デジタル人材の育成

  1. トップページ
  2. デジタル人材の育成
  3. 情報処理安全確保支援士(登録セキスペ)
  4. 活用事例(インタビュー・動画)
  5. 活用企業・組織のインタビュー
  6. 株式会社SmartHR インタビュー
  7. 株式会社SmartHR 海老原 瑞希様 インタビュー

株式会社SmartHR 海老原 瑞希様 インタビュー

公開日:2026年3月19日

株式会社SmartHR 海老原 瑞希様

  • 株式会社SmartHR 海老原 瑞希様

登録セキスペインタビュー

Q SmartHR のセキュリティ統括での役割と目標を教えてください。

海老原 瑞希様

SmartHRのセキュリティ統括として、情報セキュリティのガバナンス構築と運用を担っています。 具体的には、ISMS(ISO/IEC 27001)やSOC2 Type2などの外部認証・監査対応、従業員向けのセキュリティ啓発活動や研修の企画・実施、そして社内・顧客からのセキュリティに関する問い合わせ対応が主な業務です。
人事情報は、本人の生活や家族にも直結する機微なデータであり、漏えいや誤用が起きたときの影響が大きいと捉えています。そのためルールだから守るではなく、その人の人生に影響しうるものを預かっているという前提で判断することを大切にしています。
目標は、仕組み・運用・対話を揃えて、安心して働ける環境を組織として維持し続けることです。安全性を運用の都合で妥協しない一方で、現場の負荷が過度に増えないよう、手順の整備や仕組み化を進めています。

Q 従業員向けのセキュリティ啓発や研修では、どんな課題があり、どのように改善してきましたか?

海老原 瑞希様

従業員向けの啓発・研修で大きな課題は、「知っている」と「実際にできる」のあいだにギャップが生まれやすいことです。ヒューマンエラーは再発しやすく、忙しい現場では迷ったときに自己判断で進めてしまうリスクもあると感じています。
そのため、研修を“強制参加のイベント”で終わらせず、日々の業務の中で迷いが減る状態をつくることを重視しています。具体的には、オンボーディングでの基礎研修に加え、半期ごとの定期研修では浸透度の低い社内規程の解像度を上げる取り組みを行っています。また、よくある質問については標準回答を整備し、関連ドキュメントを継続的に更新する運用も回しています。
さらに、迷ったときにすぐ相談できる導線を用意し、判断に迷わない“拠り所”を常に持てる状態を維持することが、最終的には従業員の行動変容につながると考えています。

Q 人事SaaSのセキュリティインシデント対応で、日頃準備しているポイントを教えてください。

まず重視しているのは、技術的な切り分けだけでなく、事実をベースとした関係者との情報の整理です。そのために、影響範囲の調査や証跡の確保、調査・封じ込め・報告の意思決定点について、いつ・誰が・何を判断するかまで平時に落としておくことが重要です。これにより、特定の個人に依存せず、チーム全体で一貫した対応ができる体制を構築しています。
また、当社は人事SaaSをユーザー企業に提供していますので、インシデントの際にはユーザー企業に状況を通知する必要があります。ユーザー企業に伝えるべきことを事前に整理しておくことが、混乱や二次被害の抑止につながると考えています。
印象的な学びとしては、起きてから動き出すよりも、起きたときに迷わないための徹底的な準備が、結果として対応スピードと説明責任の両立に直結するという点です。

Q 顧客や社内からのセキュリティ相談には、どのように対応していますか?

セキュリティ関連の問い合わせには、専用の窓口を設けて対応しています。私たちが最も重視しているのは、回答の正確さと一貫性です。誤った情報や担当者によるブレは、お客さまにも社内にも不安を与えてしまうため、よくある質問には標準回答を用意し、前提条件や例外、追加確認が必要なケースを適切に切り分けられる仕組みを整えています。
また運用面では、他部署からの相談には伴走しながら課題を整理し、標準対応の範囲を超える内容については、関係者へ適切にエスカレーションして、回答の品質とスピードの両立を図っています。
そして、誰でも気軽に相談できる問い合わせ導線を整えておくことが、結果的に大きな安心感につながると考えています。

Q ISMS や SOC2 Type2 など外部認証・監査対応では、どんな点を重視されているのか教えてください。

外部認証や監査への対応では、監査のためだけの作業に終始するのではなく、継続的な改善につながる運用にすることを重視しています。SaaS企業である以上、日々の業務で生まれる証跡を後から集めるのではなく、自然に残り、常に追跡可能で、必要なときにすぐ提示できる状態にしておくことが欠かせません。
そのため、運用手順やチェックの仕組みを整え、監査で求められる・プロセスの再現性・証跡の保持・例外の管理といった観点を、平時から満たせる運用として定着させています。
結果として、監査対応そのものが目的ではなく、信頼性と透明性を維持するための日常運用として循環する状態を目指しています。

Q 監査の仕組みを“継続的改善サイクル”に乗せるための工夫はありますか?

監査結果を活かして“継続的改善サイクル”に乗せるためには、まず再発防止に向けた取り組みを各部署と話し合い、改善方針を合意することが重要だと考えています。監査で指摘いただいた点について、どう改善するかを一緒に決め、その後の実行状況もレビューする仕組みを設けています。
良い取り組みをしている部署を紹介し、優れた事例を全社で共有する文化も根づいてきています。「真似してください」と強制するわけではありませんが、自然と部署間で刺激し合い、お互いを高め合う空気ができているのは大きいと思います。
こうした取り組みの積み重ねによって、監査が単なる点検ではなく、組織全体で改善を続けるためのサイクルとして機能していると感じています。

Q 登録セキスペとして、SmartHRでどのように価値を発揮していきたいと考えていますか?

登録セキスペとしては、最新の脅威動向や攻撃手法をキャッチアップし続けることで、SmartHRが直面しうるリスクを早期に察知し、対策の優先度判断や社内への情報共有に活かしたいと考えています。 脅威は日々変化するため、学んだ知識を現場の文脈に落とし込み、プロダクトやガバナンスに反映できる形で提供することに貢献したいです。
全社としてセキュリティを「安心して働ける前提」として感じてもらえるよう、今後も仕組み・運用・対話を揃えていきたいです。

Q 登録セキスペ資格者が増えたとき、SmartHR全体にどんな効果が生まれると考えていますか?

登録資格者が増えることで期待しているのは、まずセキュリティの知識や判断基準、対応の考え方が全社に広がることです。専門的な内容でも、どれだけ“噛み砕いて伝えられるか”が重要だと感じています。また、最新の脅威や実際に起きた事例を共有することで、日頃からセキュリティを自分ごととして捉えてもらえるようになります。
研修だから“やらされている”のではなく、
「うちの会社は、このようなところまで本気でセキュリティに取り組んでいるんだ」
と社員一人ひとりが実感できる状態を作りたいんです。そうした理解や熱量が全社に広がれば、安心して業務に向き合える“前提条件としてのセキュリティ”がより一層整っていくはずです。その基盤づくりをリードすることこそ、登録セキスペの大きな役割だと考えています。

関連リンク