トップ > コンサル導入事例 > Crezit株式会社様

Crezit株式会社様 – ISMS/ISO27001認証・取得コンサルティング 事例

ISMS取得は金融サービス事業者の土台作りの第一歩。LRMのトータルサポートで自立して運用出来る体制づくりが出来ました

Crezit株式会社は、『CreditasaService(CaaS)』を活用したプラットフォーム事業の本格展開に備え、2021年7月、ISMS/ISO27001認証を取得しました。当初の計画より2ヶ月前倒しで進んだ今回の取り組みについて、COO・村井亮太氏とオペレーションチームマネージャー・大森大氏のお2人に語っていただきました。

記事index

  1. ファイナンス業界出身者で構成される金融ベンチャー
  2. LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング
  3. 金融サービス事業者としての土台作りの一環としてISMS/ISO27001認証を取得
  4. 依頼の決め手はISMS/ISO27001認証取得と運用にかかる負担の軽さ
  5. 運用負担の軽さと必要十分なセキュリティ体制の両立が実現
  6. ISMS/ISO27001認証取得までの作業負担の軽さも期待通り
  7. LRMと一緒に構築したマネジメントシステムをベースに全社的な取り組みへ

(Crezit株式会社とは)

消費者信用を事業ドメインとする金融ベンチャー。自ら貸金業ライセンスを取得し、設立から2年間はスマートフォンで完結するローン貸し付けサービスを独自に展開してきた。
現在は、そこで構築したシステムを『CreditasaService(CaaS)』として外部に提供するプラットフォームビジネスに乗り出し、2021年9月には、スキマワークス社との協業で、単発アルバイトのマッチングプラットフォーム『SukimaWorks』のユーザーを対象とした融資サービス『SukimaCredit』の提供を開始している。
今後はさらに、金融機関との連携を進め、あらゆる事業者に対して消費者信用事業への参入機会を創出するとともに、働き方が多様化するこれからの社会に最適化された与信の仕組みを構築して、一般生活者へのシームレスな金融体験を提供すべく着々と準備を進めている。
本社;東京都港区。設立;2019年3月。従業員数;約20名(2021年11月現在)。

ファイナンス業界出身者で構成される金融ベンチャー

— 初めに御社の組織に関して伺います。御社はどのようなバックボーンを持った方が集まる会社ですか。

弊社代表は、大学時代からマイクロファイナンスや途上国に関心を持ち、ケニアに留学するなどして、金融サービスが世の中を変えていく実例を目の当たりにしてきました。その後、GEに入社してコーポレートファイナンスの仕事をしたり、Baseでショップ向けに将来の売掛債権を担保にした金融サービス『BaseBank』の開発に携わったりして、2019年3月にCrezitを創業しました。その他のメンバーも、エンジニアを除くと、ほとんどがファイナンス畑出身者です。

— 村井様、大森様についてお話しください。

まず大森は、新卒で某通信会社に入社して、カスタマーサポートに携わっていました。その後、金融業界に転職して、ネット系の銀行や仮想通貨の取り引き場などで、カスタマーサポートやオペレーションに携わり、2020年10月にCrezitHoldingsに入社しました。

村井は、総合商社に在籍し、コーポレートファイナンスやM&Aに携わった後、アメリカや南米、東南アジア、オーストラリアなどで自動車ローン事業に携わった他、アメリカ、アジア地域における新規事業の開発に携わってきました。CrezitHoldingsには2020年8月に入社しました。

LRMへの依頼内容;ISMS/ISO27001認証新規取得コンサルティング

『セキュリオ』のeラーニングはISMSの従業員研修だけではなく、貸金業監査の研修でも使いました

『セキュリオ』のeラーニングはISMSの従業員研修だけではなく、貸金業監査の研修でも使いました
(オペレーションチーム
マネージャー・大森大氏)

— LRMへのご依頼内容をお話しください。

CrezitHoldingsは、2021年3月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。
3月頭のキックオフミーティングから7月頭の第2段階審査まで4ヶ月、担当者の柴田さんにサポートしていただき、7月末にISMS認証を取得しました。

