「働くひとの健康を世界中に創る」というパーパスを掲げ、企業の健康づくりを専門家とITの力で支援する株式会社iCARE。2023年8月に、CISO(Chief Information Security Officer:最高情報セキュリティ責任者) および情報管理部を新たに設置しました。本記事では新CISOの岩崎とともにこれまでのiCAREのセキュリティの取り組みを振り返り、今後の方針についてお伝えします。
iCARE、CISO(最高情報セキュリティ責任者)とCTO(最高技術責任者)の就任を発表PR TIMES
CISO 岩崎登 プロフィール
大手通信事業者が運営するショッピングサイトのインフラ構築から企画、コンテンツ作成まで携わり、その後Linux-HAによる高可用性システムをベースにメールサーバー、ストレージサーバーの構築に従事する。近年は組織づくりやチームビルディングを中心にマネジメント業務に携わり、2021年10月より株式会社iCAREにSREチームマネージャーとして参画。2022年6月開発部部長、2023年8月より現職。
企業の本気に向き合うために、嫌われ者になる覚悟で臨んだ改革
広報:早速ですが、iCARE社のこれまでのセキュリティの取り組みを教えてください。
岩崎:2015年に「ISO 270001(ISMS)」、2022年に「ISO/IEC 27018」を取得しました。社内の運営としては、経営企画部主導で危機対策チームを編成し、ヒヤリハットの報告をSlack上で運用しているほか、社員向けに個人情報の取り扱いに関する研修を実施しています。
本当は公にはお話したくない歴史ですが、何年か前まではシステムとしての脆弱性が今より高く、企業としてのセキュリティ体制も整備されていない状況がありました。社内体制の強化をしていく方向で動き始めた頃、新規導入を検討されている企業の方からシステムのセキュリティと、開発体制についてご指摘を受けました。
広報:それは元々認識していたポイントだったのでしょうか。
岩崎:はい。実のところ危機意識をもっていたポイントで、ご指摘は至極真っ当なものでした。さらに、社員がお客様に対して自社の状況を正しく説明することができなかった、そこが何より問題で、今思えばセキュリティに対する意識不足が招いたことだと認識しています。
この出来事を重く受け止め、情報セキュリティに対する体制面とシステム開発の両方に手を加えていきました。
広報:岩崎さんが入社されてから、その企業の導入担当の方や情報システム部門の方々とのコミュニケーションの先頭に立って自ら対応されていましたよね。
岩崎:企業が解決したい課題があって、Carelyに期待もしてくれていた。それにもかかわらず、セキュリティの面から安全性の担保ができない可能性が見つかったことで導入が遅れてしまった。その責任は重大です。
広報:具体的にどんな改善に取り組んだのでしょうか。
岩崎:まずシステムの脆弱性を生んだ開発プロセスの刷新を図りました。プロジェクト管理を徹底し、その中でセキュリティ対応を厳密に行っていく。基本的なことなのですが、拡大期の開発チームで顧客の改善要望もバンバン拾い上げ、毎月100件以上の開発を行うそのスピード感と、厳密な管理体制を両立させていくのは容易ではなかったです。
広報:あらゆる業種・規模の新規発注が相次いだ当時、様々な要望も上がってきていましたよね。顧客からのヒアリング内容をすぐさま開発計画に反映する、当社のアピールポイントではありますが、とんでもないプロジェクト数が走っていたと記憶しています。
岩崎:それでも、自分たちが開発したプログラムの安全と、セキュリティに対する強い意識をもって開発に向き合うことは別の問題です。企業様からの指摘はすなわち会社の課題だということです。スタートアップならではの柔軟性やスピード感は強みかもしれませんが、顧客のデータを預かることへの危機意識はスタートアップだろうが、関係ないことです。
部内の改革については、早急に対応する必要があることから、ある程度現場への負担は避けられないものでした。改革を始める前にCxOにも伝えましたが、自分は嫌われ者になっても開発部をあるべき体制にもっていく覚悟を決めて臨みました。当時VPoEだった工藤さんには、管理が厳しくなる中、開発のリーダーシップをとりながら組織の雰囲気を良くしてもらって、かなり面倒見てくれてましたね。すごく頼りにしていました。
広報:そういった覚悟で臨まれていたのですね。開発部じゃない立場からみて、かなり厳格な雰囲気が一時は漂っていたように思います。体制面の改善と合わせてシステム自体のセキュリティを向上させていく道のりは開発部にとっても苦悩の歴史ですね。
全社会議でスピーチする岩崎
岩崎:長い道のりでした。一時期は部の雰囲気が悪くなったこともありました。一方、お客様とは継続してコミュニケーションをとり、外部の調査結果を共有しながら関係性の改善を図っていましたが、信頼の回復はそう簡単にはいかないです。社内でもアカウントマネジメントの担当と急かし指摘し合い、議論が何度も白熱しました。
広報:結果として、その企業の方から導入のGOサインをいただけたとのことですが、その長い道のりが信頼の回復に繋がったということですよね。
