2025年7月18日(金)従業員の満足度と企業成長を両立させるIT統制を考えるリアルセミナー「IT surf seminar 2025」を開催しました。各セッションの簡易レポートを公開します!
IT surf seminarは、株式会社Tooが情報システム部門や経営層の方向けに開催する【IT戦略で組織がもっと強くなるには?】を考えていくセミナーイベントです。 「人々がクリエイティブになれる環境をクリエイトする」をコーポレートミッションとするTooから、ITを活かしたクリエイティブな組織作りについて、企業を超えて考えるきっかけを提供しています。
今回は「IT統制」をキーワードに3社4名の方々にご登壇いただき、近年話題のAIに対する企業としての付き合い方や、ひとり情シスならではの管理の基盤づくりにおける学びといったお話をしていただきました。
最後のパネルディスカッションでは、登壇者への気になる質問にも回答していただきましたので、最後まで目の離せない会となりました。
目次
“Bet AI”を支える文化とコストマネジメント
株式会社LayerX
コーポレートエンジニアリング室 IT基盤グループ マネージャー
篠嵜 洸 様
株式会社LayerX様は「すべての経済活動を、デジタル化する。」をミッションに、請求書処理や経費精算などの支出管理を一本化する「バクラク」事業や、大規模言語モデル(LLM)を活用した文書処理プラットフォームなどによって企業や行政の業務DXを支援しています。
篠嵜様からは、AIの急速な発展とコストマネジメントにおける課題についてお話しいただきました。
まずLayerX様では、2025年4月から行動指針のひとつを「Bet Technology」から「Bet AI」へと刷新したことについてお話がありました。 こういった企業文化がプロダクトやオペレーションを支えているとともに、従業員の満足度や企業成長を支えているということで、ぜひここだけでも覚えていただきたいと述べられました。
そしてAIの急速な発展とコストマネジメントの課題について、詳細をお話しいただきました。
企業として「Bet AI」を掲げる一方で、Betするための原資はどうしても必要となります。
さらに、この頃AIが発展してきたことで各SaaSにAI機能が組み込まれ、その分コストの増加も加速しています。
こういった中で「情シスとしてどう動くべきか」というのが情シス界隈ではあるあるのお悩みなのだそうです。
ということで、これまで発生した3つの課題とその解決策について教えていただきました。
1つ目の課題は「日々新しいツールが出るので予算策定・取得が難しい」というもの。
こちらは「トライアル予算の策定と活用」で解決されたとのことです。
新しいツールが出た際、ツールに期待する効果や想定利用人数を申請することで利用できるようにし、実際に触ったことで得られた知見を社内で共有しているそうです。
続いて2つ目の課題は「個人契約・予実管理・経理精査が煩雑になってしまう」というもの。
こちらは「社員へのビジネスカード配布による個別管理」によって解決されたとのことです。
これによりコストマネジメントを容易にしながら、ビジネスプランではなく個人契約を利用することでコストも削減されました。
また3つ目に発生した課題として「ChatGPTをTeamプランで年間契約した際、社員全員が利用できる環境を作れたはいいものの、その利用状況が確認できない」というものがありました。
そこで、Google Workspaceに包含されている「Gemini」であれば利用状況の確認が可能なため、こちらの利用を検討するため社内に「ChatGPT or Gemini」の利用希望アンケートを実施したとのこと。
当時は機能差も激しく期待通りの結果は出ませんでしたが、現在はGeminiの機能も改善されたため、基本的にはGeminiを使用、希望者にはChatGPTを利用してもらっているそうです。
現在も課題はあるものの、最後に「今後は全社で “Bet AI”に取り組むことで文化を醸成していき、企業成長を実現していきたい。」とお話をしていただきました。
セッションを通して、近年急速に発展しているAIとコスト面でどう向き合うべきかをご紹介いただきました。AIを取り入れることが企業のトレンドとなっているこの社会で、大変参考になる事例だったのではないでしょうか?
