不動産契約の効率化やコスト削減などを推進する不動産電子契約サービスPICKFORMを手掛ける株式会社PICK。同社は大手企業が求める情報セキュリティの要件をクリアするため、そして社内の情報セキュリティ体制を強化するため、2023年4月にISO27001(情報セキュリティマネジメントシステム/以下、ISMS)認証を取得しました。今回、ISMS認証取得の背景と効果などについて、CPO(最高製品責任者) 藤井 俊成氏にお話しを伺いました。
ISMSが必要になった背景をお聞かせください。
当社が開発・販売する不動産電子契約サービス PICKFORMを営業展開していくなかで、情報セキュリティの重要性を認識したのが背景になります。まず、PICKFORMのベータ版を不動会社数社にお渡し、使い勝手や感想を伺うテストマーケティングのなかで情報セキュリティの話が出たのがきっかけです。テストマーケティングの期間を終え、本格的なPICKFORMの営業展開を開始すると、情報システム部門を設けている大手不動産会社から情報セキュリティに関するヒアリングシートを渡されるケースが多々あり、情報セキュリティの重要性を再確認。公の認証を取得する必要があると考えるようになりました。
また同時期、社内にも情報セキュリティのルールづくりが必要だと感じ始めていました。社内のセンシティブな情報が漏えいしないように徹底した管理は行っているものの、当時は情報セキュリティのベースとなるフレームがありませんでした。これから社員を増やし会社規模を大きくしていこうとすると、やはり何らかのルールは必須です。そのフレームを自分たちで構築するのは大変ですから、認知度が高い公の認証を取得するのが得策と考えました。
PICKFORMとはどういったサービスになりますか。
2022年5月に宅地建物取引業法という法律が改正され、従来の紙媒体だけではなく、不動産の取引を電子でも行うことが出来るようになりました。PICKFORMは、不動産の電子取引をスムーズかつ適法に行うことが出来る、不動産取引に特化した電子契約サービスです。一般的な電子契約サービスは、1対1がベースの契約が多いかと思いますが、不動産契約の場合は複数の地権者と宅地建物取引業者、そして購入される方・借りる方など、異なる属性の方が複数関わってきます。そういった不動産業界特有のフローをカバーできる電子契約サービスがPICKFORMになります。
PICKFORMを利用すれば、不動産取引において3つの大きなメリットが得られます。1つ目は印紙代が不要になることです。大型の不動産売買取引を行うと多額の印紙代が必要になりますが、電子なら一切不要。不動産業者もお客様も金銭面の負担が減ります。2つ目はペーパーレス化を推進してSDGsに貢献できることです。ビジネスを行ううえで、昨今はSDGsや環境問題は避けて通れませんから、PICKFORMを通じてペーパーレス化に取り組めることは大きなメリットと言えます。
3つ目は場所や時間を選ばない不動産取引が可能になることです。例えば、首都圏と地方とで不動産取引を行う場合、これまでなら首都圏と地方を何度も行き来しながら不動産契約を交わす必要がありましたが、PICKFORMを利用すれば行き来にかかる時間や費用は不要。低コストかつ短期間で不動産契約を交わすことができます。
もちろん、PICKFORMと同じような不動産取引に特化した電子契約サービスはいくつかありますが、PICKFORMはその中でも不動産売買事業に特化した数少ないサービスという特徴があります。さらに、宅地建物取引業法という不動産業界独自の法律が絡む契約において、国土交通省の大臣認定をいただいた唯一無二の不動産電子契約サービスという安心感も大きな魅力となっております。
情報セキュリティの認証としてISMSを選択した理由を教えてください。
部門単位で取得できるところにメリットを感じ、ISMSを選択しました。当社は現在、PICKFORMの開発・販売に注力していますが、設立当時は不動産事業をメインに展開していたため、現在も不動産事業の部門が残っています。つまり、Pマークだと不動産事業を含めた資料整理が必要になるため、それにかかる工数を懸念しました。今後、当社はテクノロジーを中心とした不動産テック事業を展開していく予定です。ですから、不動産テック事業の部門でISMSを取得するのが最善策だと判断した次第です。
コンサルティング会社の導入は最初から検討されていたのでしょうか。
最初は自力でトライしようと考え、取得できるかどうか色々とリサーチをしました。しかし、ISMSの規格について情報を得ていくなかで、自力で資料を集めながらドキュメント化するのはほぼ不可能と判断。コンサルティング会社もしくはクラウドサービスを検討するようになりました。
検討されたクラウドサービスとはどういったものでしょうか。
構築から運用、審査まで効率化できるとうたうクラウドのサービスです。業界は違いますが、当社もクラウドでサービスを展開していますから興味がありました。しかし、作業分量が多くなりそうだったので早々に断念。営業的にも社内のセキュリティ体制構築のためにも、なるべく早く取得したいという想いがあったため、コンサルティング会社に依頼することにしました。
コンサルティング会社の比較・検討はされましたか。
ネットで色々とリサーチし、いくつものコンサルティング会社があることを知りました。そのなかから、料金と口コミと営業の説明内容の3点を要件に、最終的には3社に絞って比較・検討。そのなかからオプティマ・ソリューションズを選定させていただきました。
オプティマ・ソリューションズを選定した理由をお聞かせください。
以下の3つが選定理由となります。
(1)取得イメージが分かりやすい