岩崎:継続的な対応報告も含め、企業とのコミュニケーションをとり続けたことは大きかったと思います。その裏で案件に関係するメンバー全員が地道に努力しました。
ただ、iCAREの活動だけではどうにもならない部分が実際にいくつもあり、その企業の人事担当の方がCarelyを本気で導入したいと強い気持ちをもって向き合ってくれたことが本当の勝因だと思っています。企業の健康戦略のためにCarelyを不可欠な存在として選んでくれて、導入を絶対に諦めないというその本気度です。その気持ちを裏切るわけにはいかないとこちらも本気で対応を進めていました。
Carely健康管理クラウド:産業保健・健康経営のソリューションサービスとして提供
CISO就任の思いと情報管理部のミッション
広報:これまでのセキュリティへの取り組みが認められ、さらに重要視されてこそのCISO新設と情報管理部の新規立ち上げだと思います。改めて就任に対する想いを聞かせてください。
岩崎:これまでのキャリアの中で、情報セキュリティのミスでIPOに失敗した経験があります。それだけではなく、自分のいた会社が起こした情報漏洩のミスで、お客様のサービスの信頼性を損ね、事業に対し甚大な損失を与えてしまいました。
もう2度とそんな失敗を繰り返したくない、その想いは経営陣にも共有しました。システム開発そのもののセキュリティもそうですし、個人情報を扱う上での組織の管理体制にも改善の余地があり、情報セキュリティに対する体制を今まで以上に強固にしていく必要があります。情報管理部は、この課題に対し、全社の意識をあげていく役割を担う重大な責任を負った組織だと思っています。
広報:そういった想いがあったのですね。企業における情報管理の難しさはどんなところでしょうか。
岩崎:情報セキュリティという部分で、最も意識すべきは「人」なんです。システムだけではありません。人の行動こそ1番危険と言ってもいいくらいです。 システムの脆弱性はいろんな対策を講じることで潰していけますが、人の行動による脆弱性は潰すことがなかなかできません。それ故、世の中の情報漏洩の事件の要因も主に「人」が要因となるものとなっています。
開発部の管理体制の改革により、システム面のセキュリティはある程度担保できてきたと思うので、今後は人の行動面、つまり社員の業務面のセキュリティをこれまで以上に堅牢していく予定です。外部とのやりとりやチェック体制もそうですし、万一ミスが起きてもリスクを最小限に抑える危機管理体制の構築も重要です。
「お客様である企業や専門職の皆さん、投資家や取引先、そして従業員の皆さんが安心してiCAREと関われる環境の実現」
これが情報管理部としてのミッションであり、未来像です。
CISO岩崎と右:CTO工藤、強固な情報セキュリティと技術で事業を支える
広報:取り組みの発信にも注力したいとおっしゃっていましたよね。信頼される企業を目指し、コーポレートサイトをリニューアルしたので、ぜひ活かしていければと思います。
岩崎:まさに。問題があったら報告するのではなく、問題がなくても、問題が無いことのご報告をする、それがセキュリティです。iCAREにご興味のある皆さまが、情報管理部の取り組みを知ること自体が安心に繋がると思っています。
広報:小さい安心感を積み重ねてこそ、大きな信頼を勝ち取っていくことができますよね。
岩崎:そうですね。情報管理部は少数精鋭ですが、実際にセキュリティに取り組む主体はお客様の情報を取り扱うiCAREの社員全員です。勘違いしてはいけないのが、セキュリティは誰がやるのか、というポイントです。会社がやってくれるという認識だと絶対にミスがおきます。「皆一人ひとりがiCAREである」という自覚を各自が持って取り組む必要があると思っています。情報管理部は各自が意識を持てるように促す活動をしていくというわけです。だから、「自分が働いてる会社=iCAREでやっているセキュリティの 取り組み」じゃないんです。
広報:なるほど、ブランドも同じ考え方ができますね。
岩崎:そうです。皆さん一人ひとりの行動や姿勢が、「iCARE」という会社を創るし、逆に傷もつける。それが事実です。
繰り返しになりますが、社員のセキュリティ意識にスタートアップかそうでないかは関係ない。その言葉は使わないほうがいい。会社規模がどうで、どんな企業であろうが、お客様が預けているデータの価値は一緒です。
企業の事業を促進させるための“健康”をうたうiCAREが、情報セキュリティによって企業の事業の衰退を招くようなことがあってはならないです。情報漏洩による損害が発生するのは当社ではありません。データをお預けいただいているお客様側なのです。そういった意識を持たなくてはセキュリティは向上しません。
iCAREに対しても当然同じです。パーパスと事業に共感して入社しているわけです。
そして、iCAREの仲間である従業員の皆には、ご家族や大切にしている存在があり、それぞれの人生があります。情報漏洩を起こすことはiCAREだけでなく従業員の人生にも悪影響を及ぼすリスクを抱えている。そういった危機意識をもってCISOとして新たな改革に挑戦していきます。