–キックオフから第2段階審査まで約4ヶ月間と、短期間でのお取り組みですが、お急ぎだったのですか。

キックオフミーティングの後、柴田さんから港区の「ISO等取得支援事業補助金」の存在を教えていただきまして、取れそうなら取ろうということになり、2回目の打ち合わせから急ぐ形になりました。申請期限は4月中旬と決まっており、申請するには内部監査まで終えている必要がありました。結果的に4月上旬に内部監査を終えて申請することがでたため、全体のスケジュールも早まりました。
柴田さんには、ルールづくりで適切にリードしていただいたことに加え、補助金申請のためにどのような手続きが必要か調べてアドバイスをしていただきました。非常に感謝しています。

金融サービス事業者としての土台作りの一環としてISMS/ISO270001認証を取得

LRMはスタートアップの支援経験が豊富。我々が躊躇するような提案はありませんでした

LRMはスタートアップの支援経験が豊富。我々が躊躇するような提案はありませんでした
(COO・村井亮太氏)

— ISMSを取得した理由をお話しください。

金融サービスを提供する企業として、情報セキュリティ体制を固めるためにISMS認証取得に取り組みました。弊社は、弊社は創業当時から貸し付けのサービスを提供してきました。今後は、そこで構築したシステムを大手金融機関や新たに金融ライセンスを取得して金融事業を開始する企業に提供していきます。
消費者の方々に直接貸し付けを行うにしろ、外部機関を提携するにしろ、弊社のシステムの上で個人情報を始めとする機密情報がやりとりされることに変わりはありません。
そのような意識のもと、弊社は設立時から個人情報の扱いや情報セキュリティを含めたガバナンスには細心の注意を払ってきましたし、設立3年という創業間もない時期から、リーガルコンプライアンスの担当者も配属しています。
金融サービスを提供する企業としての土台作りの一環としてISMS認証を取得しました。

— プライバシーマーク(以下、Pマーク)の取得は検討されませんでしたか。

Pマークを含め、情報セキュリティ領域で、外部機関の認証を受けることは創業当時から考えていました。
今回はまず、ファーストステップとしてISMSを取得しました。ISMSやPマークだけではなく、例えば、クレジットカード事業を始めるにはFISCへの対応が求められますし、今後はさらに貸金業法の観点で、情報セキュリティを強化しなければいけない部分が多分にあります。まずはしっかりと初期ステップとしてISMSに取り組んでいるところです。

— ステップアップとしては、FISCへの対応から始める企業もありますし、Pマークから始める企業もあります。ファーストステップにISMSを選ばれた理由は何でしょうか。

Pマークとの比較で言えば、ISMSは適用範囲が広いことが理由です。
FiscはISMSより強度が上がりますが、ライセンスの観点から言えば、クレジットカードのような事業をやらない範囲においては、そこまでは求められていないということがございます。弊社の事業フェーズに合わせ、まずはISMSから始めました。

— 結果的に短期間の取り組みになったとのことでしたが、もともとはいつ頃を目指していたのですか。

上期が終わる9月頃を目処にしていました。
2021年2月まで弊社は社員数5名ぐらいで業務を行っていたのですが、3月以降、毎月社員がコンスタントに増えていく予定になっており、これまで以上に体制を固める必要が生まれていました。
事業プラン上も、金融機関をはじめとするステークホルダーとの連携が増える計画がありましたので、交渉をスムーズに進めるためにも9月までには取りたいと考えていました。

依頼の決め手はISMS/ISO27001認証取得と運用にかかる負担の軽さ

— コンサルティング会社を選定する上で重視したポイントをお話しください。

社内の決裁を仰ぐ上で重要視した要素は、ISMS認証を取得するまでの作業にかかる負担や、認証取得後の運用に関わる負担をいかに軽減出来るかでした。LRM以外にも何社かヒアリングして比較しましたが、大変そうだなという印象を受けました。
LRMは、審査に必要な文書類を準備する作業が、量的にも、工程的にもコンパクトにできるという点が非常に大きかったです。文書類がコンパクトであるということは運用負担の軽減にもつながります。営業の方からコンサルティング方針に関するプレゼンを受けまして、我々が望む形に近いと感じたことが選定の決め手となりました。

