株式会社ペイミー様 – 顧客事例 –

情報セキュリティは思った以上に身近な存在。意識すれば守れるものだと気がつきました。

株式会社ペイミーは2018年2月のプライバシーマーク取得に続き、2019年7月、ISMS/ISO27001認証を取得しました。その際に、LRMのサポートを受け、プライバシーマークとISMSの統合も行っています。将来的に上場やグローバル展開を見据える同社がISMS/ISO27001認証を取得した理由と認証取得に至るまでの経緯を最高技術責任者・森梨千子氏に伺いました。

記事index

ISMS/ISO27001認証新規取得とプライバシーマーク統合のコンサルティングをLRMに依頼
信用と実績がある競合に勝つためにISMS/ISO27001認証を取得
スタートアップ＆ベンチャーのサポート実績からLRMを選択
出来ていないことを浮き彫りにして改善する機会に
プロジェクトはスムーズに進行。審査ではグッドポイントも
取り組みを通した実感「情報セキュリティは私達の身近にあるもの」
LRMの柔軟なサポートで社内の負担が軽減

（株式会社ペイミーについて）

給与即日払いサービス『Payme』を提供するスタートアップベンチャー。
『Payme』はユーザー企業の勤怠データと連係させ、実労働時間から給与を即時算出し、即日払いを実現するサービスである。直感的に使いやすいUI/UXを特徴としており、2017年11月の正式リリース以来、飲食チェーン、人材派遣、小売り、コールセンター、アミューズメント、物流など幅広い業種で導入されてきた。2019年8月現在、導入社数は250 社を超えており、サービス導入先の従業員数は12万人、累計の流通金額は15億円にのぼる。「資金の偏りによる機会損失のない世界を創造する」ことを事業目的とし、2006年にノーベル賞を受賞したグラミン銀行をベンチマークとして掲げる。若年層など、将来の可能性を持ちながら経済的な制限を受けて思うような活動ができていない層を対象とした新しい金融プラットフォームを目指す。
本社；東京都渋谷区。設立；2017年7月。従業員数；約20名(2019年8月現在）。

ISMS/ISO27001認証新規取得とプライバシーマーク統合のコンサルティングをLRMに依頼

— LRMへのご依頼内容をお話し下さい。

2019年1月、株式会社ペイミーは、LRMにISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。またオプションでPマークとの統合も追加依頼しました。

LRMの担当者は大谷さんと三崎さんです。約6ヶ月間、お2人のサポートを受け、2019年7月下旬にISMS認証を取得しました。

— Pマークとの統合オプションとはどういうことですか。

Pマークとの統合オプションとは、既に弊社が取得していたPマークと今回新規で取得したISMSを運用するために必要な文書類を可能な限り1つにまとめることです。それによって二重管理を防ぎ、ルールが乖離する可能性を絶つことが出来ます。

ISMSとPマークの統合は、LRMからの提案でした。ISMS、Pマークにはそれぞれ認証を維持するための要求事項がありますが、その中には共通する事項が多数あります。そういったものを1つにまとめ、内部文書を一本化することが出来るということを商談時に教えていただき、統合オプションについてもご提案いただきました。

弊社は2018年2月、Pマークを取得しておりましたが、ISMS認証を取得することで似たような文書が2つ出来てしまうと管理が煩雑化してしまう可能性がありました。情報を一元管理したいという思いもありましたので、LRMの提案を受け入れて統合することにしました。

信用と実績がある競合に勝つためにISMS/ISO27001認証を取得

使いやすいUI/UXを強みに導入数を増やす給与即日払いサービス『Payme』のWebサイト。

— ISMS認証を取得した理由をお話し下さい。

弊社がISMS認証を取得した理由は、事業拡大に向け対外的な信用を獲得するためです。Pマーク取得も同じ理由です。

営業活動をする中で、設立したばかりのスタートアップ企業に、従業員の給料に関わる重要な業務を任せて良いのか、と言われることが少なくありませんでした。

弊社にとって最大の競合は、銀行の前給と呼ばれるサービスです。中には、20年以上の事業実績を持ったものもあります。銀行の持つ信用力、そして20年というサービス実績をと比べられた時に、アドバンテージが得られる武器となるものがあるとすれば、中立的立場の第三者機関に認定されることだと考えました。その1つが情報セキュリティ体制の確立です。グレーゾーン解消制度を利用して、経済産業省、金融庁のお墨付きをいただいたり、代表が様々なメディアに積極的に露出したりしていることにも、同様の意図があります。

