「AIりんな」の開発を皮切りに、AIキャラクタービジネスをBtoCにもBtoBにも展開しているrinna株式会社。同社は社内におけるセキュリティ意識の向上と企業の信用度を高めるため、2022年6月にISO27001(情報セキュリティマネジメントシステム/以下、ISMS)認証を取得しました。そのISMSの取得にあたり、オプティマ・ソリューションズのコンサルティングを利用した背景と効果について、rinna株式会社 チーフオペレーティングオフィサー クライアン 桃氏、プライバシー&セキュリティエンジニアリード ストダード・アレックス氏にお話しを伺いました。
――ISMS取得の背景をお聞かせください。
大きくは2つの背景があります。
ひとつは社内におけるセキュリティ意識の向上です。当社はマイクロソフトの一部門から独立して誕生した会社です。独立前は、ISMSはもちろん、さまざまな国際規格の厳しいルールに基づいて業務を行っていましたが、独立後はそういったルールがなくなってしまいました。
それぞれの社員は、厳しいルールに慣れ親しんでいたことから、独立後も各自が高いリテラシーを持って、それぞれの判断でしっかりやっていたつもりでしたが、結局は個々の良心に頼る状況でした。このような状況を打破し、しっかりとした社内ルールを作ろうというのが一つ目になります。
もうひとつは、法人向けビジネスの展開です。BtoCビジネスの割合が高い当社ですが、今後はAIキャラクターを開発できる法人向け製品「Tamashiru」や「Coordiru」を通じてBtoBのビジネスにも積極的に展開していくつもりです。そのなかで問われるのがセキュリティ対策の状況。企業、自治体、公共団体問わず、ISMSあるいはPマークの取得有無の質問があります。必須ではない場合もあるのですが、やはり「ある」と「ない」とでは企業の信用度は大きく変わってきます。
もともと創業時から情報セキュリティに関する何らかの認証は取得したいと考えていたこともあり、今回のISMS取得に至りました。
――ISMSの一択で進めていったのでしょうか。
厳しいルールの環境で働いていたとはいえ、いざ自分たちが取得する立場となると、ISMSとPマークの違いも理解していないことが分かりました。そこでまずは、ネットで勉強することら始めました。また、知り合いの企業の方々に、当社が抱える案件や目標を基準にISMSとPマークどっちがベストかお伺いすることもありました。そうしたなかで、当社にはISMSが合っていると認識することができました。
――当初からコンサルタントを入れる予定だったのでしょうか。
最初は自分たちできるか検討しました。しかし、コストや期間を考えると難しいという結論に達しました。認証を取得している取引先に聞いても「無理」という答えでしたから、すぐにコンサルティング会社を探し始めました。
――コンサルティング会社を選定するうえでの要件などはありましたか。
当社のセキュリティ担当は日本語が苦手なアレックスという外国人ですから、英語ができるコンサルタントが必須でした。当社は外資系企業から出発していますから外国人の社員も多く、バイリンガルな会社と言えます。日本人や外国人というこだわりがなかったため、セキュリティ担当者も外国人を採用しました。
アレックス自身は「日本語でも構わない」という姿勢でしたが、そうなると翻訳できる誰かが常に付き添っていなければなりません。そういったところに割くリソースはなかったため、まずは英語ができるコンサルタントを求めました。
――コンサルティング会社の比較・検討はされましたか。
ネット検索で調べて、数多くのコンサルティング会社に問い合わせました。しかし、「英語ができるコンサルタントはいますか?」と伺うと大半がNG。最終的には、英語ができるコンサルタントをアサインできる3社を何とか見つけ出し、比較・検討しました。
――オプティマ・ソリューションズを選定した理由をお聞かせください。
3社のうち1社は、独立前にお付き合いがあった外資系大手のコンサルティング会社。設立したばかりで予算の確保が難しい当社とっては高いハードルがありました。結果的に比較・検討したのは、オプティマ・ソリューションズを含む2社でした。
そのなかでオプティマ・ソリューションズを選定した理由は2つ。まず、レスポンスが早かったことです。問い合わせから打ち合わせまで滞りなく、スムーズに行うことができました。もうひとつは、認証機関と信頼関係があることです。しかも、英語対応が可能な審査機関を紹介していただけるとのことで、当社としても安心してお任せできると思い、オプティマ・ソリューションズにコンサルティングをお願いすることにしました。
――取り組みのスタートから取得までのプロセスをお聞かせください。
具体的にISMSの取得に向けて動き出したのが2021年6月。7月にはオプティマ・ソリューションズのセミナーに参加するなど、コンサルティング会社の比較・検討を行いました。8月にはオプティマ・ソリューションズにコンサルティングを依頼し、2022年6月に無事、ISMSを取得することができました。なお、ISMSの取得範囲は東京オフィスのみとしました。今回はインドネシアにある営業所は除外しています。
――取得までのスケジュールは予定通りでしたか。
取り組み始めて審査までは半年でたどり着きました。もともと審査は待たされると聞いていたので、2022年4月中に取得できればと思っていたのですが、実際に審査が終わったのは4月。その後、ゴールデンウイークなどもあったため、取得は6月まで待ちました。多少遅れた感はありましたが、ほとんどは待機時間。作業的な遅れはありませんでした。
――国際色豊かな御社では、ドキュメントの言語はどうされたのでしょうか。
メインは英語です。サブとして日本語版も用意しています。オプティマ・ソリューションズから日本語のドキュメントフォーマットをいただき、機械翻訳を使って英語化。それをもとに、アレックスと英語が堪能なオプティマ・ソリューションズのコンサルタント生方さんとで、英語と日本語の両方が入ったベースのドキュメントをつくっていきました。
最終的に審査に使用したのは、英語のドキュメントです。そもそもISMSは国際規格ですから、審査時は英語で問題ありませんでした。認証された後は英語のドキュメントを機械翻訳で日本語化。これにより、先ほど申し上げたようにメイン英語、サブ日本語のスタイルで運用しています。
――アレックスさんに伺います。生方さんの対応はいかがでしたか。
アレックスさん:生方さんは非常に朗らかで優しい方でした。英語でのコミュニケーションも問題なく、緊張をほぐすような話し方も印象的でしたね。プロフェッショナルでありながら、ちょっと面白いところがあって、お会いした当初から楽しみつつ進めることができました。
