「厳しすぎる」と言われても妥協はナシ。最終的には誰もがハッピーになる情報セキュリティマネジメントを実現したい

「やりたいことができる」。その言葉に惹かれ、パーソルキャリアのコーポレート部門へ

気象の研究をしていた大学院を修了したのち、大手損害保険グループ会社のリスクマネジメントを手がけるシンクタンクに入社。損保会社の営業支援という形で、企業の防災や事業継続に関するコンサルティングに従事していました。

当時、会社・業務も好きだったのですが、コンサルタントは外部からの支援しかできず、自分たちが支援したものが、どのように運用・改善され定着されていくのか。線や面で関わることが難しく、なかなか思うような手応えを感じられずにいました。そこで、もっと企業の内部に入って会社のしくみをより良くしていく仕事に挑戦したいと考えるようになり、企業のコンプライアンスやガバナンスに関わる部門をめざして転職活動を始めました。

そういう理由もあり、とくに業界なども絞らず、やりたいことができる会社であればまず話を聞いてみたいとdodaのエージェントに登録し、キャリアアドバイザーに相談したところ、「ウチはどうですか？」とお声がけいただいたのがパーソルキャリアとの出会いです。

当時、勤めていた会社では30歳の自分でもまだまだ若手。自分から「これがやりたい」「こんなことに挑戦したい」と自由に言える雰囲気はあまりなく、いわゆる上位下達な社風だったと思います。一方で、パーソルキャリアでは自分と同世代の社員が楽しそうにバリバリと働いているように見えました。そして、キャリアアドバイザーや人事、面接官の方々とお会いする度に、そんな社風を肌で感じ、かなりカルチャーショックを受けました。

さらに、面接していただいた上司には、「笹平さんがやりたいことができるよ」と言われました。前職で少しは個人情報保護法を勉強してはいたものの、情報セキュリティに関する知識は全くありませんでした。それでも、「興味があるんでしょ？やる気があるなら大丈夫だよ」と言葉をいただいたのが印象的でした。「経験もないのにポテンシャルで採用してもらえるんだ」と驚きましたが、この会社であれば、内部から会社のしくみをより良くしていく仕事ができると感じ、入社を決めました。最近のキャリア採用ではあまり考えられないと思います。本当にラッキーでした（笑）。

入社してからは、各部が持っている情報資産を洗い出し、情報資産台帳を作成する全社的な取り組みや、個人情報保護法の改正対応、プライバシーマークの更新審査などをいろんなものを担当させてもらいました。今考えると、当時の情報セキュリティグループは本当に人員が少なく、やるしかなかったんですけどね。また、情報セキュリティに限らず前職で培ったスキルなら活かせると、当時は対応が十分でなかった防災対策の一環として、地震を想定したシミュレーション訓練を企画提案すると、実施させてもらえました。

今は、だいぶ人員も増えてきましたが、手を挙げるとなんでもできてしまうので、もう挙げるのはやめておこうか、と思うこともあります（笑）。でも情報セキュリティに関することで困っている人がいると思うと放っておけないんです。それが自分の性格というか、次々にやるべきことが出てきて日々、大変だけど、とてもおもしろい毎日です。

さまざまな得意分野を持つメンバーの調整役となり、チームで課題解決をめざす

情報セキュリティグループの業務は、社内で立ち上がった新しい施策が情報セキュリティ観点で問題がないかの確認や社内からの問い合わせ対応、情報セキュリティに関するルールの策定、社内教育など、多岐にわたります。

社内教育では、新卒研修や中途導入研修に加えて、3カ月に1回の全社員向けの情報セキュリティ教育の企画を行っています。社員が情報セキュリティに対して、難しい・ハードルが高いといった拒絶反応を起こさないよう、むしろ身近なものと親近感を感じてもらいながら、より一段高いレベルにアップしてもらえるようにといろいろ考えながら資料を作成したり、研修で講師としてお話したりしています。

また、あってはならないのですが、情報漏えい事故などが発生した場合の対応も情報セキュリティグループの大事な業務の一つです。発生報告を受け取ると、現場の担当者が適切な対応ができるようにフォローを行います。影響の大きい事故は、役員・事業責任者や広報なども巻き込み、連携しながら、リスクコミュニケーションの手立てを打つようなこともあります。

現在、情報セキュリティグループは、社歴やキャリア、情報セキュリティに関する専門性もバラバラなメンバー20人弱で構成されています。情報セキュリティは対応領域がとても広いので、求められる知識・スキルはその時々でさまざまです。

それら全てに高い専門性を持って即時に対処できればカッコいいのですが、そんなスーパーマンのようなメンバーはいません。一人で対応できないときはチームで対応します。メンバー間で不足する部分を互いに補いながら業務を進めています。情報セキュリティに全く関係のない部署から異動してきたメンバーもいて、そういうメンバーの視点から生まれる気づきも多く、それぞれの強みを生かして仕事を進めています。

一般的に情報セキュリティの仕事というとチームワークよりも個々で業務を進めていくイメージがありますが、当社の情報セキュリティグループは、このようにチームワークで自身の強みを生かしつつ、不足する部分は支えてもらって業務を遂行するのが特徴です。

私は、情報セキュリティグループが4名体制のときからの古参メンバーに入るので、これまで幅広い業務を担ってきました。その経験値を活かし、プロパー社員が持つ組織・事業・サービスに関わる自社特有の情報と、中途入社メンバーが持つ新しい情報セキュリティの専門スキルを適宜接続させていくサポートを担っています。