AI時代の「セキュリティと利便性を両立させる」〜超本気で最先端の働き方基盤を提供&守る〜
Sansan株式会社
コーポレートシステム部グループマネジャー
牧野 哲也 様
Sansan株式会社
技術本部情報セキュリティ部 副部長
河村 辰也 様
Sansan株式会社様は「出会いからイノベーションを生み出す」をミッションに、名刺管理サービス「sansan」やクラウド請求書受領サービス「Bill One」といった、働き方を変えるDXサービスを提供しています。
牧野様と河村様からは、従業員が積極的にAIを活用している現状の環境を支えるため、情報システム部・情報セキュリティ部として実施している活動をお話しいただきました。
まずはAI時代において「セキュリティと利便性を両立させる」ことについてのお話がありました。
会社が大きくなるにつれて、できるだけ事故を起こさないようスピードを落とすことに力を入れがちですが、Sansan様としては「全力走行中の車が多少突っ込んでも、大きな事故にならないための強いガードレールを引いてあげる」ことを意識してルールや環境を作っているとのことです。
そして具体的な数字を用いて、日本企業ではAI導入率がまだまだ海外に劣っていることも挙げられました。
そんな中、Sansan様では社内の生成AI活用率が「99%」となっています。
これはSansan様が2025年の全社テーマとして「AIファースト」を掲げているからです。
テーマの達成に向けて、牧野様がいらっしゃる「情報システム部門」と、河村様がいらっしゃる「情報セキュリティ部門」にて”本気”で実施されている活動についてそれぞれ教えていただきました。
まず「情報システム部門の本気」で実施されていることとして、Notion AIやChatGPT、GeminiといったAI環境の早期提供が挙げられました。
また、社内活用支援として定期的な勉強会や部門ごとの活用支援を実施されています。
部内でのAI活用事例としては、ユーザからの問い合わせ対応やインフラ運用の効率化に取り組まれています。例えば、Jamf Proで使用するコードをAIで確認・作成したり、トラブル時のログをAIに確認してもらったりしているとのことです。
続いて「情報セキュリティ部門の本気」で実施されていることとして、AI前提の社内ガイドラインの制定が挙げられました。
このガイドラインを2ヶ月で策定し、生成AIを用いる際の業務上のリスクとセキュリティ上のリスクを判断する、という部署の役割分担も定義されたとのことです。
部内でのAI活用事例としては、スパゲッティコード状態の社内規定を読み込ませ知りたい条文の場所を探してもらったり、ソフトウェアの設計においてレビューが必要かどうかの仕分けをしてもらったり、といったことに取り組まれています。
最後に会社のセキュリティを最高品質にしていくために、Pマーク等の第三者認証取得や社員への教育、EDRやログ監視ツールの導入による脅威への備え等を実施しているというお話をしていただきました。
さらに全従業員に「個人情報保護士」の取得を義務付けていることで、従業員の意識の高さに繋げているといいます。
セッションを通して、企業でよりAIを活用していくにはどういった施策を実施して、どのような環境づくりが必要になってくるのかをご紹介いただきました。会社でAIを使いたいがどうやって使えばいいのかわからないと悩まれている方は、ぜひ参考にしてみてはいかがでしょうか?
ルール作りで学んだ、本当にやるべきことと諦めたこと
ドクターメイト株式会社
コーポレートデザイングループ
吉成 巧 様
ドクターメイト様は「すべての人生を右肩上がりにする」をミッションに「夜間オンコール代行」や「日中医療相談」、「オンライン精神科医療養指導」といった介護事業所向け医療サービスを提供しています。
吉成様はひとり情シスとしてジョインされ、2年あまりで社内ルールの整理やISMS取得といった情報セキュリティ体制の構築を行ってきました。その中で意識したことや学んだこと、今後の向き合い方についてお話をしていただきました。
吉成様が入社された当初は「デバイスやSaaSのライセンスが整っていない」といった課題があったようです。デバイスは都度整備品を購入し、SaaSは直販で個別購入し、セキュリティのルールはなかったとのこと。
そこで吉成様は、まず「調達の見直しとグループウェアの整理」に着手されました。
新入社員が入ってくるたびに、これまではMacBookシリーズの整備品を購入し、必要なライセンスは公式サイトから直接購入、携帯契約のために代理店と日程調整といったことを都度行っていたとのこと。
これらをすべて代理店からの調達に切り替えたことで、フローが安定したそうです。
ただ、手順が増え手配までの期間が長くなったことで柔軟性が低下したとのこと。
情シスとして売り上げに貢献できない分、どれだけコストカットするかに重きを置いていたとのことですが、この件を通して「それ以外のコストを見逃していないか」という判断軸になられたそうです。
続いて、整理されていなかった「ルールづくり」にも着手されました。
入社当初の課題として、各SaaSに存在する情報が整理整頓されていなかったことを挙げられました。情報整理において吉成様は、Kintoneのアプリ作成を申請式にしたり、Notionのコンテンツを部署ごとに整理したり、といったようにルールを決めました。
しかし「仕組みで強制されていないルールは守られないと思った方がいい」と吉成様は言います。
その中でも「生成AIガイドライン」や「Slackの外部連携ルール」といった【判断材料としてのルール】は強制力がなくとも活用されることが多いようです。
またルールを守ることを徹底させるためにはまずインフラを整えることが重要なため、その有用性は掛けられるコストにも依存するようです。
ということで、ルール作りには「ユーザ、管理者ともにお互いストレスがかからない」ということが一番大切だとお話をしていただきました。
そして、吉成様は「セキュリティ」に関しても整備をされました。
入社当初はSaaSのセキュリティ周りには手が回っておらず、機密情報も区分されていなかったようです。