— Pマーク取得の次にISMS認証取得という流れは計画的なものだったのですか。

まずは、最低限の取り組みとして個人情報を守れる体制を作るところからスタートしました。そして次の展開をどうすべきかを考える中で着目したのがISMSでした。弊社は将来的に上場を見据えていますが、それを具現化する過程でIT統制が必要となります。またグローバル展開も見据えていますので、国内規格のPマークだけでは不十分であると考えました。

そこでPマーク取得の次の取り組みとして、まずはISMS認証取得、次にISO27017/ISMSクラウドセキュリティ（以下、ISMSクラウドセキュリティ）認証取得、と段階を踏んで整備していこうと考えました。

— Pマーク取得後、対外的な信用の高まりを感じることはありましたか。

それは実感しますね。名刺にPマークのロゴを印刷し、営業資料にもセキュリティ対策に関する記述を追加したところ、営業先での反応は格段に良くなりました。ゼロと1では全く違いますね。

スタートアップ＆ベンチャーのサポート実績からLRMを選択

— Pマークの時はコンサルティング会社のサポートは受けなかったのですか。

Pマーク取得の際はお客様にご紹介いただいたコンサルティング会社のサポートを受けて取得しました。
そのコンサルティング会社もISMS認証取得のサポートはしていましたが、他のコンサルティング会社のサポートも受けてみたいと考えました。

特に、弊社がスタートアップ企業なので、同じようなスタートアップやベンチャー企業へのサポート実績が豊富なコンサルティング会社に依頼したいという気持ちがありましたので、改めてコンサルティング会社の選定からスタートしました。

— LRM以外にも何社か比較されましたか。

Pマーク取得の際にサポートを依頼したコンサルティング会社とLRMを含めた合計4社を比較しました。
LRMは、私が常々指標にしている何社かのスタートアップ企業のプレスリリースで知りました。他の2社はインターネット検索で上位表示された会社からピックアップしました。ピックアップした際に最も意識していたポイントは、スタートアップ企業のサポート実績ですが、LRM以外のコンサルティング会社はあまり多くはなかった記憶があります。

— 各社の話を聞かれて、LRMが他社とは違うと感じた要素はどのようなところですか。

LRMと他社との違いで最も大きいと感じたのは、柔軟性という点です。

ISMS認証取得は半年以上に渡る長期間のプロジェクトです。コンサルティング会社とのやりとりも長期にわたると考えていました。そこで各社との商談では、私の方から様々な要望をお伝えして、それらに対応していただけるかどうかを伺いました。

例えば、対面での打ち合わせ以外のコミュニケーション方法は、メールではなくチャットツール『Slack』を使っていただくことを要望しました。メールは情報が散らばりますし、必要な情報にアクセスするのに時間がかかります。
ISMS認証取得はCTOの仕事と並行して取り組むため、煩雑さを避けるためにも、弊社のやり方に合わせていただきたいとお伝えしました。その要望に対し、他社からは難色を示されましたが、LRMは快諾してくれました。
他に文書類の受け渡しはクラウドストレージを使っていただくことなどを希望しました。

LRMはコンサルタントの年代が、他社と比べて若かったこともあり、気軽に相談しやすかったですし、こちらの要望に対する反応は全般的に良かったです。

出来ていないことを浮き彫りにして改善する機会に

スタートアップのサポート事例を持つLRMに期待しました
（最高技術責任者・森梨千子氏）

— 御社内の取り組み体制をお話し下さい。

ISMS委員会を組織しました。委員会メンバーは、私と社長と、各部署の部長ですが、主担当を私が担っています。部署は大きく分けると、開発部、管理部、事業推進部の3つです。情報資産の洗い出し、リスクアセスメントなど、現場のメンバーにしかわからない作業は各部署の部長が担いました。開発部の部長は私が兼任しています。

— ISMS認証取得までの作業は大変ではなかったですか。

思っていたより負担は軽かった印象があります。もちろん情報資産の洗い出しやリスクアセスメントなど、ゼロからやらなければいけない作業は大変でしたが、それは想定内でした。そこにかかった労力よりも、それらの作業を通して、社内にはどのような情報があって、それぞれにどのようなリスクがあるかを明らかにして管理できる状態に出来たことの価値の方が大きかったと考えています。

