すべてのはじまりは「メルペイ誕生」だった──メルカリグループのITRisk体制の変遷と、#今メルカリが一緒に働きたい仲間

求人情報には、必須・歓迎条件、求める人材像が記載されていますが、もう少しくわしく言うとどんな人？そこで誕生したのが、“仲間募集中”なチームに根掘り葉掘り質問していくシリーズ企画「#今メルカリが一緒に働きたい仲間」！

今回登場するのは、システムリスク管理を行うITRiskチーム！メルカリグループでは情報セキュリティやサイバーセキュリティなどの統括を行う部門がメルカリにあり、そこから紐づくかたちでメルペイ・メルコインのITRiskチームが存在しています。

さっそく話を聞いてみると、そもそもITRiskがグループ連携型になったきっかけは「メルペイITRiskチーム発足」にあったといいます。一体どういうこと？メルペイITRiskチームの斉藤祐紀（@yukis）とメルコインITRiskチームの阿部光一朗（@koiabe）、CISOの曾川景介（@sowawa）にくわしく話してもらいました。

メルカリでのシステムリスク管理は「メルペイがきっかけ」

ー最初に、メルカリグループでのシステムリスク管理の歴史を紐解いてみたいのですが？

@yukis：実はメルペイ誕生以前まではなかったものです。むしろ、メルペイがきっかけで誕生した体制でもあるんですよ。

斉藤祐紀（@yukis）

ーなんと！

@yukis：今までのメルカリではLegalチームやSecurityチーム、SREチームなどが連携することでお客さまの安心・安全を守ってきました。しかし、金融事業としてメルペイが誕生し、QRコード決済や資金移動業などを行うことになった。そうなると「金融事業としてのシステムリスク管理」が求められます。金融インフラとして万が一がないように…と最初に発足したのがメルペイITRiskチームでした。

しかし、メルペイはメルカリアプリの中にあるサービス。メルペイだけを管理すればいいわけじゃない。そう考えると、メルカリグループ全体でも金融機関として求められるシステムリスク管理を目指すべきなんですよね。その流れもあり、ITRiskチームごとメルカリへ組み込まれることになりました。

ーそして、@sowawaさんはCISOとしてセキュリティ統括をしていますよね？

@sowawa：ですね。むしろ、私が言い出したことで誕生した体制でもあるので（笑）。

曾川景介（@sowawa）

@sowawa：@yukisさんが話しているとおり、ITRiskチームごとメルカリへ移管すれば事業をメルカリ全体を俯瞰できる。一方で、開発サイドと少し距離ができてしまうため間接的になりがちなところは課題ですが…。ゆくゆくはメルペイ・メルコインそれぞれで現場やプロダクトのことがわかるメンバーをマネジメント、またはVPに採用しようと考えています。

ーでは、体制としてまだまだ試行錯誤中？

@sowawa：正直に言ってしまうとそうです！まさに発展途上の状態です。

@yukis：正直すぎる（笑）。でも、私は今の状況をポジティブに受け取ってます。縦割りに縛られず、全体を見ながらITRiskチームとしてできることを考え、動くことができるので。

「安定してお客さまへサービスを届ける義務」を果たす

ーITRiskチームの仕事は、システムリスク管理の方針策定や体制設計、評価・モニタリング、内外の監査・検査対応などがあります。@koiabeさんは前職の金融機関でも近しい仕事をしていたと聞きましたが？

@koiabe：ですね。しかし、ITRiskチームのような部署は、他社にはあまり存在していない印象です。どちらかというと、多くの企業ではシステム管理とリスク管理が分かれています。

事業全体のリスク管理をする意味では、私たちはシステム・リスクの両方を知っていなくちゃいけない。だから、幅広い知識が求められる。そこが分裂してしまうと、リスク管理側がシステム管理側の言いなりになるようなケースもあったりします。その点、メルコインは専門部署としてITRiskチームを設けています。これはシステム・リスク両方の知識を持ってしてお客さまの安心・安全を守るという姿勢の現れでもあります。

阿部光一朗（Koichiro Abe、@koiabe）

@koiabe：そして我々の大事なミッションの1つに「会計監査をクリアすること」があります。しかし、システムのことがわからないと会計監査側に何も説明できない。そうすると、現場のエンジニアたちに説明コストをかけてしまうことになります。会計監査と開発サイドの間に立つためにも、システム・リスクの両方を備えることは欠かせません。

@yukis：どうしてもドキュメント作成でのコストがかかりますからね。エンジニアにはプロダクト開発に注力してもらいつつ、守りは私たちがやるイメージですね。

ーそんな@yukisさんも前職で近しい業務を？

@yukis：私は以前、エンジニアとしてコードを書いたり設計したりしていました。そのなかで感じていたのが、システム管理の重要さです。そしてたどり着いたのが、今のITRiskでした。事業では「たった一度のインシデント」で会社を潰すようなことだってありえます。私たちは2線のメンバーとともにそれを予防していく。いち早く検知・判断するためにも、予め必要な情報を持っておくことは大事なんですよね。

