スタートアップのコーポレートITの重要性を語ってみた-エンプラ領域開拓を支える役割-

どうも、Asobicaのすとうです。X⇒(gomashioJr)
約1ヶ月振りのnoteとなります。
最近会社メンバーの結婚式に参列する機会がありました。ものすごい素敵な式と披露宴で、すごく感動したし、楽しめました。涙腺も年相応に緩んでおり、ミドル世代になったなぁと実感しました。
ただ一方で、久しぶりの冠婚葬祭の機会に、以前まで着ていた礼服が着れなくなるというインシデントが発生しました。それどころかワイシャツもまともに入らず、1990年代のサッカーイタリア代表みたいにピチピチになってました。
会社も自分もしっかりグロース、これぞスタートアップの醍醐味ですね。
さて、本日のメニューはこちらです。

今回のnote記事を書こうと思った背景

本日は、スタートアップにおけるコーポレートITに関する取り組みについて書きたいと思います。
今までコーポレート立ち上げに関して、いろいろ記事を書いてきたのですが、コーポレートITを取り上げた記事がなかったので、自分の体験談も含めた学びを備忘録的にアウトプットしたくなりました。
あと、コーポレートITへの投資って、直接的に売上が増加するわけでもなく、専門性が高いが故に、一般的な業務解像度があまりあがらず投資が後回しになりがちなんですよね。なんなら、コーポレートITメンバーの評価やプレゼンスが低い企業とかもみてきました。
スタートアップにおけるコーポレートITの投資の重要性が認知されて、スタートアップ業界が少しでもよくなることの願いも込めて、今回記事を書くことにしました。

読んでもらいたい方々

なんとなく、以下の方々に少しでも参考になればよいなと考えています。

①スタートアップでコーポレートITを立ち上げたいと考えている方々
②スタートアップのコーポレートIT業務に興味ある方々
③コーポレートIT投資に躊躇しているスタートアップの方々⇒ここ重要

前提

ここで前提ですが、記事を書く私はコーポレートITの経験があるわけではなく、ITに関する技術的なスキルを保有しているわけではありません。
強いていうなら、監査法人時代にJ-SOX監査を通じて、IT全社統制や、業務プロセスにおけるIT統制の基本をある程度理解している、というスキルセットです。
そのため、自分ひとりで、コーポレートIT機能を立ち上げるスキルはなく、Asobicaにおいては、メンバー採用等の組織ディレクション、必要なタスクアサインを行ってきました。
なので、今回の記事では技術的なことはとりあげず、コーポレートITとはなんぞや？という観点で記載したいと思います。
（技術的なことは後で、コーポレートIT立ち上げ責任者にnote書いてもらおう。）

スタートアップにおけるコーポレートITの役割

社内のITインフラとセキュリティと司る

コーポレートITの業務は多岐にわたりますが、大きくは①社内のITインフラ体制の構築、保守運用と②社内のセキュリティ体制の構築、保守運用にわけられると思います。
①社内のITインフラ体制の構築、保守運用は、業務を行ううえで必要な体制を整えることで、ざっくりいえばPCやモバイル、オフィスWi-Fi等の電子機器の設定、Google work spaceとかslack等のアカウント開設したり、「これがなきゃ業務できないじゃん。」を構築管理するイメージです。
②社内のセキュリティ体制の構築、保守運用は、情報漏洩が行われないような権限設定や体制構築を行ったり、外部からの情報攻撃をブロックしたり、PC等の行動履歴のログやをモニタリングしたり、万が一PC等を紛失したら遠隔でロックして居場所を突き止めたり、操作ログ調べたり、「メンバーが安心して業務出来る環境（と変な事故を発生させない環境）」を整備するイメージです。
サッカーで無理やり例えると、①は試合をスムーズに準備する方々（フィールドのグリーンキーパーとか、用具準備のプロであるホペイロとか）、②は審判だったりVARの役割でしょうか。

本質として、コーポレートITは会社運営の業務の中核・心臓を担っていると言えます。

J-SOX対応

上場準備の過程においては、適切な内部統制を構築することが求められます。この点、ITに関する内部統制も内部統制報告基準に沿った対応（いわゆるJ-SOX対応）が求められます。
（厳密に言うと、グロース市場向けのスタートアップはJ-SOX監査は上場後3年間免除されるけど細かいので割愛。）
IT全社統制、業務プロセスに関するITGC、ITAC等の対応ですね。
コーポレートITは、社内全体の業務に関するIT内部統制を整備、運用し、監査法人と議論のうえ、上場企業に足る土台を構築し、支えてくれています。

コーポレートITへの投資が事業成長を加速させる

上述のように、コーポレートITは企業運営を根本から支えてくれています。そのうえで、事業成長に貢献する役割もあるので、この点を紹介していきたいと思います。

ISMS認証やPマーク等の外部認証取得、更新

導入したい企業からすると、スタートアップのプロダクトやサービスが魅力的にみえても、「ちゃんとセキュリティが担保されているのか」、という懸念が生じます。
この点、しっかりと外部機関からセキュリティ体制が構築されているお墨付きを得ることで、組織やプロダクトの信頼性を高めることできます。そして、取引先や顧客に安心して自社サービスを利用いただくことにつながります。
代表的なのはISMS（Information Security Management System）認証と、Pマークです。

