{{item.videoDuration}}
{{item.title}}
{{item.videoDuration}}
プロジェクトストーリー(ISMAP編)
新しいスタンダードをつくる使命感。リスク管理の知見とイノベーティブな発想でデジタル社会を支える
政府やその関連機関が利用するクラウドサービスのセキュリティを評価する「ISMAP(イスマップ)制度」の運用が2020年6月より始まりました。PwCあらた有限責任監査法人(以下、PwCあらた)は、この新しい制度設計に構想の初期段階からコミットし、現在は外部評価機関(指定監査法人)として「クラウドサービスの安全性の評価」に携わっています。ゼロから新しいルールを創りあげ、成熟した運用を志向する――ナレッジベースのイノベーションを担うチームの取り組みをご紹介します。
【対談者】
廣本 隆行
リスク・アシュアランス部 ディレクター
2006年にPwCあらたに入社。製造業、テクノロジー、ITソリューション企業を含むグローバル企業・大手日系企業の財務諸表監査、内部統制監査におけるIT監査に従事。
また、US-SOX、J-SOX等に係るアドバイザリー業務や受託業務に係る内部統制の保証報告書関連業務(SOC関連業務)、ISMAP評価にも携わる。
保坂 あずみ
リスク・アシュアランス部 シニアアソシエイト
2017年にPwCあらたに入社。前職では情報セキュリティコンサルタントとして、さまざまなセキュリティ関連業務に従事。PwCあらた入社後は、主にサイバーセキュリティ分野において、サイバーセキュリティリスク評価、海外のセキュリティ情勢の調査業務、ISMAP評価に携わる。
太田 皓己
リスク・アシュアランス部 シニアアソシエイト
2019年に大学卒業後、新卒でPwCあらたに入社。J-SoX企業を含む損害保険、製造業のクライアントへのIT監査(システムレビュー)、セキュリティ&プライバシーガバナンスの態勢評価、サードパーティーリスク管理(TPRM)の構築支援などの業務に従事。
※法人名、役職、インタビューの内容などは掲載当時のものです。
(写真左から)太田 皓己、廣本 隆行、保坂 あずみ
国の新しい制度を創造する使命感
――ISMAPプロジェクトとは何か、その概要とチームの取り組みを教えてください。
廣本
国内のクラウドサービスの利用率を高めようと、政府は2018年に情報システムを整備する際、クラウドサービスを第一候補とする「クラウド・バイ・デフォルト原則」を示しました。原則の公表は喜ばしかった反面、国家としてクラウドサービスの安全性を評価・認定する仕組みをあわせて検討する必要性がある、という課題を改めて浮き彫りにしました。そこで統一ルールの検討が始まり、新たな評価・認定制度として誕生したのがISMAP制度です。
保坂
本プロジェクトでは、ISMAP登録簿掲載を目指すクラウド事業者の皆さまに向けて、クラウドサービスの安全性を評価するサービスを提供しています。デジタル領域でのリスクアドバイザー集団であるリスク・アシュアランス(RA)部が持つ、業務改善・システム評価などに関する経験・知見を活かしてご支援しています。
太田
私たちPwCあらたはISMAP制度に検討段階からコミットしてきました。制度設計フェーズからワーキングメンバーとしてISMAP制度の検討に尽力してきたため、制度そのものに対する理解が深く、実際の現場で高品質なISMAP評価を提供する上で非常に役立っています。
保坂
ただ、始まったばかりの制度のため、まだまだ成熟はしていません。監査機関として、私たちは見直すべき課題や見解を率直に制度側へフィードバックし、産業・社会の健全な発展に貢献していきたいと思っています。
妥協なき品質の追求。積み重なる成長の実感
——プロジェクトのやりがいと、ご自身の成長機会について教えてください。
保坂
国の制度をゼロから構築するフェーズから関われることは、貴重な経験です。監査やリスク管理、ガバナンスなど、これまで蓄積してきた知見をベースに新しいルールを社会実装する過程はワクワクしますし、大きな使命感もあります。新しい仕組みやスタンダードを作って社会とつながりたい、社会に正のインパクトを届けたいというマインドを持っている方には、うってつけのプロジェクトだと思います。
太田
