Interview/

Narimatsu Ryo

ーー自己紹介をお願いします。
2008年に当時のNHN Japanに入社して、それ以降ずっと情報セキュリティの担当をしています。今は情報セキュリティ室の室長をしていて、入社したころに比べると人数も10倍以上に増えていますが、これから紹介するような実務を何でもやってましたし、今でもメンバーと一緒に何でもやってますね(笑)。
ーー情報セキュリティの組織や役割を教えて下さい。
私が室長としてみている情報セキュリティ室の役割をざっくりいうと、会社や事業、そしてユーザーに関する情報を適切に守り扱うことです。あらゆるセキュリティリスクを軽減し、個人情報やプライバシーに関するルール作りや事業支援、会社の情報資産の保護・有効活用などに4つのチームがそれぞれの役割で取り組んでいます。

まず、事業に関する情報や個人情報など会社の全ての情報資産を総合的に守る仕組みづくりと実行業務をしている社内セキュリティチーム。例えばソースコードとか社員が使うPCの取り扱いなども対象ですし、そういった点の社内教育もしています。企業として守るべき情報がちゃんと守れているかということを見ていて、ISMSやSOC2・SOC3などの取得に向けての取り組みや、ときには国内外の子会社や業務委託先の情報管理監査なども担当領域です。

次に、プライバシー戦略チーム。このチームは最適なプライバシーポリシーを検討したり、国内外の法令を調査したり、政府や関連団体や有識者とコミュニケーションするなどして、会社自体やその取り組みが様々な観点から見て問題ないかを考えて逸脱しないように、LINE社内における個人情報・プライバシーに関する基準づくりしています。最近だとGDPRへの会社としての対応だったり、日本だけではなく海外オフィスの所在国の法令や世界的なルール・トレンドも踏まえて基準を作る必要があります。また、プライバシーに関する対外的な情報発信活動もこのチームが担当しています。透明性レポートなど、LINEが情報をどのように取り扱っているのかを適切に公開・発信して信頼を得ていくための活動です。

そして、LINEの様々なサービスの情報管理を担当しているのがPrivacy Impact Assessmentチームです。LINEアプリの中にも様々な機能がありますし、ゲームやエンタメ、金融、O2O、広告などLINEが行う様々な事業・サービスにおいて、それぞれが適切な範囲でユーザー情報を取り扱い利活用するためのガイドとアセスメントを行っています。新しい事業・サービスが立ち上がるときには企画段階から入って、どんな情報が必要でどう管理しどう使われるか、そのためにはユーザーにどのような告知を行い同意を取るべきなのかなどをそれぞれケアしています。大事なのは必要ない情報は取得しないこと、取得活用するだけではなく適切に消すこと、取得から消去までのサイクルを適切にするのが役割。特に事業・サービスを作っている人たちは、ユーザーの情報を活用して利用や売上を伸ばすための何かをしたいという思いが強い。なので企画段階では色んな情報を取って使いたいというものもあるのですが、法令や慣習としてダメなことはもちろん、ユーザー視点で気持ち悪いという機能や企画もあります。そういうものを、これはダメです、これはやっても良いけどこの内容をユーザーに明示して同意してもらう必要があるとか、要望を聞きつつコンサルティングしていく仕事です。

最後に、2019年の9月に発足したばかりのプライバシーエンジニアリングチーム。社内にセキュリティ開発を担う部門はあるのですが、情報セキュリティの役割においてどうしても技術的な知識がなければフォローできない部分があるので、そこをサポートするためのチームです。

一般的な会社だと、情報システムや総務や法務の部門に我々のような役割が紐付いていることが多いのですが、LINEでは情報セキュリティという軸で一つの組織に集まっています。個人情報を保護するという観点には、法的知識も技術への理解もオペレーション設計や社員教育的な要素も必要です。これは、会社としても個人情報への扱いに力を入れている現れでもあります。一つの組織になっていることで、連携もしっかりできて様々なケースを包括的サポートすることができます。
ーー今そして今後の課題はなんでしょう?
これまでもそうですが、まずは情報を安全に正しく取り扱う環境の実現を徹底すること。情報セキュリティという観点で会社や事業に貢献すること。そして、ユーザーにもあらゆるステークホルダーにも、LINEが情報管理をしっかりできていることを認知してもらい信頼してもらうことです。

情報を取り扱う環境という部分では、部署の紹介としてお話しした先ほどの内容を着実にかつより高度にやっていくことが課題です。社員も組織もサービスも、あらゆる面で大きくなってきている会社ですし、金融のようなよりセンシティブな事業領域や情報の取り扱いも増えてきています。これまでが甘かったということはありませんが、より意識を強く持つことをチーム内にも全ての社員にも求めていかなければなりません。