――アレックスさんに伺います。ISMSの取り組みで大変だったことはありましたか。
アレックスさん:ISMSの要件は短くて簡潔、何よりもさまざまな業界に当てはまるように汎用的に作成されているせいか、どのようにも解釈できる内容でした。正直、読んだだけでは何も分かりませんでした。どのように当てはめていくか常に自分たちで考える必要があったため、生方さんのようなコンサルタントがいなければ、すぐに頓挫していたと思います。
生方さんには、当社の参考になりそうな他社の事例を挙げていただき、作成すべきポリシーのさじ加減を教えてもらいました。特に「多くつくる必要はありません」とご教示いただいたのは助かりました。
――ISMSを取得して気づかされたところはありましたか。
オフィスの図面を描かされたのには驚きました。当社の重要なデータは全部クラウドにあると思っていましたから、監視カメラの位置や鍵がかかる引き出しなどを細かく記入した図面を描いてみて、オフィスのセキュリティ体制の重要性についてあらためて気づかされました。
ほかは特にはなかったと思います。各部門のマネージャーに情報の洗い出しをお願いした際も、時間はかかりましたが、皆さん協力的でしたから大変だとは感じませんでした。
――ISMSを取得したことで、信用度は上がりましたか。
当社はマイクロソフトから独立した会社という立場もあって、マイクロソフトのベンダー登録もしています。その登録を行う際、非常に厳しいチェックがあるのですが、ISMS取得の有無を問うセキュリティの質問でISMSにチェックを付けると、その後の数十の質問に答える必要がなくなります。ISMSの威光はすごいと感じた瞬間でしたね。ほか、名刺にもISMS認証のロゴを印刷することができました。今後、当社の信用度は間違いなく高まっていくと思います。
――今後の展開をお聞かせください。
ISMSに加え、さらなる認証を取得するとなるとかなりの負担がかかります。まだまだ会社も小さく、利益を出していくことに注力しなければならない段階ですから、そこまで守りを固めるよりも企業活動の方が先決といった状況です。ですから、この後の認証取得については企業活動とのバランスを考えながら考慮していくつもりです。
――最後、オプティマ・ソリューションズへの期待をお願いします。
監査時に漏れを指摘されたとき、すぐに対策をトレーニングしていただくなど、オプティマ・ソリューションズの柔軟な対応は非常にありがたいと感じています。もちろん、運用は自分たちで回さなければなりませんが、困ったときにはオプティマ・ソリューションズのサポートがあるのは心強いですね。今後も引き続き、よろしくお願いいたします。
――担当コンサルタントより
<コンサルタント 生方淳一(うぶかた じゅんいち)>
I was thrilled to see the company name ”rinna Co., Ltd.”.
The place where the first letter of the company name is lowercase is really modern.
I imagined a scene where a technology nerd is having an incomprehensible conversation with a 2D character.
Alex-san, is overconfident in my English ability. Alex-san looked like a foreigner who actually understands Japanese but speaks English because he is a little too lazy to speak Japanese.
At the kick-off meeting, 80% of my conversations were in English, but as the meetings went on, I reduced my English to about 10% so that no one would notice, and ended up assigning momo-san as a simultaneous interpreter without permission.
As I wrote somewhere before, there are two types of customers. One customer understands what needs to be done and asks to “review the results,” while the other says, “Give me the results.”
Of course, Alex-san & Momo-san were the former type. So my job was very easy.
Many thanks to Alex-san and Momo-san.
I have high expectations for rinna’s success in the future.
And my secret plan is to equip “rinna” with an information security consulting function.
私は rinna株式会社という社名を見てドキドキしました。会社名の頭文字が小文字のところが今風で、テクノロジー好きの方が二次元キャラクターとなかなか理解できない会話をしているイメージでした。
Alex様は、私の英語力を過大評価し過ぎています。実のところ、Alex様は日本語をご存じなのに日本語を話すのが少々億劫で、英語を話しているような外国人のように見えました。ですので、私はキックオフミーティングでは8割ほど英語で話していましたが、そっと英語の量を減らし、最後には英語を1割くらいにまで減らしていたのです。また、クライアン様に同時通訳をお願いしてしまいました。
以前もどこかで書きましたが、2種類のお客様がいます。何をすべきか理解して「結果をレビューしてくれ」というお客様と、コンサルタントに任せるから「結果をくれ」というお客様です。もちろん Alex様とクライアン様は、前者のタイプでした。お陰様で私はとても楽にお仕事をすることができました。
これからのrinna様の活躍にとても期待しております。そしていずれ、「りんな」に情報セキュリティコンサルティング機能を搭載させられたらいいな、と密かに思っているところです。