— 場合によっては面倒なこともしなければいけないのかなというご心配もありましたか。

面倒と言いますか、内部統制や管理業務は、事業にブレーキをかける一因となります。
我々は日頃、少ない人数で事業を推進していますので、負担を最低限に抑えつつ、締めるべきところは締めるという濃淡を、最適な形で設計したいという思いはありました。
初期段階の設計で、無理なく運用できてセキュリティレベルも十分満たせているマネジメント体制をいかに整備できるかは非常に重要な要素でした。

営業のプレゼンを聞いて、我々の希望に近いと思いLRMに依頼しました

営業のプレゼンを聞いて、我々の希望に近いと思いLRMに依頼しました
(左から;村井氏、大森氏 ※右は、弊社柴田)

運用負担の軽さと必要十分なセキュリティ体制の両立が実現

— まず、取り組みの成果を伺います。結果的に「運用の負担は軽く、締めるところは締める」という濃淡の最適化は実現できましたか。

セキュリティハンドブックやISMSマニュアルなどを、社内で運用できるサイズ感でまとめていただいたことで、運用上の負担は非常に軽くなりました。

— 締める方はいかがですか。

以下の3点から実現できたと考えています。

(1)情報の棚卸しと重要度に応じたリスク管理体制の整備
情報の棚卸しをして情報資産管理台帳やリスク管理台帳を作成したことで、本当に気をつけて取り扱うべき情報は何か、受容すべきリスクは何かといった整理ができました。
弊社はまだまだ人数が少ない会社ですので、全体で共有しなければいけない情報が非常に多い状況です。そういった全社に公開している情報が、それぞれどのようなリスクをはらんでいて、どのようなところに気をつけて扱う必要があるのか、そして万が一漏洩が起きた場合はどう対処するかといった、出口部分まで設計することができました。
情報を整理して、重要度に応じて整理できたことでセキュアな状況を作ることができました。

(2)年間実施項目の作成によるタスクの可視化
1年を通じたセキュリティの目標や具体的なタスクを年間実施項目という形で可視化することができました。

(3)ISMS認証取得の取り組みを通して醸成されたガバナンス意識
取得に向けたプロセスの中で、LRMに内部監査を依頼しました。我々や現場の社員にヒアリングしていただき、現状についてお話したことで、各社員の中にガバナンスの意識が醸成されました。

以上3点により、今後の運用に向けた一歩目を踏み出すことができました。

— 新たにコストをかけて整備したようなことはございませんか。

セキュリティソフトを『エフセキュア』に全社統一しました。これまでは各自に任せていましたが、ツールを統一することで一括管理できるようにしました。その他には特にございません。

— ドキュメント管理はどうされているのですか。

ドキュメント類は全てデータで管理しています。全社で使っている『Googleドキュメント』に保管し『Notion』を使って展開しています。普段使っているツールを使って管理できますので負担は感じません。

— 短期間で取り組んだことによって犠牲にしなければいけないことはありませんでしたか。

ありません。内部監査までの約1ヶ月、柴田さんにもかなり頑張っていただき、弊社としてもやるべきことをしっかりやるという形が取れましたので、短期間でもしっかりとした取り組みができました。

コンパクトな文書体系で負担のない運用が実現しました(右;左から村井氏、大森氏)

コンパクトな文書体系で負担のない運用が実現しました
(右;左から村井氏、大森氏)

ISMS/ISO27001認証取得までの作業負担の軽さも期待通り

— 作業負担の軽減に関しては、LRMの営業のプレゼン通りでしたか。

はい。ISMSマニュアルや台帳類、記録類などの文書作成に関しては、逐次フォーマットをご提供いただき、それをベースに実態にあったものを当てはめていくという作業でしたので、負担に感じることはありませんでした。
基本的に審査を受けるために必要なもので、弊社が準備しなければいけないものは、ゼロイチで作成しなければいけないものはありませんでした。LRMが提供するフォーマットに則って作業を進めることが出来ました。

— フォーマットに則って作業をする際に、迷うことはありませんでしたか。

部分的な書き方のようなところで判断に迷うことはありましたが、『Slack』上で問い合わせ、いただいた回答をもとに作業を続けました。使い慣れたツールが使えたこと、迅速に回答がいただけたことで、スムーズにコミュニケーションがとれましたので特に困ることはありませんでした。

