ゼロからつくるコーポレートIT部門 「一番にやるべきこと」を担当者が語る

HERPの赤坂氏は「ITのカオスを作らない」をテーマにHERPのIT部門1人目を担っている。IT部門が存在しなかった企業で直面する課題を、赤坂氏はどのように解決したのだろうか。

[大島広嵩，キーマンズネット]

　IT部門は企業がある程度の規模になるまで設けられないことが多い。しかし、ITに関する業務が一元化されず、事業活動が進むにつれてさまざまな問題が起こることになる。

　企業によってIT部門の名称は異なることが多く、「情報システム部」や「コーポレートIT」などと呼ばれる。企業のIT環境によって業務範囲は変わるが、コロナ禍などの外的要因によって範囲は拡大し続ける傾向にある。

　採用管理システムを提供するHERPに所属する赤坂氏は、同社のコーポレートIT1人目を担っている。赤坂氏の話から、コーポレートITが最初にやるべきことや組織から信頼を獲得するための秘訣が見えてくる。

ベンチャー企業のIT部門1人目を選んだ理由

HERP　赤坂氏

　赤坂氏は、20代はコールセンターやヘルプデスク業務に従事しつつ音楽活動に没頭し、30代から統合脅威管理（UTM）製品のセールスエンジニアを始めた。その後は独立ファンドやエンターテインメント企業でコーポレートITを経験し、2022年4月にHERP1人目のコーポレートITに就任した。同社の従業員数は約60人（2022年11月時点）で、赤坂氏が入社するまではIT業務を部分的に委託していた。

　あえてIT部門がない企業を選んだ理由を赤坂氏は「ITが手を付けられない状態になる前に対応することでカオスを作らないためです。また、HERPのプロダクトの面白さや社会的な有用性、フラットでオープンな社風も入社の決め手となりました」と語った。

　プロダクト開発以外のITの業務は何でも担当しているという。「情シスとも呼ばれますが、なんか堅苦しいのでコーポレートITと呼んでほしいと思っています」（赤坂氏）

IT部門のファーストペンギンは何が大変？

　赤坂氏が入社して最初に感じた課題は「情報の点在化」だ。他にも、HERPのようにクラウドサービスを提供している企業には、クラウドベンダーならではの課題が存在するという。

なるべく早く対応すべき課題は

　HERPは自社向けのITを運用する際、「JIS Q 15001」（プライバシーマーク）や「ISO/IEC 27001」（ISMS）、「ISO/IEC 27017」（ISMSクラウドセキュリティ認証）といった第三者認証を順守する方針だ。また、社内システムを全てクラウドで構成することで、新規ビジネス立ち上げなどに伴う大きな変化に、システムが柔軟に対応できるよう設計している。

　「まず、企業内のあらゆる場所に点在する情報を整理しました。第三者認証を順守するとなると、アカウントやドキュメント、アクセス権限の管理は必須です。また、業務マニュアルの不足や不明瞭な運用ルールの存在といった問題も存在しました」

　HERPには、クラウドサービス（採用管理システム）を提供する事業会社ならではの課題も存在していた。HERPが提供するクラウドサービスを導入したい企業は、HERPのサービスが自社の求めるセキュリティ要件や可用性を満たしているかどうかを事前に確認する目的で、セキュリティチェックシートへの記入を求める。

　その結果、HERPは大量のセキュリティチェックシートに回答することが求められるようになる。回答内容に齟齬が生じないよう回答情報を一元管理する必要があった。

　「企業内に存在する情報を整理することは、上場する際に押さえるべき項目にもつながります。早いうちから整備するに越したことはないです」（赤坂氏）

IT施策が最大の効果を出すためにやるべきこと

　赤坂氏が最初に取り掛かったのはアカウントの整理だ。「全ての基本になるのがアカウントです。まずはアカウントをきれいにしてから、社内に点在する情報を整理し、アクセス制御するのが一番合理的な流れです」と語る。

　アカウントの整理で苦労するのは細かい地道な作業を続けることだが、「アカウントが整理されていなければ便利なITサービスを導入しても効果が薄い」と赤坂氏は語る。「シングルサインオンや多要素認証などのサービスを導入しても、アカウントが整理されていなければその効果を最大限発揮することはできません。力技で導入しても結局は失敗することになります」。

　情報の点在化については、ワークフローを一元管理できる「Notion」で解決した。「Notionはドキュメントを管理できるだけでなく、ドキュメント内でデータベースを持てる点が便利でした。抱えているタスクのステータスや優先度、担当者を、直感で操作できるテーブルで管理できます」。

　セキュリティチェックシートの回答情報は、管理者（IT部門）、ユーザー部門、クラウドベンダーのセキュリティチェックを同一プラットフォームで完結する「Conoris」に統一することで、情報を一元化できている。

　「点在化した情報と権限を整理した上で、申請フォームを作成することで依頼のエビデンスを残せるようにしました。情報をまとめることでナレッジを体系立てて蓄積できています」（赤坂氏）

　情報の整理後はユーザー向けマニュアルやセキュリティハンドブックの整備を開始した。コーポレートITがルールを定める際の注意点については以下のように続けた。

　「セキュリティをガチガチにし過ぎて柔軟な企業活動をできなくなることは、情報漏えいと同じくらい致命的です。常に会社の文化や方針を意識しながら、何のためのIT部門なのかを考える必要があります」

常に変化するクラウドベンチャー企業でIT部門を担うコツ

　赤坂氏がIT環境を整理する上で意識したのは「HERP本来のオープンでフラットな社風を尊重すること」だ。入社したばかりの赤坂氏がポンポンと業務を進めるのではなく、それまで働いてきた人たちへのリスペクトを忘れず、お互いの考えを尊重しながら業務を進めることが重要だという。

　「IT部門が何かを進める際は理由付けを意識することが大切です。なぜそういったルールを定めたいのかについて、個人の感情を省いて論理的に説明し、お互い腹落ちしながら業務を進めることが、“忖度（そんたく）を受け入れない社風のHERP”に受け入れられるコツだったと思います」（赤坂氏）

　施策を進めながらもユーザーを第一に考えて行動することも、信頼を獲得する上で重要だという。

　「IT部門は、まずユーザーから信頼を得ないといけません。私たちには管理者権限（一番強いアカウント権限）があるけれど、他の従業員より偉いわけではありませんので、相手とフラットな立場に立つことが大切です。今後はさらなる効率化を進めつつ、セールスや開発などプロダクト側のIT環境の整備にも入っていこうと思います」と語った。