ISMSとは個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。

情報マネジメントシステム認定センターのHPから抜粋

Pマークとは「個人情報を適切に管理している」と評価された事業者が使用できるマークです。
プライバシーマークを取得している事業者（付与事業者）は、プライバシーマークを通じて、「個人情報」を適切に取り扱っていることを取引先・消費者のみなさまにお伝えするとともに、日々、個人情報の保護・管理に取り組んでいます。

一般財団法人日本情報経済社会推進協会のHPから抜粋

体感ですが、ToB向けサービスはISMS、ToC向けサービスはPマークを取得する傾向があるように感じます。
これらの認証を得るには、外部認定機関の審査を受け合格することが必要です。合格後も定期的な継続審査があるので、しっかりと必要な体制を整備・運用していく必要があります。このあたりの審査対応はコーポレートITにリードしてもらうことになります。
審査対応はそれなりに負荷があるのですが、求められるセキュリティ体制は、個人的には企業運営において当たり前に必要な水準だと思っています。
外部認証の取得は、全社的なセキュリティ意識の当たり前の水準をあげることのキッカケづくりにもなります。

エンタープライズ向けの導入を推進するキーマンとしての役割-セキュリティチェック

ToB向けサービスを展開するスタートアップ企業において、エンタープライズ企業に自社サービスを導入してもらえるかどうかは、今後の成長を加速できるかどうかの分水嶺となります。
この点、エンタープライズ企業向けの導入において、コーポレートITがとても重要な役割を果たしています。
通常、エンタープライズ企業はSaaS等の新しいサービスを導入する際、自社内のセキュリティ規格を満たしているかどうかの確認作業を行います。いわゆる、セキュリティチェックというものです。
このセキュリティチェックの回答がかなり工数がかかります。コーポレートITがリードしつつ、法務コンプライアンス体制、プロダクトのセキュリティ体制も問われ、法務や開発のメンバーとも連携して、セキュリティチェックを対応することが求められます。
このあたり、実態含めて日頃からセキュリティに感度高く、法務や開発メンバー等、全社横串で体制整備の構築に努めていれば比較的スムーズに回答することができ、エンタープライズ企業向け導入を推進することができます。
シード、アーリー、場合によってはミドルフェーズのスタートアップにはかなりの負荷がかかりますが、エンタープライズ企業にサービス導入を進めるのであれば、乗り越えなければいけない壁です。
ちなみに、このあたりのセキュリティチェックの対応工数に関してしっかり全社に浸透させていくことも組織運営上は重要です。というのも、セキュリティチェックの業務理解が低く、営業色が強い企業だと、ハレーションの原因になるんですよね。受注を早めたいセールスvsセキュリティチェックに取り組むコーポレートITチームの構図ですね。お互いの業務理解を深め、協力するリレーションを構築していくのがよい組織だと思います。
Asobicaはしっかり相互尊重できているのでよかったよかった。

企業のコーポレートITへの投資意欲（セキュリティ感度）を見分ける方法

諸々コーポレートITの役割、重要性を記載してきましたが、企業のコーポレートITへの投資意欲（セキュリティ感度）を見分けるひとつの判断軸を紹介したいと思います。
それは、専任部門、専任メンバーを設置しているかどうかという観点です。
冒頭記載したように、コーポレートITへの投資は、直接的に売上が増加するわけではないので、投資が後回しになりがちです。とはいえ、エンタープライズ企業向けの導入を進めたり、会社としてセキュリティ体制をしっかり構築する際には、どこかのタイミングで必ず投資が必要になります。適切なタイミングでコーポレートITへの投資をしっかり行うことを意思決定できるかどうかで、その会社のコーポレートITに対する経営スタンスが現れます。
最初は業務委託の方を力を借りながら、最低限のコーポレートIT体制を整備することから始めている企業が多いと思います。場合によっては、開発エンジニアの方が本職ではないものの兼務を任されているケースもあると思います。
ただ、しっかりとしたコーポレートIT体制を整備するうえでは、正社員を採用し、専任部門を立ち上げることが必要です。重要です。（SaaS業界であればなおさらですね。）
片手間ではなく、フルタイムでコミットして体制整備することが、ひいては事業成長にさらなるポジティブなレバレッジをかけることになる点は認識しておくべきでしょう。
この点、Asobicaにおいては、経営陣が早めにコーポレートITの重要性を認識し、専任部門の立ち上げを意思決定してくれたので、今は2名の正社員体制のもとで、高い専門知識やナレッジを持つ顧問の方々にアドバイスをいただきながら体制を整備することができました。大変ありがたい状況です。
現在は、事業成長のフェーズに見合った過不足のない投資、統制を構築しながら、全社的なセキュリティと効率性を高めていくフェーズとなっております。

さいごに

以上、コーポレートITの重要性についてつらつら書いてきました。
少しでもコーポレートITの重要性が認知され、ひいてはスタートアップ業界にポジティブな影響を与えられれば幸いです。
立ち上げや技術的な内容等については、どこかのタイミングでコーポレートITの責任者にnote書いてもらおうと思います。
ほんならまた。