私はISMAPプロジェクトを通じて、多様な視点から会社経営を見る力が鍛えられていると感じています。ISMAPが用意する管理策は、ガバナンス基準、マネジメント基準、管理策基準の3つで構成されます。それぞれが経営陣、管理者、実務実施者を対象としており、必然的に幅広い層の関係者とコミュニケーションを取ることになります。それぞれの立場の考え方や思いに触れることができるので、多角的な視点が身につき、自身の成長につながっていると実感しています。
保坂
グローバルな視点で考えられるのもやりがいの1つです。クラウドサービスの安全性評価は諸外国、とりわけ米国が先行しているため、ISMAPが要求する管理項目の中には米国のフレームワークをベースとする部分もあります。関連する米国の制度を調べたり、PwCのグローバルネットワークを通じて得意とするメンバーから知見をシェアしてもらったりすることで、自身の専門領域を深めるようにしています。
廣本
デジタル化の進展に伴い、今後もさまざまな分野で新しいルール・制度が作られることが予想されますが、先駆けであるISMAPの評価業務で培った経験は、今後の業務にも応用できる強みとなるのではないかと思います。
また、自身の成長という観点で言えば、PwCあらたには個人の成長をサポートする体制が整っており、とても助かっています。全メンバーがクラウドサービスに関わる研修を受講できるほか、ISMAPプロジェクトの社内ポータルも整備されており、各メンバーがナレッジの共有を進めています。
――PwCあらたでは多様な人材が活躍していますが、どのようなカルチャーが醸成されているのでしょうか。
太田
何より、とても風通しが良いですね。立場に関わらずフラットに対話できる環境で、自分が得意なことやチャレンジしたいことを誰に気兼ねするでもなく発信できます。自ら積極的に発信すれば、チャレンジや成長の機会が存分に与えられます。
廣本
「Speak Up」のカルチャーですよね。PwCあらたには、自身が正しいと考えたことを忖度なく発信できるSpeak Upの文化が根づいています。職階や所属などの属性に関わらず、気がついたことがあったら、手を挙げる。発信する。Speak Upする。心理的安全性が確保されていて、「これを言うとマズイんじゃないか」という雰囲気は一切ないと思います。それに、業務やキャリアで困ったことや相談事を話せる環境がチームの外に常設されているのもいいですよね。
保坂
発言でも業務でもそうですが、何かをしたらまず「ありがとう」って言い合える雰囲気があるのが嬉しいですよね。発言の内容よりも、まずはその人が真剣に向き合った行為を受け止めて、感謝の言葉を発してくれる。メンバー一人ひとりが、そうやってお互いにのびのびと仕事に取り組める環境を作り上げています。
――「労働時間」や「業務量」について懸念を抱く人もいると思います。
保坂
そこは心配いらないと思います。プロジェクトの期間は数カ月単位にも及ぶこともありますが、スケジュールが事前に決まっているので予定は立てやすいです。具体的な業務内容や範囲はプロジェクトリーダーたちと相談しながら調整しています。
廣本
チームには、時短勤務で働いているメンバーもいます。チームで仕事をするので多様なワークスタイルの方をフォローし合える体制があります。
太田
仕事とプライベートの時間に、フレキシブルに向き合える環境だと思います。例えば、夕方にお子さんを保育園に迎えに行き、育児やプライベートの時間を過ごしてからまた業務に集中するといった働き方のメンバーもいます。チームとしての目標も個人の役割も明確に定まっていますが、「お互いにサポートする」ことが自然にできているので、特定の個人に過度な負担がかかることのない環境だと思います。
保坂
海外とのコミュニケーションが日常的にあるチームなので、時差によって早朝や夜に業務が発生することは確かにあります。プロジェクトの性質上、どうしても昼夜逆転に近い状況になってしまう場合は、スケジューラーに「AM睡眠」と入力していたこともありましたね。
廣本
海外とのやり取りが多いメンバーは、そういうことはよくありますよね。PwCではコアなしフレックス制度を導入しているので、翌日の始業時間を融通して遅らせるなど、自分自身の働きやすいスタイルを自分で考えて作っていけます。ISMAPのように、これからも社会の新しい仕組みやルールづくりに貢献しながら、自身としてもチームとしても成長していきたいという方がいらっしゃったら、ぜひ仲間に加わってほしいと思います。
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
