クラスメソッドの危機管理室のご紹介

2021.07.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

今日はクラスメソッドの創立記念日です。クラスメソッドは年度も創立の月である7月はじまりで、今は新年度に切り替わったばかりです。

さて、その新年度の今期から私は危機管理室の室長を拝命しました。

危機管理室。

あまり聞き慣れない部署ですし、なんだか仰々しい名前ですね・・・

私が室長になったということで旧室長が「新生危機管理室」と表現したのですが、社内から「地球外生物を駆除するチームみたいだな」というツッコミがありました。それなんて巨災対。(そしてよく考えたら全然名前似てない)

「どういうチームなんだろう?」と思われる方も多いと思うので、この機会に「危機管理室」とはどういったチームなのか、簡単にご紹介したいと思います。

危機管理室とは

一言でいうと会社のさまざまな危機やリスクに対応する部署です。英語名は少し違って、Information Secutiry Management Office、略称「ISMO」となっています。訳すと「情報セキュリティ管理室」といったところで、こちらのほうが実態と近いかもしれません。

BCPの整備のほか、大きな役割としては社員の方々へのセキュリティ教育・啓蒙や各種ISOの認証取得・更新が挙げられます。社員のセキュリティへの理解の強化や、認証取得を通じた体制の強化が、組織の危機対応能力の向上につながると考えています。

現在の活動

上に述べたように、現在の活動の大きな柱は「社員の方々へのセキュリティ教育・啓蒙」と「各種認証の取得・更新」です。

社員の方々へのセキュリティ教育・啓蒙

現在行っている社員への教育活動としては、コンサルタントに制作して貰っているセキュリティ教育動画の毎年の配信。それに関連したテスト。標的型メール訓練の実施などがあります。また毎四半期の四半期報告会やSlack上で適宜、セキュリティに関する告知を行っています。

各種認証の取得・更新

クラスメソッドでは皆様に安心してサービスをご利用いただくために、多くの認証を取得しています。どんな認証を取得しているか、については当社のサイトの「情報セキュリティ基本方針」のページに記載してありますのでご確認ください。

ISMSやPCI DSSなど各種認証ポリシー|クラスメソッド

ISO27001(いわゆるISMS、情報セキュリティ管理の認証)や、個人情報保護の認証、また主要サービスであるメンバーズサービスではISO20000(ITSMS、ITサービス運用の認証)、ISO27017(ISMSのクラウドサービス版)、SOC1/2 Type1(サービスの内部統制に関する評価報告書)など、、

これらの認証の多くは毎年更新のための審査がありますし、新規に取得する認証もあります。時期が連続したり重なってしまうこともあり、忙しい時期はほぼこの監査対応に時間を割くことになります。 具体的には窓口として監査人の対応を行い、要件への対応の検討やエビデンスの取得について現場の部署の方との調整を行っています。

現状の課題と今期の取り組み

今期ですが、社員の方々への情報の発信を増やしていきたいと考えています。

上述の通りセキュリティ教育を定期的に行っているのですが、頻度はそれほど多くはなく、まだまだ発信は少ない、と思っています。

  • 「なぜこの認証を取得しているのか」
  • 「なぜこういったルールになっているのか」
  • 「今後、どういった取り組みをするつもりで、社員の皆さんにはどういう協力をしてもらいたいのか」

といった点も周知が足りず、認証の意義をよく知らない社員の方も多いのでは、という気がします。

加えて、今後は個人情報の保護についての啓蒙がより大事になってくると考えており、そのための準備も進めているところです。

できれば動画を定期的に配信するのが楽しそうだなーと思ってます。私には全然動画作成のスキルがないのですが、クラスメソッドにはYouTuberはいっぱいいるので、弟子入りして学びたい。

また、「危機管理」という言葉からは少し離れてしまいますが、サービス運用の品質管理の支援も今期の大きなテーマになっています(運用の品質を高く保つことがリスク軽減に繋がるという考えです)。幸い今期からはITILに詳しいかめさんが危機管理室に合流してくれたので、協力して推進していきたいなと思います。

おわりに

以上、簡単ですが危機管理室のご紹介でした。メンバー数は4人と小規模なチームですが、組織の危機への対応力を高める活動をこれからも続けていきたいと思います。

将来的には、「セキュリティ・品質管理のナレッジで社員やサービスに貢献する」チームとして、社内で大きな存在感を持つチームになれればいい、というのが私の思いです。ただ、そうすると「危機管理室」という名前とは少しズレるなとは思っています。この名前は前室長の植木の命名ですが、違和感が強くなったら変えるかもしれません。(私はもうこの響きになれてしまったんですが)