィス・堀上祐里氏)

「LRMは会社全体がしっかりしている印象がありました」
(バックオフィス・堀上祐里氏)

— ISMS認証を取得するために、まず取り組まれたことは何でしょうか。

ISMS認証取得までの道筋が把握できていなかったため、サポートしていただけるコンサルティング会社を探し始めました。SNSで呼びかけたところ多くの情報が集まってきたので、その中から3社とコンタクトを取って比較し、LRMに依頼しました。
LRMはあるお客様にご紹介いただいた審査会社からご紹介いただきました。

— 最終的にLRMにご依頼された決め手を教えて下さい。

最も弊社に向き合ってくれていると感じられたことが、LRMに依頼した決め手です。

コンサルティング会社の選定では、営業の対応の仕方、対応スピード、コンサルタントの知識、実績、コミュニケーション力、納期、コンサルティング料金、ISMS認証取得後の保守サービスなど13項目を各5点満点で採点しました。その中で合計点数が最も高かったのがLRMです。

コンサルティング会社選定の際は各社に対し、厳しい要求もさせていただきました。その中には料金面も含まれています。そのような際にLRMは弊社の希望に対して即座にノーとはいわず、一度持ち帰って検討し何らかの答えを返してくれました。

— 検討段階でコンサルタントともお会いされたのですか。

各社、コンサルタントとも面談しました。LRMの井崎さんは、まだ20代半ばとは思えないほどしっかりしているというのが第一印象でした。また、情報セキュリティに関する知識も豊富で、コミュニケーションもしやすいと感じました。

ISMS/ISO27001認証取得に必要な作業はほとんどLRMが担ってくれた

— 第三者機関が定めた規格に基づくマネジメントシステムを構築し運用することに関して、それが業務に与える影響などご不安はありませんでしたか。

確かにISMS認証取得に対しては、それによって業務のスピードや効率が落ちるイメージは持っていました。

弊社のメンバーのほとんどがISMS認証を取得している大手IT企業出身者です。そのような企業において情報セキュリティの教育を受けていたため、各自情報セキュリティの重要性や仕組みは理解していました。ただ、そこで運用されていたマネジメントシステムは非常に厳格なイメージがありました。弊社もISMS認証を取得するためには同じように融通の利かないマネジメントシステムを構築する必要があると思い、それが弊社の業務にとって重荷になることは覚悟していました。

— 実際に取り組んでみていかがでしたか。

実際にやってみると「これで良いのか」と思うことは非常に多かったです。井崎さんと一緒にルール作りをする中で、無理なルールを適用する必要はなく、それぞれの企業のステージに合わせた体制を構築すれば良いということを理解していきました。実際、ISMS認証取得に取り組む前後で、業務手順や社内環境など目立った変化はありません。
変わったことといえば、パスワードルールの統一、フリーWi-Fiを使ったメール送信の制限、そしてオフィス内の環境整備として鍵付きキャビネットを購入して設置したことぐらいです。

— ルール作りはどのように行ったのですか。

LRMが用意したISMSマニュアルのひな形を、弊社の業務体制に合わせてカスタマイズする形で作っていきました。
井崎さんと一緒にひな形の読み合わせをして、項目ごとにマニュアルに残すか残さないか、残すとすればどのようなルールにするかを検討していきました。

— ISMS認証を取得するまでの経緯でご苦労はありませんでしたか。

特別な苦労はありませんでした。取り組む前はISMS認証の取得はすごく大変だと思っていましたが、負担のかかる作業はほとんどLRMが担って下さったので、弊社内の負荷は思ったよりもかかりませんでした。数週間に1回ぐらいのペースで打ち合わせをし、その中で質問に答えている間に必要な文書類はほぼ出来上がっていきました。

— 御社内で作業されたことはありませんでしたか。

社内で行った作業は主に情報資産台帳の作成です。営業、管理、開発、各部門とも経験と知識が豊富なメンバーが揃っているため情報資産の特定などで苦労することもありませんでした。

— 従業員教育はどうされましたか。

従業員教育は、eラーニングとISMSマニュアルを使ったルールの周知の2段階で実施しました。

eラーニングは2017年12月に、LRMが提供する情報セキュリティ特化型クラウドeラーニングサービス『Seculio』を活用し、情報セキュリティ事故の事例やそれによる事業への影響といったISMSの基礎を学びました。テキストの受講からテスト、実施状況や結果の管理までウェブ上で完結できる点や従業員の入社時に随時実施できる点が便利だと思いました。

その後、2018年1月上旬に第1段階審査を受審して文書類が定まった時点で、全従業員に対し、作成したISMSマニュアルを回覧して目を通してもらい、同時に定めたルールに対する意見も募りました。フリーWi-Fiを使ったメール送信の制限は、この際に従業員から出た意見に基づいて改善したルールです。

— 内部監査はどのように実施しましたか。

内部監査は2月末、LRMに内部監査員を代行していただいて実施しました。

弊社では、ISMS認証取得への準備を進めている間に社員が増え、2月上旬にオフィスを引っ越すというイベントがありました。LRMから現地審査となる第2段階審査は移転先で受審した方が良いと伺ったため、第2段階審査はオフィス移転後のオフィスで受審することにしました。第2段階審査の模擬審査も兼ねた内部監査も、移転が終わって落ち着いた2月末の実施となりました。