@sowawa：サービスを提供し続けるには表立った仕事だけでは成立しません。私たちの仕事はものを生み出しているわけではありませんが、お客さまへ信頼性高いサービスを届けるために欠かせないものです。メルカリグループはメルカリというサービスを始めた以上、安定してお客さまに届ける義務がある。当初はSREがそれを担っていましたが、それだけでは補えない規模になりつつあります。私たちは、そこにコミットしています。

システム×リスクの知見があり、成立するポジション

ー現在、メルペイとメルコインのITRiskチームメンバーを募集しています。募集要件は共通して以下です。

＜必須条件＞
・ ミッションとバリューへの共感
・ システムリスク管理業務の経験
・ システム開発および運用における実務経験
・ IT全般統制の対応経験
・ インシデント報告書の作成経験および障害原因調査・改善業務の経験

＜歓迎条件＞
・ 金融業界もしくはネット企業における勤務経験
・ セキュリティ・システムリスク評価に関連した資格（CISA、CISM、CISSPなど）
・ ITシステムに関する幅広い知識
・ システムに関する外部委託先の評価経験
・ コンティンジェンシープランの作成および訓練実施経験

ーどんな人ならITRiskチームと相性が良さそうですか？

@koiabe：くり返しになりますが、システムがわかっていないと難しい仕事です。一方で、メルカリグループのITRiskチームはレビューもしっかり行うので…どちらのスキルセットも一貫して求めたいところです。

@yukis：@koiabeさんの言うとおり、システムに関する知識がないとできない仕事なので、むしろ好きじゃないときついですね。

マインドセットでは、中長期的な視点を持ちつつ、手前のことを着実に積み重ねることができるかどうかが重要です。この領域は、小さな見逃しが命取りになったりします。そういった意識を持ち、真摯に取り組める人がいると心強いです。

ーこういう人はメルペイ、こういう人はメルコイン…みたいなものは？

@yukis：メルペイは、決済サービスを皮切りにしていることもあり汎用性が高いビジネスになりつつあります。安定性やチャレンジのバランスを考えたい人はメルペイ向きですね。メルコインでは、取り扱おうとしている暗号資産交換業自体がまだ始まったばかり。その先へ繋げられるかどうかも私たち次第です。そういったチャレンジを楽しめる人は向いているかもしれません！

@sowawa：わかる。なんというか未開の地へ挑みたい人はメルコイン向き！あと、メルコインに関してはクリプトをやりたいかどうかが大きいですよね。

@koiabe：求める人材はメルペイと近しい部分がありつつ「クリプトをやりたい」「未開の地に足を踏み入れたい」という人はメルコイン向きかもしれないですね。私は、メルカリが持つプラットフォームとブロックチェーンを合わせることで新しいサービスが生まれるかもしれない期待で入社を決めました。まだないサービスを生み出せるかもしれないというワクワクは、ポイントになるのかなと思います。

現場と経営層での「守りと攻めのバランス」

ー 気になるのは事業における「守りと攻めのバランス」です。経営陣と話し合う場も多いと思うのですが？

@koiabe：ITRiskの目的はリスクそのものをなくすこと。同時に「どんなことが起こりそうか」を経営層に報告する役割もあります。よくあるのが「リスク管理の観点でこうしたほうがいい」に対して、経営陣が「それだと収益性が悪くなる」といったやりとりです。「守りと攻めのバランス」はどちらに偏ってもいけないので、当然の議論ではありますが…。そのやりとりはハードなので、そこにストレスを感じるならこの仕事は向いていないかもしれないです。

@yukis：どちらも譲れない主張ですからね。メルカリグループのいいところは、しっかり説明すればわかってもらえるところ。経営陣も然り。だから、千本ノックみたいなところがあります（笑）。同時に、私たちだけではわからない視点を知ることができるので、回を重ねるごとに視野が広がっています。

@sowawa：同感ですね。メルカリグループはリスクに対して思考停止するような会社ではないと思っています。とは言え、現場の温度感とズレてしまうことがあります。そうなると「先に決まったことだから」と、施策を進めたあとからセキュリティを合わせることになったりする。

私たちはシステムリスク管理の体制を手厚くし、お客さまが安心して使えるサービスを会社として作り出せるようにしなくちゃいけない。だから、バリューの大きなポジションと言えます。私たちとしては、何かしらの仕組みでお客さまを守りたい。そうすると泥臭いこともたくさんしていくことになるわけですが、そんな業務も含めて魅力だと感じる人と一緒に働きたいですね。

ーそんな領域では、どんなときに「報われた」と思うものなんですか？

@yukis：純粋に「うれしい」と思うのは、現場メンバーとディスカッションし、一緒に落としどころを見つけられたときですかね。報われたかというと…。私たちにとって「便りがないのは一番いい知らせ」。ITRiskはインフラ的な存在なので、水道や電気のようにあって当たり前の存在でもあります。何事もなかったと言われる状態があることが私たちにとっての「報われた瞬間」です。

@koiabe：同感です。そういう意味では、会計監査は我々にとっての通信簿と言えます。そこで何事もなければホッとするし、「よかった」と思えますよね（笑）。

ーなるほど（笑）。

@sowawa：やりたいことは、まだまだたくさんあります。でも、やりたいことに対してマンパワーが足りていないところをなんとかしたいですね。同時に、経営層との期待値合わせもしっかりできるようにしたい。そのためにも、仲間を増やしたいですね。