安全・安心なNo.1フィンテック企業を目指して CISOが語る

PayPayリーダーインタビューは、PayPayトップの人柄や考え方をシリーズでご紹介しています。今回ご紹介するのは、法務リスク統括本部 リスク・セキュリティ本部 本部長の加藤 誠さんです。

決済インフラとしてサービスの安全性を担保する

CISOとしてPayPayへ参画するまでの経緯を教えてください

ヤフー時代に決済関連のシステム開発の部長を担当した後、コード決済サービス（ヤフー！マネー）の立ち上げに携わりました。その後YJFX!のCISOとしての経験を重ねる中で、金融業界におけるセキュリティの重要性を強く感じました。その後、PayPayの立ち上げに参画しました。

金融業界だけの話では無いですが、一度の情報漏洩等の失敗が事業に大きな影響をもたらすことから、非常に重い責任を伴います。継続的に安全性を保つため、常に起こりうるリスクを管理し改善していくのは簡単なことではありませんが、同時にこの仕事にやりがいを感じています。

リスク・セキュリティ本部はどのような役割を担っていますか？

情報セキュリティと、BCP活動を含むリスク管理全般の領域を担当しています。ミッションはリスクの影響度を正確に把握し、事前に対策を図ることで危機の発生を回避し、リスクを低減することです。特に大規模な情報漏洩やシステム障害などが発生してしまった場合には、事業の存続に甚大な影響を与えるため、これらの未然防止が最重要課題です。

CISOとCIOの協力体制について教えてください。

CIOは「Chief Information Officer」の頭文字をとったもので、最高情報責任者を意味します。CIOは情報セキュリティ対策だけでなく、社内システムの企画・構築・運用・管理など、システム全般を管理し、３ラインモデルの１線としての役割を担います。
CISOは情報セキュリティの最高責任者であり、３ラインモデルの２線であり、牽制・モニタリングの役割を担います。

両者の役割がかぶる部分もありますが、密接に連携し、各システムのセキュリティ要件を設計し、それを基にシステム構築が進められます。そして完成したシステムについても、情報セキュリティの観点から私たち2線部門による継続的なモニタリングが行われます。

より多様化するリスクに備えるために

創業期からこれまで、リスク・セキュリティ本部の組織はどのように変わってきましたか？

PayPayは5,800万以上のユーザーを抱えるフィンテックサービスとして、ビジネスの拡大に伴い、セキュリティだけでなく、リスク管理全般、AML（マネー・ロンダリング対策）、不正対策、プライバシー管理、データガバナンスなど、あらゆる側面の態勢を強化してきました。経験豊富なメンバーを迎え入れ、組織も拡大し、現在では同分野の他社と比較しても見劣りしない態勢になっていると思います。

今後も更なるサービス展開が予定されており、給与デジタル払いのようにユーザーのお給料を預かるサービスも含まれます。ビジネス拡大に伴い、リスクも多様化してきており、我々２線部門の責任も一層重くなります。この変化にPayPayのスピード感で対応するべく、より態勢を強化し、レベルアップしていく考えです。

変化する環境にスピーディに対応する上で、組織全体で意識していることは？

現状に満足せずに、リスクに対する想像力を持ち、進化し続けることです。悪意をもった攻撃者は日々、攻撃手法を進化させてきます。我々の対策が、ある地点で止まってしまったら、簡単に攻略されてしまうでしょう。「今まで大丈夫だったから大丈夫」と考えるのではなく、万が一の事態がいつ発生するか分からないという認識を前提として持ち、「明日何が起きても大丈夫なように備える」ことに尽きると思っています。

ただ、全ての万が一に備えると膨大なコストがかかってしまうので、リスク管理とコストのバランス感覚が重要です。このバランス感覚こそが、私たちPayPayの2線部門の生命線です。

今直面している課題はどんなことですか？

スピード感とリスク管理強化の両立です。一般的な金融機関では、新しい企画やプロジェクトには企画化から承認、予算策定、それから外部ベンダーに発注・・などの工程に時間がかかることがあります。PayPayではグローバルから採用している優秀なエンジニアによる内製化によってスピードと効率を高めることができていました。

しかし設立後数年でサービスも多様化し、組織も大きく拡大してきたからこそ、スピードと革新性を保つことの難易度が、これまでよりも高くなってきました。今後もユーザ数の拡大に伴い、更に攻撃者から狙われやすくなるリスクを意識し、スピードを失わずに、統制の強化を図っていきたいと考えています。

大変な状況を経験することで、成長できる

リスク・セキュリティ本部のリーダーとして、メンバーの成長において大切にしていることはありますか？

メンバーに任せることと、自ら手を動かすバランスを重視しています。自分が過度に介入すると、チームメンバーの成長機会を奪ってしまう可能性がある一方で、重要な案件においては迅速で的確な意思決定が必要です。状況に応じて判断し、適切なバランスを保つことを意識しています。

また、困難な状況こそが、他では得られない貴重な経験であり、成長の機会であると捉えています。個人的にPayPay立ち上げからこれまで、過去の経験ではないほどの多くの大変な経験をしてきました(笑)。ただ、「大変」という言葉には、単にネガティブな意味だけでなく、「大きな変化」という意味も含まれていると思っていて。チームメンバーも、それぞれの成長段階における「大変」を乗り越えることで成長していくと思っています。ひとつ乗り越えた先にはまた次々と新たな「大変」が現れるかもしれませんが、それらをクリアしていくことで、更なる成長が待っていると思います。

加藤さんのモチベーションはどういうところにありますか？

PayPayで大変な経験を積み、サービスの拡大と共に成長していくことです。立ち上げから数年が経つころには少し安定して落ち着くかなと思っていたのですが、なかなかその状況には至っていません(笑)。新しい取り組みや大きな目標がまだまだあります。最近の例では、PayPayカードの子会社化により、グループガバナンス強化なども考慮しなければなりません。こういった新たな取り組みは、困難さを感じつつも、やりがいもあると思っています。

今後PayPayで成し遂げていきたいこと、ビジョンやミッション、理想を教えてください。

安心・安全な日本のNo.1フィンテック企業として認知されることです。ありがたいことに多くの方に利用されるサービスになりましたが、その分攻撃者などに狙われるリスクも増大しています。PayPayがお預かりしている情報を安全に管理し、決済基盤としてシステム障害などの重大な問題を回避し、それを継続していく、その結果として安心で安全なブランドとしての認知を築くことを目指しています。

最後に読者へメッセージをお願いします！

PayPayでは立ち上げから多くの挑戦と成長を経験してきましたが、今後もサービスを幅広く展開していく上で、変化と進化を続けることが不可欠です。成長に意欲があり、変化を楽しむことができる方は活躍できる環境かと思いますので、ぜひ一緒にPayPayでNo.1フィンテック企業を目指していきましょう。

※募集状況、社員の所属等は取材当時のものです。