2つめの貢献という観点も重要です。極端な話個人情報を全く持たなければ個人情報の管理もルールも必要ないですが、事業やサービスは成り立ちません。事故や不備がないことはとても大事ですが、適切な取り扱い方で情報を活用して事業やサービスを育てていかないといけない。会社としてもデータを活用したサービスづくりやマーケティングなどにも力を入れていますし、正しい使い方をサポートしていかないといけない立場です。しっかりと守りを固めることを万全にしつつ、攻める部分への貢献も意識していきたいと思っています。これは今現在も課題ですし、今後さらに様々な事業で様々なデータニーズが出てくるであろうことを想定すると、特に注力していかないといけない部分ですね。

僕らが守るべきはすべてのステークホルダーに対してのものです。ユーザーの個人情報や事業の情報、何か不祥事があれば株主にも影響があります。逆に言えば、ユーザーが納得する形で情報が活用できた良いサービスがあれば、もちろん事業としても伸びますし、社員にも株主にも良い還元ができると思っています。絶対的に守るという部分が大きいのは事実ですが、もっと貢献できる幅を組織としても増やしていきたいです。

最後に、認知してもらうという点です。LINEには様々な属性のユーザーがいますし、クライアント企業やパートナー、もちろん株主や従業員など多くのステークホルダーがいます。そのステークホルダーに安心して関わってもらうには、会社やサービス自体がしっかりとすることもですが、安心安全をアピールしていく必要があります。個人情報管理や透明性を保つための活動など、LINEは情報セキュリティの領域で国内でも有数の取り組みをしていますし、むしろ臆病なくらい情報管理への意識は高いです。まだまだ我々が取り組んでいることをしっかり理解いただけているという環境ではないので、このあたりは改善していきたいポイントです。
ーー情報セキュリティの仕事に必要な素養やスキル、志向性などはありますか?
業務スキルとヒューマンスキルがあって、まず業務スキルだと一つは法律的な部分。例えば法学部で個人情報保護やGDPRを勉強してましたとか、どういうものを守るのが大切なのかなど知識を持って法的思考ができる人。プロセスやルール作りができる人ですね。もしくは、技術的な知識や経験があって、そういう視点からセキュリティに興味を持っている人、情報工学やサイバーセキュリティの専門学校などで学ばれた人。最初に触れた社内セキュリティチームやプライバシーエンジニアリングチームで働くような方ですね。

もちろん法的にも技術的にも知識があるみたいな人がいれば嬉しいのですが、中途採用でもなかなか難しい要件です。なので、どちらかの知識やスキルを持っていればそれを伸ばすことはもちろんですが、もう片方の領域については働きながら身につけていけるように我々がサポートしていきたいと考えています。

あと、色んなものにポジティブあることも必要だと思います。色々なオーダーが来る中で、相談に来る人の話や案件に前向きに接することができるかどうか。相談を受けて、セキュリティ的にはNGですとバッサリ切ってしまっても何も進まない。どうしたら実現できるかを話さないと会社としてのメリットにならない。セキュリティやプライバシーのプロであることは大事なのですが、問題解決するためにということを忘れてはいけませんね。
ーーLINEで情報セキュリティ担当として働くやりがいは何でしょうか。
LINEならではという話だと、この規模の個人情報を扱っている国内の会社はないです。非常に影響の大きいところに携わっていて、例えばプライバシーポリシーを作ったとしてそれが数千万とか海外も考えると億を超えるユーザーの目に触れ読まれて同意されるみたいな経験は他ではできない。一つ間違えば社会問題になるような責任感もありますが、それはやりがいでもあると思います。

話は変わるのですが、私はこの会社10年以上在籍しているんですけど、ゲームをやって検索をやって金融やってという様々なチャレンジを見てきました。同じ会社にいながら色んな業態の色んな事業に携われ、その中には世の中に参考になるような前例のないような事業もたくさんありました。これは今でも新しい分野にどんどん取り組んでいる会社なので、今後入社される方にとってもやりがいになりと思いますし、情報セキュリティという専門特価領域で働く立場として知識や経験の幅ができます。10年いるけど、新しいことだらけで良くも悪くも困惑する日々です(笑)。基礎となる知識や法律などはありますが、10年やっていても常に新しい判断と応用が求められ続けている環境です。

ルーティンワークを極めていきたいという方よりも、常にやったことないことを自分のスキルや経験を活かして解決していきたいという方のほうが、向いている会社だと思います。
ーー最後に学生の皆さんにメッセージを。
情報セキュリティは職種としては比較的新しいですが、本当にこれからニーズが広がってくる分野です。弁護士資格の有資格者であるプライバシーカウンセルも何人か働いていますし、セキュリティ業界、コンサルティング業界、ユーザー企業など様々なバックグラウンドを持つ経験豊富な先輩に囲まれて仕事をすることができます。

セキュリティやプライバシーなどに関心に興味があって、100%の正解がない環境が楽しそうと思える方にはぜひチャレンジしてほしいですね。情報セキュリティの分野において、LINEの環境は本当に最先端で量も質もグローバルに展開している、そういうチャレンジングな環境を楽しめる人。確実にスキルや経験は身につきますので、この分野に強い意欲や興味を持てる人がいれば、ぜひ話だけでも聞きに来ていただけると嬉しいですね。