営業の方にお話を伺ったとき、「具体的に何をする必要があるのか」といったことが一番イメージしやすかったのがオプティマ・ソリューションズでした。
(2)長期的なフォロー
ISMSに関して分からないことだらけですから、しっかりフォローしていただけるコンサルティング会社を求めました。オプティマ・ソリューションズはフォロー期間が長く、伴走していただけると感じました。
(3)自社で成果物を保管できる
もっとも大きな選定理由は、成果物をファイル形式でいただき、自社で保管できるところです。当社としては、最終的にISMSの取り組みを内製化し、社内の全員がルールを認識している状態が望ましいと考えており、そのためにはコンサルティング会社独自のシステムなどを介する必要がなく、Wordやテキストなどのファイルベースで成果物をいただけることが重要と捉えていました。それが可能だったのがオプティマ・ソリューションズでした。
ISMS取得までのプロセスを教えてください。
オプティマ・ソリューションズへの問い合わせは2022年10月。翌月から取り組みを始め、2023年3月には二次審査、4月には無事ISMSを取得することができました。当社の体制は、私がメインで対応したほかに、システム担当と総務部門から各1人が参加。計3人の体制でISMSの取得に取り組みました。
約半年で取得できたのはイメージ通りですか。
6~7月ぐらいまでかかると思っていたので、予定より早く取得できたと感じています。しかも、年末年始の休みや審査期間を入れると、ISMS取得に関する実労働は3カ月前後。あまり負担は感じませんでした。
ISMS取得の取り組みで大変だったことはありますか。
社内資料の洗い出しに苦労すると予想していました。しかし、社内に紙の資料が少なく、多くはクラウドで管理していたため、洗い出しや仕分けはスムーズに進めることができました。ですから、先ほども申し上げた通り、実労働時間は多くありません。しかも、オプティマ・ソリューションズのサポートもありましたから、あまり大変さは感じませんでした。
個人的なところになりますが、苦労したという点ではひとつあります。審査・準備資料の分量が多かったこともあって、資料の役割や必要性を体系的に理解するのに少々時間がかかりました。資料を作成する際、オプティマ・ソリューションズから「このフォーマットに沿ってこういうものをつくってください」という話をいただくのですが、もちろん、それは理解できます。ただ、「これは何を説明するための情報で、どうして必要なのか」という紐づけに苦労しました。私としては、これを理解しておかないと審査のときに正しい受け答えができないと思っていました。
ISMS取得の取り組みを通じて成長したと感じるところはありますか。
当社に入社する前に2つ会社を経験し、そのなかで情報セキュリティの研修を受けたことがあります。当時はあまり深く考えていませんでしたが、いざ自分が当事者になって初めて研修内容の意図を理解することができました。とても勉強になったと思います。
また、オプティマ・ソリューションズのコンサルタントや審査員の方からアドバイスを受けて「なるほど」と思ったのは、認知度の高いクラウドを使っていたとしても、サーバーが止まってしまった場合のことを想定しておく必要があるということです。もちろん、バックアップやサーバーを分散するBCP対策はしていました。ただ、実際にトラブルが起こった際のオペレーションが社内に構築できていませんでした。今回のISMSの取り組みで、より具体的なBCP対策まで議論できたのは、大きな成長だと感じています。
オプティマ・ソリューションズに対する評価をお聞かせください。
ISMSの右も左も分からないなか、丁寧に翻訳してもらえるコンサルタントに伴走していただき、本当に助かりました。審査機関から不備を指摘された際にも、ケアの仕方や改善点などを丁寧に指導してもらいました。コンサルタントの方とのコミュニケーションも円滑でしたから、「頼んでよかった」というのが正直な気持ちです。
社員教育もオプティマ・ソリューションズにお願いしました。ここの会議室に社員を集め、モニターを見ながら情報セキュリティやISMSの意義などについて学ばせていただきました。そのシーンは録画をさせていただき、クラウドからいつでも参照できるようにしています。
ISMSを取得し営業面の課題は解決に向かっていますか。
ISMSの認定書が届いてからプレスを出しました。営業先リストにもDMを送信させていただきましたが、おかげさまで多くのお客様からリアクションがありました。具体的にはこれからですが、幸先は上々と言えると思います。
最後に今後の展開をお聞かせください。
最終的には内製化やPマークの取得も視野にありますが、まだまだ醸成もリソースも足りていません。まずは、ISMSを運用しながら社内に情報セキュリティのフレームを構築し、しっかり社内に浸透させていかなければならないと考えています。そのためにしばらくは、オプティマ・ソリューションズの運用・更新サービスを利用していく予定です。お手数をおかけしますが、今後も手厚い支援を期待しています。引き続きよろしくお願いいたします。
株式会社PICKについて
2018年10月設立。設立当初は不動産賃貸・売買仲介、不動産買取、不動産コンサルティングといった不動産事業を展開。現在は不動産テック事業にシフトし、不動産電子契約サービスのPICKFORMを中心に、FAX主流文化、紙ベースでの契約書・重要事項説明書などの各種取り引き、属人的な作業や情報処理など、不動産業界の足枷となっている「ムダ」の解消に取り組んでいる。今後もテクノロジーの力で快適かつオープンな不動産取引が行われる世界の創造に尽力していく。