【対談】出会いからイノベーションを生み出す-Sansan株式会社（前編）

ラックの西本逸郎が、気になる注目企業のIT戦略やサイバーセキュリティの取り組みについて、ざっくばらんに"深く広く"伺う対談企画です。今回は、Sansan株式会社のCISO、常樂 諭さんにご登場いただきます。

プロフィール

名刺管理サービスからイノベーションを起こすってどういうこと？

 西本  Sansanといえばクラウド名刺管理サービスですね。もはや知らない人はいないかと思いますが、改めてどんな事業を展開されているのかお聞かせいただけないでしょうか？

 常樂  我々は「出会いからイノベーションを生み出す」というミッションを掲げています。全社員がミッションに向き合えるよう、ミッション・バリューを社員と作っています。創業当時から、少しずつ表現を変えながら、社員とともに今の会社にフィットした言葉や強みを言語化してきました。最近では新たに、ビジョンである「ビジネスインフラになる」を掲げ、クラウド名刺管理サービスをはじめ、様々なサービスを提供しています。

 西本  「出会いからイノベーションを生み出す」というコンセプトは非常にシンプルで分かりやすいですね。

 常樂  ありがとうございます。主なサービスとしては、法人向けクラウド名刺管理サービス「Sansan」と名刺アプリ「Eight」があります。Sansanはおかげさまで7,000社ほどの企業にご利用いただいていて、国内のクラウド名刺管理サービス市場シェアで約84%のシェアを有しています。また名刺アプリ「Eight」は個人が無料で使える名刺アプリで、約280万人にご利用いただいています。

また、私は全社のセキュリティを統括する立場ですが、もう一つ「DSOC（Data Strategy & Operation Center）」というデータ統括部門も担当しており、読み込まれた名刺の、正確かつ高速なデータ化や、蓄積されたデータを活用するための研究も進めています。事業の方向性としては、人と人だけではなく、会社と会社の出会いも変えていきたいと思っています。

 西本  御社のサービスによって出会いをトレースできるようになって、それだけでも随分と便利になったと思いますが、そのビジネスでの出会い起点に新しい展開を考えていらっしゃるわけですね。具体的に何か新しい事業には取り組まれているのでしょうか？

 常樂  最近ではコロナ禍で、対面で会えないという状況が続いています。これに対応するため、2020年6月に「オンライン名刺機能」をリリースしました。「Sansan」の機能強化としては、新しい事業戦略「Sansan Plus」も発表し、Salesforce社との機能連携や、名刺をスキャンしただけでコンプライアンスチェック、反社チェックができるようになる「反社チェックオプション powered by Refinitiv」の提供も行い、ご好評いただいています。

これまでDSOCがクラウド名刺管理を通して培ってきた、アナログ媒体のデジタル化技術を活かし、紙の請求書のデジタルデータ化を実現しました。会社に届くあらゆる請求書を「Bill One」が代理受領し、データ化し、ユーザーに提供します。「Bill One」は、テレワークの実現を後押しします。

 西本  なるほど「出会いからイノベーションを生み出す」をキーワードに次々と新しいチャレンジをされているのですね。

 常樂  情報は貯めるだけでは意味がなく、情報の鮮度を保つこととどんな活用をするかがとても重要です。ですから我々としては、クラウド名刺管理サービス事業においては、ユーザーがデータ化した名刺情報をしっかりと最新の情報に保つという仕組みを提供すると同時に、そのデータの有効な活用方法も提案できるようにしています。

また、法人と法人との出会いの結果生まれる、請求書業務にもコミットするなど、ミッションを軸にビジネスインフラになるべく事業展開をしています。

 西本  御社のコンセプトである「出会いからイノベーション」という言葉自体、夢があってとてもワクワクします。そこから「イノベーション」と続くのは、なるほどやられたな、と感じます。とても分かりやすくていいですね。

社員全員が個人情報保護士を取得。文化としてセキュリティ意識を高める

 西本  情報といえば、セキュリティの観点と、プライバシー保護や個人情報保護の観点があります。例えばEightでの出会いは誰のものかと考えたときに、会社の名刺だから会社のもの、勝手にEightに登録するなと言い出す会社がいても不思議ではないですよね。そういった意味で、名刺管理について、企業や個人はどのように使わなければならないのでしょうか。ガイドラインなどはありますか。

 常樂  名刺に関しては、企業のものであり個人のものであるという、両方の側面があります。利用者の考え方・ルールに則って運用していただければと考えています。我々としては、利用する際に情報を安全に、しっかりと活用できるようにサービス提供をすることに目線を向けています。

 西本  そのための仕組みづくりや、それを守るための取り組みを行っていく、その一環として、社員の皆さんで個人情報保護士を取得しているのですね。

 常樂  はい。我々は全社員に「個人情報保護士」という民間の資格取得を義務付けています。全社員にセキュリティに対する意識が浸透することを目的としており、そのベースとなる知識を得るために取得を義務付けています。営業先などでも個人情報に対する考え方が様々な方がいらっしゃる中で、お客様からセキュリティについてご質問をいただいた際にしっかりとお答えを返す、ご安心いただくためにも必要だと考えています。