— マニュアルに記載するルールの内容を決める際に、時間がかかったり、意見が合わなかったりして、困ることはありませんでしたか。

それに関してもLRMとのやりとりの中で解消できました。柴田さんと一緒にマニュアルを読み合わせしながら、今の弊社の状況には合わないといったルールがあった時も、代替案をご提示いただいて、実情に即したマネジメント体系を作ることができました。

LRMは、スタートアップ企業の支援実績が多いためか、ご提示いただくルールも、雛形の段階で、弊社が受け入れがたいと感じるようなものはほとんどございませんでした。LRMから「こうあるべき」と押し付けられることもありませんでした。

もちろん、文書化にあたっては実務ベースで擦り合わせさせていただくことはありました。
しかし順番としては、現状を踏まえてリスクを特定し、それに対してどのように対応するかという振り分けをし、対策を打つべきものは対策を固めて、そうではないものは正しくリスクを把握して管理するという3段階で決めていきましたので、実情から大きく乖離することはありませんでした。

弊社としては、厳格なルールで固めるというやり方よりは、情報の透明性を高めながら実効性を担保していくというやり方を採りたいと考えていました。そういった思いに対して、LRMは親身になって、一緒に伴走してくださいました。その部分に対して非常に満足度は高かったです。

— 従業員教育に関してはいかがでしたか。

従業員教育は、LRMが提供するセキュリティ教育クラウド『セキュリオ』のeラーニング機能を利用して実施しました。
自動的に採点してくれるテスト機能もついていますし、時間を合わせて集まってもらう必要がありませんので、やりやすかったです。ISMSの研修だけではなく、同時期にあった貸金業監査に向けた研修も実施しました。
自分たちで作った教材をアップロードして配信することも可能ですので、今後はさらに活用範囲が広がっていくと思っています。

また、eラーニング以外に、法令管理、委託先管理など、ISMS運用で必要なタスクを一元管理できるところが非常に便利だと思いました。BCP対策として有事に際して安否確認メールを送ることができる機能までついていました。

— 審査を迎えるにあたってサポートはございましたか。

まず柴田さんに内部監査員を代行していただいて実施した内部監査が、審査の予行演習になりました。実際の審査がどのような形で行われるのかを含めてご教示いただけましたので、当日は慌てることなく対応することができました。

LRMと一緒に構築したマネジメントシステムをベースに全社的な取り組みへ

— ISMS認証取得後、対外的な側面で変化はございましたか。

ISMS認証取得後、プレスリリースを出しましたが、それによって、スタートアップの段階から情報セキュリティに力を入れているというご認識をいただける材料にはなりました。
実際、提携先とお話をさせていただく中でも、非常にポジティブに捉えていただいています。外部認証によって、ビジネスのベースラインを担保できるということは非常に大きな成果であると考えています。

— 情報セキュリティ全般の取り組みに関して、今後の展望をお話しください。

弊社では、今後半年から1年ぐらいの間に、金融機関向けのサービス提供が具体化していきます。それに伴い、一層のリスク管理、セキュリティ体制の強化は課題となっていきます。
外部の様々な方々と連携し、弊社のシステム上であらゆる情報を取り扱っていくことになりますので、社会的な責任はますます大きくなっていきます。その責任を果たせる組織および仕組み、ガバナンスを作っていかなければいけないという認識を強くしているところです。

また、ISMSは毎年、維持審査や更新審査を受ける必要がありますので、まずは次年度の維持審査に向け、しっかりと運用していくとともに、さらなる運用体制の強化を図りたいと考えています。

— LRMのコンサルティングを受けたご感想をお話しください。

リスクアセスメントから審査対応まで、トータルでサポートしていただき非常にありがたかったです。LRMのサポートのおかげで、今後は自立して運用できる体制は構築できました。
現在はISMS事務局の限られたメンバーだけで運用している状況ですが、今回構築したマネジメントシステムをベースに、組織の拡大に合わせディビジョンごとに担当者をつけるなど、組織的な取り組みへと発展させていきたいと考えています。

Crezit株式会社様、お忙しい中ありがとうございました。

Crezit株式会社様、お忙しい中ありがとうございました。

※ Crezit株式会社様のWEBサイト
※ 取材日時 2021年11月

  • 50名未満
  • 東京

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

LRM株式会社は年間500件以上のISMSの認証/取得コンサルをしています。
ISMSの認証 ・取得でお悩みならまずはご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら