気づいたら経営企画をやっていたスタートアップのインハウス弁護士が情報処理安全確保支援士を受けてみた

「10Xの中の人、中のこと。」シリーズでは、10Xの各メンバーが社内の業務や組織、イベントなどについて自由にリアルに執筆していきます！
今回は、コーポレート本部/Legalの西村俊輝が担当します。

I. はじまり

10Xの法務担当でインハウス弁護士の西村俊輝です。
タイトルを見て、「弁護士が、なぜIT系の資格を？」「しかも、気づいたら経営企画まで？」—そう思われた方もいらっしゃるかもしれません。
私もまさか、数年前に自分が法務・コンプライアンスの領域を飛び出し、経営企画の一員として戦略策定に関わり、さらにサイバーセキュリティのプロフェッショナル資格である「情報処理安全確保支援士（登録セキスペ）」に挑戦することになるとは想像していませんでした。
現在、私は法務の担当者としてだけでなく、経営企画チームの一員として、また、セキュリティに関するリスク管理の業務にもあたっています。
本記事では、一人のインハウス弁護士が、専門領域を越境し、技術的な知識武装の必要性を痛感したストーリーと、それがどのようにスタートアップの成長に貢献できるのかをご紹介します。

II. なぜ弁護士が「経営企画」と「セキュリティ」に手を出すことになったのか

法律の専門家である弁護士の仕事は、契約書のレビュー、法規制のチェック、トラブル対応などが主軸です。しかし、スタートアップというスピード感が命の現場では、求められる役割が急速に拡大しました。

１. 「気づいたら経営企画」のリアル

元々10Xにおいては、プラットフォームであること、BtoBtoCのビジネスモデルであることから、データ周りやパートナー（Stailer利用企業）との契約交渉など、事業の戦略や成長に法的な考慮が重要であり、そのため、BizDevや、データやセキュリティ周りのエンジニアと一緒に仕事する場面は多くありました。また、自分が法律事務所からスタートアップのインハウスに転身したのも、より事業に近い立場で自分の役割とその効果を直接実感したいという動機によるものであり、できるだけ積極的に案件の事業上の重要性やリリースする各種機能の効果や実装に関心を持つようにしていました。
そんな中、会社が立て直しを図るにあたって、経営陣とともに戦略運営を構築した経営企画メンバーとCFOから声をかけられ、戦略とそれに紐付く作戦の運営に携わることになりました。当初はサポート的な関わり方でしたが、徐々に関わりが増えていき、リスクをコントロールしながら事業を成長させるための戦略策定という、新たなボールを拾うことになりました。

10Xの戦略・作戦の運営は、半期末に、経営メンバーで戦略を策定し、戦略に紐付く半期ごとの作戦として、具体的な達成項目とリーダー・関与メンバーを選定します。その上で、毎週の進捗状況をトラッキングし、リソースのコンフリクトや関与する第三者の進捗不足などの支障があればその解消のための議論を行います。
この運営において、私は、半期末の戦略・作戦策定議論のファシリテーション、毎週のトラッキングのMTGの司会運営を行っています。
慣れない分野で右往左往することも多かったですが、同時に、法務として社内のメンバーと多く関わっていたことや、法務であっても外部弁護士と異なり社内弁護士として自分のスタンスをとる経験を重ねてきたことが、会社や事業の全体像の把握、コンフリクトやボトルネックの発見・理解、社内メンバーの意思決定のサポートに役立つことも実感しています。

（経営企画からの経緯で、全社員がオフィスに集まる全社出社日の運営や司会をやることも）

２. 法務では解決できないセキュリティの課題

経営企画で全体戦略に関わるようになる以前から、情報セキュリティには関わっていました。
法律では、個人情報保護法や各種業界規制などで「適切な安全管理措置を講じること」が求められます。しかし、実際の現場では、「適切な」が何を意味するのかを巡って、法務とエンジニアリング部門の間で悩みを共有する場面が多くあります。

例えば、Stailerネットスーパーは小売ECプラットフォームとして多くのスーパーマーケット事業者にご利用頂くことを前提としていますが、エンドユーザーであるお客様がStailer・10Xという固有名詞を認識されることは稀であり、効果的なデータ利用と適切なデータ管理との両立に悩む場面があります。
このようなケースに会社として適切な対応かどうかを判断するためには、法律の知識だけでは不十分で、技術的な構造とリスク評価手法を理解する必要があります。法律を振りかざすだけでなく、技術的な面の最低限の理解、もっというと技術的に理解しようとする姿勢をエンジニアメンバーに認識してもらうことも必要だと考えたのです。

III. 情報処理安全確保支援士の勉強は「法務の常識」をどう変えたか

技術と法務の融合を目指すため、私が選んだのが「情報処理安全確保支援士」への挑戦でした。これは、サイバーセキュリティ分野における高度な知識・技能を証明する国家資格です。

１. 勉強を通じて得られた「意外な発見」

勉強を始めて驚いたのは、法律で定める抽象的な「安全管理措置」の規定が、セキュリティ技術の世界では具体的かつ論理的な「設計原則」として確立されていることでした。
特に、暗号技術、ネットワーク構造、リスクアセスメントの手法などを学ぶ過程で、なぜサーバ証明書の定期的な更新が必要なのか、セキュリティをただ高めることは可用性等を下げるというデメリットも当然あること、論理的・技術的な理解は当然必要としつつも結局組織的な対応や教育も重要であること、など、日々の業務で漠然とした理解で関わっていた事柄の重要性を実感しました。

２. 苦闘と、実務への効果

もっとも、実際に勉強を進めるのはなかなか大変ではありました。仕事はもちろん、仕事の後は妻と分担はしつつも２人の子どものお迎えから寝かしつけまでやると、勉強時間の捻出に苦労しました。内容としても、今までITパスポート程度の知識しかなかったこともあり、数々の英語略語を理解して記憶するのに、何度も同じ略語を検索しては、記憶力・理解の低さを思い知る日々で、過去問を解いてもなかなか正答率も上がりませんでした。また、筆記の午後の問題対策は、勉強の効率と本質的な理解とのバランスの取り方がなかなか分からず、苦労しました。

しかし、この苦闘を経て得た理解や知識が、徐々に実務に活かされるようになりました。
以前は、セキュリティチームやデータエンジニアとのMTGで分かったような顔をして聞いていた内容を、現在では、ある程度の土地勘を持って、どこが自分が分からないところかが分かるようになってきました。ISMSやPマークの運用に関しても、セキュリティに関する原則の理解をベースに、現実的な対応策の選択結果について、背景を含めた理解ができるようにだんだんとなってきている実感があります。元々の地盤（自分の本来の専門）である法律を単なる「チェックリスト」として使うのではなく、リスクを低減する「設計図」として理解できるようになってきたのです。

（一番使った超基礎テキストと、全然ままならなかった勉強計画）

IV. キャリアを「掛け合わせる」：スタートアップの成長を加速させる法務の進化

経営企画の一員として活動し始め、また情報処理安全確保支援士の学習をするようになったことで、私の仕事は進化しました。

１. 「未来の炎上」を未然に防ぐインハウス弁護士へ

従来の法務の役割は、何か問題が起こった後の「消火活動」という面もありました。しかし、法務はもちろんのこと、経営企画・セキュリティという三つの視点を持つことで、「将来起こりうる炎上」を事業やプロジェクトの初期段階で予測し、法務・技術の両面から設計段階でリスクを認識しチームで対処できるようになりました。
この「先回りしたリスク管理」こそが、スピードを重視するスタートアップの成長を止めない、最も価値のある貢献だと確信しています。
例えば、新規プロダクトのリリースを契機に、従前は契約書で締結していた契約を、利用規約を用いた契約締結に切替えることで、プラットフォームとしての契約内容の統一性を維持し、新規獲得のハードルを下げるという場面においても、データ管理やセキュリティのメンバーと連携しながら、適切なアカウント管理やデータ利用についての文言を取り入れることができました。
また、CRMの機能をパートナーに提供しつつ、他方で、仮名加工情報を用いてデータ管理・分析の安全性を高める取組みにおいても、ハッシュ化等の仮名加工化の技術的な理解を得ることで、より社内メンバーやパートナーへ納得しやすい案内・説明ができるということもありました。

２. 専門性を「越境」する価値

私のキャリアは、特定の専門性を突き詰めるだけでなく、専門性同士を「掛け合わせる」ことで、新たな価値を生み出すことにチャレンジしているといえるかもしれません。
特に、技術の進化が著しいスタートアップにおいては、法務であれ、エンジニアであれ、隣接する領域への理解を深めることが、自身のキャリアを広げ、そして所属する企業を強くする鍵となります。
これからも、法務、経営、そしてセキュリティの知見を融合させ、当社の飛躍に貢献していけるように研鑽を積みたいと思っています。

10Xでは一緒に働くメンバーを募集中です！

10Xでは未来をより良くする事業・組織のために、仲間を募集しています。
詳細はこちらをご覧ください。

• 10X 募集職種一覧
• カジュアル面談