たとえば、現場から問い合わせがあった際に、専門家が“あるべき論”をぶつけても、事業部からは「こっちの事情も知らないくせに」と反発を招いてしまうことになります。そのため、事業やサービスの特徴や使用しているシステムについて担当するメンバーにインプットしています。逆もしかりで、異動者で専門知識が十分でないメンバーに対しては、事前にこの部分の知識を理解しておくとスムーズに進められるよ。とグループメンバーをサポートしています。

情報セキュリティグループがバランス良く業務を推進することで、スムーズな課題解決をサポートすることが、自分がこの組織で価値発揮できる分野と思っています。

いくら厳しいといわれても、事故を起こさないしくみづくりに全力で取り組む

社内の新しい施策に対して、情報セキュリティのチェックが「厳しすぎる」と言われることも少なくありません。

とはいえ、新しい施策がリリースされた後に、情報セキュリティ事故が起きてしまっては、せっかくのスタートが台無しになってしまいます。むしろ、新しい施策が持続的に発展していってほしいという事業側と同じ気持ちです。情報セキュリティグループは事業を守る役割として、事業が見落としているリスクを洗い出し、低減のサポートに取り組んでいます。

チェックの厳しさゆえに時間がかかることについては申し訳なく思ってはいるのですが、情報セキュリティグループがリリースを邪魔しているかのように捉えられるのはちょっと辛いですね（笑）。

あくまで個人的な意見ですが、新しい施策を世に出したら、もっと大変なことや厳しいことがたくさん起きると思っていて、情報セキュリティのチェックくらいでへこたれているようでは通用しないのでは？と思っています（笑）。もし、厳しいと感じているなら、トレーニングだと思って前向きに対応してほしいです。

現在は情報セキュリティグループの人数も増えたことで一定の統制水準を保っていますが、以前は「こうしたら便利になる」「顧客体験の満足度が高まる」ということを優先して個別最適にシステムを導入していたと思います。その結果、システムが積み上げ式に増え過ぎて、システムを管理する人も利用する人も業務負荷が高まっていると感じています。

同時に、そろそろ個人情報などの重要な情報を取り扱う担当者が「気をつけます」というレベルで責任を負うことには限界がきていて、そもそも人為的なミスが起こらないしくみづくりが必要です。それが次年度から進められていく計画にも盛り込まれている課題のひとつです。

現場の負荷も減って便利になり、顧客体験価値の向上につながり、情報セキュリティ面の安全も担保される。——近い将来、その環境整備を実現することで、本当に社員も、お客様もハッピーになるようなサポートができる部署になれたらいいなと思いますね。

部署を越えて、人と人が自然につながっていく社風が一番の魅力

入社した当初は右も左もわからないので、情報セキュリティに問い合わせしてきているのに、問い合わせ者に社内のことについて逆に質問していました。ただ、みなさん忙しいにもかかわらず嫌な顔ひとつせず、丁寧に教えてくれるんです。聞いた人がわからなかったら、一緒に悩んでくれたり、「○○さんが知っているんじゃないかな」と知っていそうな誰かを紹介してくれたりするんですよ。

この社風にはとても感動しましたね。今は自分も「なるべくわかることは答えてあげたい」と思いながら対応しています。そして、パーソルキャリアはそういう和でつながっていく組織なんだとつくづく思いますね。

だから、たった一度の社内研修で一緒だったメンバーとも、仲良くなることも多く、入社2、3年目の若手社員のなかには、「ささぴーさん」って呼んでくれる人も（笑）。そういう出会いのなかで、情報セキュリティグループの所属と言うと、「全然イメージ違いました」と驚かれることが多いです。やはり、「情報セキュリティ部の人たち＝なんだか厳しくて怖そう」というイメージが強くて。社内の情報セキュリティに関する知識・意識を変えていく（上げていく）とともに、組織に対するイメージも変えていきたいと考えています。

パーソルキャリアの社員や会社がより良くなるために最適な情報セキュリティルールを考え、“伴走”していくのが情報セキュリティチームの役割です。大変なことも多々ありますが、辛いことも含め、お互いにシェアしながら一緒に楽しく働ける仲間がいるからこそできる仕事でもあります。

誇りとやりがいも持ってリスクマネジメントを担っているチームの魅力をもっと広く伝えるためにも、その“厳しくて怖そうなイメージ”を積極的に壊しにいって、社内メンバーとの距離を縮め、親しみやすさを持ってもらうことも私ができる仕事かなと思っています。

最後に働き方に言及すると、情報セキュリティグループはかなり自由な環境ですね。自分は週3～４の運動（ジム／ラン）と月1のヨガを日課にしていて、ヨガについては事前にスケジュールを組み、メリハリをつけて仕事をするようにしています。また、自分は出社することが多いのですが、全体的にはリモートワーク率が高く、働き方はひとそれぞれで自由に選べます。

それだけに、自身でタイムマネジメントからタスクマネジメントまで、計画的に進めていく自己管理能力は求められます。でも、それさえできれば、趣味や子育てなど個人的な事情があっても長く働き続けられる職場だと自信を持って言えます。ぜひ、妥協しない情報セキュリティグループを一緒につくっていける方、お待ちしています。