もちろんシステムや仕組み、脆弱性診断などでカバーすることはとても大事です。しかしそれ以上に注意が必要だと考えているのは、「人の言動」です。やはり1人のミスで問題が発生することがありますし、意識の低さや無知によって問題が引き起こされる可能性もあります。したがって、個人情報保護士取得やセキュリティに関する知識を深める取り組みを行い、全社員の知識や意識の底上げを図っています。

通常の運用では見つかりにくいミスをあぶりだすペネトレーションテスト実施

 西本  海外の大手企業などがやられているバグバウンティは、トライされているのでしょうか。

 常樂  今後、是非トライしたいと考えています。ただ社外を巻き込むと環境などの様々な懸念点があるので、まずは社内から始めてみようと考えています。

 西本  社内であればコントロールしやすいですね。バグバウンティを社外にまで広げるとハッキングのやり過ぎにつながることがありますし。ところで、今、技術者は何名ほどいらっしゃるのでしょうか。

 常樂  全社で、中途社員も新卒社員もあわせて300名ほどです。営業も技術者も全員が個人情報保護士を取得していて、文化として高いセキュリティ意識をもつようにしているのは、会社として誇れるところです。その結果として、ヒヤリ・ハットの報告が細かなものまで上がるのが弊社の特徴です。何か不安があったり怪しいと感じたりしたときに、軽重問わずきちんと連絡をくれるようになっています。

例えば、ペネトレーションテストをして実際に侵入されたときに何が重要かというと、社員が気づくかどうか。そこで報告してくれると、会社として素早く対応策を打てるなど、大きく結果が変わってきます。そのための、きちんと報告してくれる文化はできています。

そうやったコミュニケーションギャップが社員のモラルダウンを起こし、経営者と敵対するようになってしまうこともあります。第三者の評価を取り入れるにしても、そこは上手くやって盛り上げていかなければならないですね。

 常樂  おっしゃるとおりですね。私たちは、ペネトレーションテストで何か問題が見つかったとしても、それを責めるようなことはしません。責めることにより、ペネトレーションテストに対するネガティブな意識を持って欲しくないからです。「テストの段階でよかった。本番が起きないように対策をしよう」と、さらに高いセキュリティにつなげる学習材料として捉えています。

 西本  それは、オペレーションをまわす側の意識の問題ですね。ところで、実際にトラブルが発覚した時の訓練などもされているのでしょうか？

 常樂  問題が起きたことを想定とした、抜き打ちの訓練を実施しています。訓練の実施を知っているのは私とCSIRT、広報のみで、代表にも知らせていません。私たちも本当の問題が起きたかのように振る舞うので、そういう意味で現場には大きなストレスがかかります。終わって訓練だと知ったときは現場の社員には安堵が広がります。

しかしセキュリティは有事に直面した時の行動がとても大事ですし、その時の対応をこういった訓練を通して経験として蓄積することは、とても大切なものだと捉えています。

 西本  抜き打ちでやる訓練は面白いですね。やられている会社は少ないと思いますよ。そこにも御社のセキュリティに対する本気度がうかがえますね。

 常樂  1年に一度PMS（個人情報保護マネジメントシステム）のレビューがありますが、責任者としては、できていると思いたいバイアスがかかってしまうものです。通常のレビューももちろん大切ですが、さらに細かなミスや抜け穴の可能性も発見し、対応するための取り組みが必要だと考えています。そのために、ペネトレーションテストを始めました。実際にこれまで大丈夫だと思っていた箇所にも問題が見つかっています。

安全性を適切に追求すれば、結果として利便性も担保できます。事業が安全性を担保しながら成長することは、お客様との約束でもあると捉えています。我々のセキュリティに対する取り組みは、そのための必要不可欠な土台づくりです。

 西本  そうですね。最近、ニュースにもなっている決済システムなどの問題は、システム間連携をかけていったときのセキュリティ要件の違いを把握していないことで発生しています。

セキュリティの有名な理論で樽理論といって、木のいちばん低いところから漏れてしまうという理論がありますが、その典型的なものですね。御社もいろいろな会社と連携をするときに、システム間の認証レベルもレビューをされていますか。

 常樂  繋いだシステム間のAPIのデータ通信の認証レベルはCSIRTで管理しています。

 西本  システムはいいけれども、運用上のチェックはなかなか難しいですよね。

 常樂  1つの基準で決まるものでもなく、生み出される価値とリスクの影響度合いによって決まってくるので一律で線を引くのは難しいですね。そこが運用上、判断するポイントが複雑になり難しくなっている要因でもあります。データの質や量で一定の判断基準を設けています。

---

膨大な個人情報を扱う企業ならではの、情報セキュリティに対する強固な取り組みを垣間見ることができるお話でした。

次回は、常樂氏がセンター長を務める「DSOC」という組織とその取り組みについてです。イノベーションにつながる取り組みについて、Sansan株式会社がどのようにアプローチしているのか、詳しくお聞きすることができましたので、次回の記事もご期待ください。