— それらの作業はLRMと一緒に行ったのですか。

情報資産のリストアップは弊社側でやりました。それらの情報資産に対するリスクアセスメントは、対面によるコンサルティングの時間を使って、LRMが各部署のマネージャーにヒアリングする形で実施しました。

— 情報資産の洗い出し、リスクアセスメントが主な取り組みですか。

細かいところでは社内で使用しているクラウドサービスや、営業の代理店などの委託先を台帳にリストアップする作業もありました。弊社はクラウドサービスも沢山使っていますし、委託先も沢山あります。その数が非常に多かった。
それは弊社特有かも知れません。どの範囲でリストアップすれば良いか判断に迷いましたが、とにかく全てリストアップして、LRMにチェックしてもらいました。

— クラウドツールのリストアップとおっしゃいましたが、チャットツール以外ではどのようなツールを使っているのですか。

まずストレージがあります。また、請求書や契約書も一部オンラインツールを使っています。

チャットとストレージは、会社で契約しているものと、社員が個人で契約しているものを併用している状況です。
例えばチャットツールは、会社では『Slack』を契約していますが、個々の社員は『LINE』や『Facebook』のメッセンジャー機能などを併用しています。

— そういったクラウドツール類は、台帳化するにあたって統一したり、使用を制限したりしたのですか。

今回は洗い出しをしただけです。統一せずにそのまま使い続けています。制限したり禁止したりするのではなく、使用しているという現状を認識するとともに、リスクの存在を明らかにするというところまでにとどめました。

— ISMS認証取得の準備を通して、従来の業務手順や管理手順が変わるようなルールはありませんでしたか。

今回、新しく追加したルールは、書類を重要度に分けて分類すること、重要書類を鍵付きのキャビネットに保管することぐらいです。いずれも言われてみれば確かに必要なルールです。

Pマークでは何のために必要なのか理解できないルールも追加されましたが、今回はそういうことはありませんでした。弊社が出来ていなかったことを浮き彫りにして、改善する機会になりました。

— パスワードポリシーの策定などは以前からされていたのですか。

パスワードの管理は以前から対策を取っていました。弊社は利用しているクラウドツールが多いので、早い時期からパスワード管理ツールを入れ、2段階認証も取り入れていました。

「出来ていないことが浮き彫りになった」というのは、どちらかというとアナログな紙文書の扱いに関することです。契約書も、デジタルに統一することを社内では検討していますが、デジタルに対応していないお客様もいらっしゃる現状では、現実的な対策ではありません。どうしても煩雑になりがちな紙の文書類の管理方法を整理することが出来て良かったです。

ISMS認証取得に向けた一連の作業は、自分達が普段やっていることを整理してマニュアルに落とし込み可視化する作業だったと考えています。それによって従業員の意識改革や啓蒙につながるだけではなく、人材の採用時に説明しやすい状況を作ることが出来ました。

Pマークとの統合もスムーズに進行。審査ではグッドポイントも

— Pマークとの統合という作業は、どの過程で行われたのですか。

情報資産のリストアップ、リスクアセスメント、ルールの構築と進める中で、Pマークの文書類を取り込んでいきました。その上で、Pマーク独自の要求事項だけをまとめた文書を作成しました。

— PマークとISMSの統合は完了したということになるのでしょうか。

今はとりあえず文書類が整備出来た段階です。次のPマーク更新審査を通過して、運用も出来たら完璧に「統合できた」ということになるという認識を持っています。

— 文書類をまとめるまでどれぐらいの期間がかかりましたか。

文書類が完成したのが5月末頃です。スムーズに進行できたという印象を持っています。

— 従業員教育はどうされましたか。

LRMの情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を利用して実施しました。私自身、eラーニングを受けたのが初めての経験でしたが、大変便利だなと思いました。各自の空いた時間で受講出来ますし、実施記録が残りますので、二次利用出来ます。アナログで管理するよりメリットはあると思いました。インターフェイスは、管理者としてもユーザーとしても、直感的で使いやすかったです。

— 内部監査はいかがでしたか。

内部監査は第1段階審査の前と、第2段階審査の前に、LRMに内部監査員を代行してもらって実施しました。
1回目はISMS事務局の内部監査で、作成した文書類のチェックを主体に実施してもらいました。2回目は現場における運用状況のチェックです。

