みなさん、こんにちは！SHIFT人事の田中です。

ソフトウェアテストをメインに事業展開するSHIFTは、日頃よりセキュリティを大事に考えています。それは事業においてだけではなく、バックオフィスを含めた全方位において言えること。

そこで私たちは、日本の人事組織において類を見ない圧倒的なセキュリティ組織を創り上げるため「SEALs」（シールズ）というチームを立ち上げました。

SEALsとはどのようなチームなのか、何を目指しているのかをご紹介します。

インシデントを根本的になくすためのチームSEALs発足

SEALsを立ち上げたのは、2022年12月ごろのこと。当時、人事部のメンバーは右肩上がりに増え、200名を超えていました。と同時に、インシデントも発生するようになって・・・。

これまでも組織横断で立ち上がったセキュリティチームはありましたが、インシデントを起こした本人による振り返りがメインで、インシデントを“防ぐ”機能は果たしていませんでした。

これでは根本的な解決にはなりません。私たちの中で、本質的にインシデントをなくす取り組みをしなければいけないよね、という議論が常にありました。

人事部のメンバーはSHIFTの成長と比例して増え続け、現在400名程度。人数の増加は、業務の範囲を広げるとともに人為的なミスを誘発します。私たちは個人情報も扱っているため、いまこそインシデントを本質的になくそうと発足したのがSEALsだったのです。

上記のミッションを掲げたSEALsには、11領域13名のメンバーを選出しました。採用、ビジサポ（障がい者雇用）、総務、業務委託対応、労務などの組織の責任者が集い、チーム単位でインシデントを防ぐことを目指すことにしました。

インシデントの具体的な事例を、生々しく語る意味

実際にインシデントを起こしてしまう人は、そのおこないによりなにが起こるのかを具体的には理解していない、想像できていないケースが多いです。

インシデントが起こると初動対応だけでもおよそ10営業日かかり、その後の恒久的な見直しにはもっとかかります。その間、部署全体の機能がとまり、信頼をなくして本来自分が担当すべきだった業務に携われなくなるかもしれません。

会社としての信頼が失墜して、株価が下がり取引がなくなるなど、レピュテーションリスクにもつながり影響範囲は計り知れない。

私はこれまで何度もインシデントへの対応を見てきましたし、それらは全て苦々しい記憶となって脳裏にこびりついています。インシデントへの対応自体はお褒めの言葉をいただくこともありましたが、二度と起きてほしくありません。

そのため私は、新しいメンバーが入社すると最初の研修で実際のインシデント事例を話して、良い意味で恐怖を覚えてもらっています。その恐怖がきっと、インシデントを防ぐのに役立つはずです。

人事プロセスの脆弱性を見つけ、「イタチごっこ」を終わらせる

SEALsのミッションをクリアするにあたり、まず一番大事なのは「人事プロセスの脆弱性を見つける」ことでした。

インシデントは、発生してから対応していてはイタチごっこになってしまいます。そこで私たちは、人事業務におけるすべてのプロセスを徹底的に洗い出し、その工程一つ一つに潜むインシデントリスクの可視化と、リスク値の算出をすることにしました。

結果的に293件の脆弱性を発見。リスク値を業務停止度、信頼低下度、発生頻度から算出して4段階評価で提示しました。そしてリスク値が高いものから順に、対応策を考えていったのです。

対応策を考えるのには骨を折りましたが、一般的なリスクマネジメント対策から「低減」「回避」「受容」「移転」の4つの方針を打ち出し、具体的な策を考えていきました。たとえ改善したとしても別のリスクが発生することがあるので気が抜けません。

またSHIFTでは最近、書類の電子化を進めていますが、これは書類の誤送付を防ぐためです。FY2023は、それまで2860件あった郵送件数を半分ほどに減らしましたが、行政が絡む書類は電子化できないので、インシデントのリスクがいまだにあります。

しかしリスクがあるとわかっていれば危機感を持って仕事に取り組めるので、インシデントが起きづらくなります。母数を把握する大事さはここにあるのです。リスクの可視化をすることで、一人ひとりの意識を変えていくことこそが社内のセキュリティを向上させます。

インシデント発生時の傾向を分析。先手を打つ

過去4年分のインシデント内容も分析しました。

その結果、在宅勤務と残業が多いときにインシデントが起こりやすい傾向があると判明。業務手順の変更や業務自体の削除、在宅勤務比率の見直し、さらには繁忙期の業務管理やリーダーからの声がけの徹底などで対応しています。

部署によって業務プロセスは多種多様で、単純にWチェックを増やせばインシデントを防げるわけではありません。そもそも業務内容を変える必要があるのかを検討したり、インシデント目前のヒヤリハットも含めて事例を共有したりして、インシデントが起きない環境を作るようにしています。

こうした人事プロセスの脆弱性の可視化と改善に努め、FY2023は四半期ごとに人事本部長への成果報告会を開催し活動事例の共有とフィードバックをしました。SEALsのAwardを実施し、好事例を全員で賞賛したこともあります。

その後、FY2024は体制変更によって、事前にリストアップした業務プロセス以外に新たなリスクが…。その際には「泥棒が入る窓を作らない」という原理原則に立ち戻り、「大事なものは家から持ち出さない、そもそも置かない」ということを意識してリスクを排除しました。

既存業務の見直しにも着手し、これまで正しいと思って取り組んでいた業務フローを「必要ではない」「変えるべき」などとメンバーを説得したことも記憶に新しいです。

FY2025はイノベーティブな取り組みにも挑戦したい

SHIFTは2024年9月からFY2025に入り、再び体制がガラリと変わりました。

大きな変化があるとインシデントが発生しやすくなるので、気をつけなければなりません。改めて業務プロセスを洗い出し、リスクの全数を把握して脆弱性の可視化をした上で引き続き解決に導いていこうと思います。

今期の大きな方向性としては、本質的な改善策として新たなシステムの導入やロボット化、AIの活用などイノベーティブな動きを導入したいと思っています。それが得意な部署と連携していき、スピード感を持って対応したいです。

SEALsの活動に終わりはありません。会社の成長イコール人事の成長でもあるので、私たちの業務は日々変わっていきます。人事の安全性を担保することで、会社は攻めに転じられるので抜け目のない堅固な守りを持ちたいです。

そして持続的にインシデントを減らしていけるよう、常に現状を見極め、よりセキュリティ意識の高い会社になっていきたいと思います。

SHIFT人事部に興味をもっていただいたかたへ、以下よりご応募をお待ちしています♪

HRBP／東京

hrmos.co HRBP／東京

株式会社SHIFT 東京都港区 ほか1箇所 フルタイム

募集要項をみる

◎SHIFT HR BLOGでは、人事のみなさまが知りたいことを大募集しています！ 参考にして記事にしていきますので、ぜひともご回答よろしくお願いいたします♪
⇩⇩⇩
https://forms.office.com/r/xtEgrT9NP0

お問合せはお気軽に

SHIFTについて（コーポレートサイト）

SHIFTのサービスについて（サービスサイト）

SHIFTの導入事例

お役立ち資料はこちら
https://service.shiftinc.jp/resources/

SHIFTの採用情報はこちら
https://recruit.shiftinc.jp/career/