そこで、SaaSの権限は必要なユーザのみに絞ったり、機密情報は中身を確認せずともわかるようラベルをつけたり、といったようにセキュリティを高めていきました。
しかし、業務と照らし合わせた権限付与はしておらず、機密情報の区分はユーザ判断のため、このままだと有効性に疑問が残る状態とのこと。
有効性を上げるため、ルールや仕組みで強度を上げていくことを現在は検討しているそうです。
こういったルールづくりを経て、当初はセキュリティに穴があったら意味がないとすべてをルール化するような姿勢でいましたが、現在は、セキュリティはすぐに完璧を目指さず、良くも悪くも楽観的になったと言います。
セッションを通して、ひとり情シスとして一から会社のルールを決める際に必要なこと、意識する必要があることをご紹介いただきました。どんなにルールを整備したとしても課題は尽きませんが、最初は完璧を目指しすぎないことが、取り組みを始める上では重要と言えるでしょう。
3社パネルディスカッション
株式会社LayerX
コーポレートエンジニアリング室 IT基盤グループ マネージャー
篠嵜 洸 様
Sansan株式会社
コーポレートシステム部グループマネジャー
牧野 哲也 様
Sansan株式会社
技術本部情報セキュリティ部 副部長
河村 辰也 様
ドクターメイト株式会社
コーポレートデザイングループ
吉成 巧 様
株式会社Too
執行役員 Apple事業開発部ゼネラルマネージャー
福田 弘徳(モデレーター)
こちらのセッションではモデレーターによる進行のもと、各セッション中にいただいた登壇者の方への質問に答えていただきました。
本レポートではいくつかの質問をピックアップしてお伝えできればと思います。同じ質問でも各会社の立場によって回答が異なり、大変興味深いセッションでした。
まずは、IT部門に50名のメンバーがいらっしゃるSansan様に対して質問がありました。
Q:IT部門に人が多いと部内の連携は難しくなったりするのか?どのように役割分担しているか教えてほしい
Sansan 牧野様から、基本的にプロジェクトベースで物事が進むため連携が難しいとは感じていないとお話しいただきました。むしろ様々な人から「〜できるようになった」「〜もできるのではないか」という話があり、会話が広がりやすいそうです。
またSansan 河村様からは、エンジニアの管理が難しい点についてお話しいただきました。元々事業ごとにエンジニアが散らばっていたため、誰が何を使って何をしているのかの管理が大変だったものの、現在は本部にまとまったことで以前よりもガバナンスが取りやすくなったそうです。
続いては、本年のIT surf seminarを通して話題に上がっていた ”AI” についての質問です。
Q:AIへの投資のきっかけは?
LayerX様では、創業当時より「Bet Technology」を掲げていたため最新技術への意識自体は以前からあったとのこと。その中でもLayerXの代表の方がApple Vision Proを発売日に購入するほど常に最新技術に注目していることの影響が大きく、あとはどれくらいコストをかけていくのかを重要視していると言います。
Sansan様では、2024年中盤から後半にかけて経営陣が業界の人と会話していく中で「AIを使いこなしていかなければ」という危機感が高まったことがきっかけとなったそうです。
ドクターメイト様では、社内のプロダクト開発の方々のAIに対する感度が高いらしく、それに感化されて代表の方も積極的にAIを使用しているとのこと。AIの活用については声を大にして発信しているそうで、セキュリティへの活用も検討しているそうです。
次に、情シスならではのインフラ整備に関する質問がありました。
Q:ネットワーク環境への投資において、非営利部門がコストを投下することへの社内の反発はあったか?
まずSansan様では、社員の方々からネットワークの整備に関する要望が多かったとのこと。リモートワークが増加しているため、経営陣からも直々に依頼があったことでやりやすかったそうです。コストが市場で最安であることを証明できることが大事なのだと言います。
LayerX様でも反発はなかったとのこと。営業職もオンライン会議を実施することが多いらしく、ネットワーク環境が家よりも悪ければ会社に人は来ないと言います。AIツールはもちろんのこと、オンライン会議も直接利益につながるため投資しない判断にはならないそうです。
ドクターメイト様では今後移転を予定しており、ネットワーク構築を検討しています。現状NASはなく、データはすべてクラウド上に存在しているため、ネットワークは業務における肝となっているとのこと。そのため、Tooのネットワーク構築サービスをご検討中とのコメントをいただきました。
最後に、ルール作りについての質問もいただきました。
Q:社員のセキュリティ意識が低いため、小さなインシデントが多発し機能を制限せざるを得ない。日常業務で手一杯な中、どのように全社を巻き込んでルール作りや認証取得を進めたのか?
まず、ひとり情シスとして基盤から作り上げてきたドクターメイト様では、ISMSを取得しています。ISMS自体は取るか取らないかくらいのレベルではあるが、まずはいかに経営陣の承認を取るか、納得感を踏まえた上でのルールづくりが必要とのことです。
続いて、Sansan様では従業員全員に「個人情報保護士」の資格を所持させることで、意識を高めることを徹底しているそうです。
そしてLayerX様では、入社初日にセキュリティに関する研修を行なっているそうです。何かあった際に急にルールは変えられないため、日頃から発信しておくことが負荷を下げることにも繋がると言います。
各社がどのようにユーザと向き合っており、情シスとして企業成長を考えているかを伺うことができるセッションでした。
特に、非営利部門によるコスト投下に当たっては「実施している内容自体(ネットワーク構築等)が結果的に利益につながるため、投資しない判断にはならない」という言葉が印象的です。
イベントアーカイブの閲覧をご希望の方へ
今回のセッションは、いずれもアーカイブにて視聴することができます。 期間限定となりますので、ご希望の方はこちらからお早めにお申し込みください。