— 第2段階審査はいかがでしたか。

第2段階審査は3月の上旬に受審しました。不適合もなく非常にスムーズに終えることが出来ました。その際、審査員からは「スキルの高い従業員が多く、しっかりした体制が構築されている」と嬉しいお言葉をいただきました。

ISMS/ISO27001認証取得に取り組んだ3つの成果

「井崎さんはエンジニアとのコミュニケーションも円滑にできるコンサルタントでした」(代表取締役CEO・嶋田光敏氏)

「井崎さんはエンジニアとのコミュニケーションも円滑にできるコンサルタントでした」
(代表取締役CEO・嶋田光敏氏)

— ISMS認証取得に取り組んだ成果をお話し下さい。

大きく分けて3つの成果がありました。

(1) 対外的な信頼性向上
まずISMS認証取得によりお客様からの信頼性向上につながります。3月後半にISMS認証書が届き対外的なアピールが出来るようになったので、早速プレスリリースを配信し、名刺に認証マークを印刷しました。

(2) 社内体制の構築
弊社はBtoBのクラウドサービスを開発し提供していますので情報セキュリティの体制作りは避けて通ることは出来ません。今回のISMS認証取得では、情報セキュリティリスクを明確にし、全社ルールを明文化することが出来ました。また、情報資産の洗い出しを行った際には、契約書や従業員の履歴書、マイナンバーなどの機密文書類を整理しました。もともとやらなければいけないと思っていたことですが、今回の取り組みを通して棚卸しが出来て良かったと思っています。

弊社では現在も従業員が毎月数名ずつ増えており、1年後には30名前後に増やす計画ですが、少人数のうちに取り組んだ方が負担は軽かっただろうと思います。

(3) 従業員の意識向上
以上のような体制構築を進めることによって社員の意識も向上し、今後事業を成長させるための基礎作りが出来ました。

エンジニアと円滑に会話をしながらISMSを構築できる貴重な存在

— LRMのコンサルティングはいかがでしたか。

担当者の井崎さんは、情報セキュリティに対する知識が非常に豊富な方です。しっかりとしたヒアリングで弊社の体制や事業内容をしっかり把握し、ルール作りに反映していただけたことに対しても能力の高さを感じました。

また、井崎さんはもともとエンジニアの素養があり、弊社のCTOやエンジニアとの話でも理解が早く、コミュニケーションが非常にスムーズでした。エンジニアと円滑に会話をしながら情報セキュリティマネジメントシステムを構築できる人材はなかなか存在しません。弊社がBtoBのクラウドサービスを開発・提供する会社として成長し続けるためには、井崎さんのような人材が社内にいても良いと思っているほどです。そういう意味でも非常に貴重なスキルを持たれた方だと考えています。

さらに、 コンサルタントというと威圧的な態度の方も一部にはいらっしゃいますが、井崎さんにはそのような要素は全くなく、一緒に作業をしながらストレスを感じることは一切ありませんでした。

— 打ち合わせの席以外で、例えばメールやお電話などでご相談されたことなどはありましたか。

情報資産台帳の作成や審査準備などをしている際にわからないことがあった時はメールで質問をしました。
その時の井崎さんからの回答は非常に迅速でした。井崎さん本人がコンサルティングなどで長時間対応できない場合は、営業担当の間野さんから状況を知らせる連絡をいただきました。その際の対応も滞ることはなく、LRMは会社としての体制がしっかりしていると感じました。

弊社のISMS認証取得後、何人かの知人からISMS認証取得に関する相談を受けましたが、その際にはLRMを推薦・紹介させていただきました。

「業務効率が落ちることはある程度覚悟していましたが、企業のステージに合わせた体制を構築すれば良いということがわかりました」(右から;堀上祐里氏、嶋田光敏氏)※左は弊社井崎

「業務効率が落ちることはある程度覚悟していましたが、
企業のステージに合わせた体制を構築すれば良いということがわかりました」
(右から;堀上祐里氏、嶋田光敏氏)※左は弊社井崎

事業の成長に合わせた継続的な運用が課題

— ISMSの取り組みに関して今後の課題がおありでしたらお話し下さい。

今後の課題は組織の成長に合わせたISMSの継続的な運用です。

弊社は現在従業員を積極的に採用していますが、既存のメンバーと新しいメンバーの間ではどうしても意識の差が生まれます。そのような状況を放置しておけば、インシデントが発生しやすくなってしまいます。そうならないよう、従業員が増えても意識を常に均等に保てるよう社内への周知は徹底していく考えです。

また、従業員が増えればオフィスの移転や組織体制の再構築が必要となり、その都度、情報セキュリティマネジメントシステムも改善し続けなければいけません。組織が拡大しても機動性やスピードが失われないよう、最適なマネジメントシステムを構築していきたいと考えています。

このような課題に向き合うためには、どのような形であれLRMのサポートは不可欠です。現在、ISMSの運用改善サービス『情報セキュリティ倶楽部』の見積もりをいただき、どのコースを契約するかを検討しているところです。

BizteX株式会社様、お忙しい中、有り難うございました。今後ともよろしくお願いいたします。

BizteX株式会社様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。

※ BizteX株式会社様のWEBサイト
※ 取材日時 2018年5月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る