文書類を重要度で仕分けすることや、重要書類を鍵付きのキャビネットで保管するなどのルールは、2回目の内部監査で執務室を見ていただいた際に指摘を受けて適用したものです。

— 審査はいかがでしたか。

審査では、グッドポイントもいただきました。第2段階審査で軽微な不適合は受けましたが、期限を決めて改善するという書類を提出して事なきを得ました。

審査員の方が親切な方だったこともあり、思ったより楽しい雰囲気で受審することが出来ました。
私だけではなく、現場のヒアリングを受けたメンバーも楽しそうに会話をしていました。実際に受審する前は、ISOの審査はもっと厳しいものかと思っていましたが、認識を改めました。

弊社の業務の進め方に合わせていただけたことで負担が軽減されました

弊社の業務の進め方に合わせていただけたことで負担が軽減されました
（右；森氏　※左は弊社三崎）

取り組みを通した実感「情報セキュリティは私達の身近にあるもの」

— 今回の取り組み成果をお話し下さい。

今後、サービスが拡大したり増えたりして情報も増えれば、それに見合った人員も必要になってきます。
組織が拡大する前に、体制整備が出来て良かったと考えています。

— ISMS認証新規取得の取り組みを振り返られたご感想をお話し下さい。

情報セキュリティは、普段は意識していませんが、思った以上に自分たちの身近にあるものだなという実感を得ました。これまでは「セキュリティ」という言葉尻だけを捉えて、非常にハードルが高いものだと思っていました。
しかし今回の取り組みを通して、情報資産は身の回りに沢山存在しており、それらは日常生活の中でちょっと気をつけるだけで守ることが出来る、意識することが重要であるという認識を持つようになりました。

— 今後の課題がございましたらお話し下さい。

いずれISMSクラウドセキュリティ認証の取得にも取り組みたいですが、その前にISMSとPマークの実際の運用をしっかりやらなければいけないと考えています。

先日、某コンビニチェーンを有するグループ会社がスマホ決済サービスの提供を開始するも、わずか3ヶ月でサービス廃止となった問題がありました。あの問題も、もとをたどればソースコードがクラウドツールで公開されていたことから生じたものでした。それは結局ヒューマンエラーです。弊社としても、ヒューマンエラーに繋がりにくいルールを作って、適切に運用していくことが重要です。

ヒューマンエラーのリスクは開発だけのものではありません。営業部門でも、お客様の個人情報を電車でばらまいてしまうなど、何が起きるかわかりません。意識を高め、常に見直しをしながら改善していくことが重要であると考えています。

LRMの柔軟なサポートで社内の負担が軽減

— LRMのサポートはいかがでしたか。

LRMのサポートは、依頼時に期待した通りでした。

業務の進め方を弊社に合わせていただけたことで、社内の負担を軽減することが出来たと考えています。
ドキュメントデータの共有では、クラウドストレージ『box』を使用しましたが、これもやりやすかったです。

また、私自身、ISMSに取り組むのが初めてだったので、ルールを作る上で躓くこともありましたが、チャットで問い合わせをすればすぐに回答をいただけたので、スムーズに問題を解決することが出来ました。

— 今後、ISMSやPマークを運用する中で、LRMへのご期待がございましたらお話し下さい。

弊社はISMS認証取得後、今後の運用に備えて、情報セキュリティ教育クラウド『セキュリオ』と、ISMS、Pマークの運用改善サポート『情報セキュリティ倶楽部』を契約しました。

『セキュリオ』は、新入社員に向けた教育だけではなく、既存メンバーへの継続的な教育においても必要だと考えました。

また、『情報セキュリティ倶楽部』は、新しいツールを導入したり、新しいサービスを増やしたりする際の相談に乗っていただきたいと考えて契約しました。「自分達にとってはこういうやり方がやりやすいけど、情報セキュリティ的にはどうだろう」といった判断に迷うことは沢山あると思います。また他社の事例なども教えていただきたいと考えています。自分達だけでは知り得ないアプローチを教えていただきたいです。

LRMはスタートアップ、ベンチャー企業へのサポート実績が多いので、そういった我々と共通する属性を持った企業の事例を伺えるととても参考になると思います。そこが弊社がLRMに対して最も期待しているところです。

株式会社ペイミー様、お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。