株式会社Leaner Technologies様 – 顧客事例 –

「“打ち合わせには時間をかけたくない”。私の要望を汲みながら計画的に進行して頂きました」

株式会社Leaner Technologiesは、LRMのサポートを受け、2021年2月、ISMS/ISO27001認証を取得しました。準備期間は4ヶ月。取り組みの背景や成果、LRMにコンサルティングを依頼した経緯と評価などを、ISMS事務局のエンジニアリング開発部・安齋研一郎氏に伺いました。

(株式会社Leaner Technologiesについて)

「支出管理プラットフォーム『Leaner』 の企画・開発・運営を行うITベンチャー。『Leaner』は、企業活動にかかるさまざまなコストを適切に管理・適正化することができるクラウドサービスだ。支出分析や見積管理といった支出管理に関わる様々な業務を効果的・効率的に実現する。2019年5月のリリース以降、1年半で大手企業を中心に数十社以上の企業が導入し、取扱支出総額は2,000億円を突破。コロナ禍において導入ペースはさらに加速している。国内初の間接費管理・ソーシングのプラットフォームとして 「コストが削減・適正化され、現場担当者が当たり前に評価される社会」「質の高いサービスが生まれ当たり前に選ばれる市場」の創造を目指す。本社:東京都目黒区。設立:2019年2月。従業員数:約10名。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

株式会社Leaner Technologiesは、2020年9月、LRM株式会社に、ISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。担当の山岸さんと一緒に約4ヶ月間の準備期間を経て、2021年1月に第2段階審査を受審し、2月上旬に認証を取得しました。

情報セキュリティ管理体制を評価する客観的な指標としてISMS/ISO27001認証を取得

— ISMS認証を取得した理由をお話し下さい。

ISMS認証を取得した理由の第一は、弊社の情報セキュリティ管理体制に対し、外部からの信頼を獲得するためです。

弊社が提供するサービスでは、お客様の会計データや請求データ、契約書データなどを受領し、分析してお返しするサービスです。扱うデータには、非常に機微な情報が含まれています。そのため創業当時からアクセス権限の設定ルールを定めるなど、情報セキュリティには意識的に取り組んでいましたが、取り組みの水準を客観的に示せる材料はありませんでした。そこで、国際規格に基づいた認証制度であるISMS認証を取得しました。

また、ISMS認証取得までの取り組みを通じて、客観的な基準に沿ったマネジメント体制を確立することで、社内のセキュリティ体制の強化にも繋がると考えました。

— 冒頭で約4ヶ月間の取り組みとおっしゃいましたが、急いでおられたのですか。

LRMに依頼してスタートした時点では、6ヶ月間のスケジュールを立てていました。LRMに依頼する際に平均所要期間を伺った際、およそ6ヶ月とご回答いただいたため、それを目安に取り組むことにしました。ただ、社内から、営業先にアナウンスしていることもあり、もう少し早くならないかと要望が上がってきたため、改めてLRMに相談し、2ヶ月前倒ししたスケジュールを立て直していただきました。

— ISMS認証取得にあたっての社内体制をお話し下さい。

ISMS事務局は私が1人で担いました。その他、情報資産の洗い出しなどは、各部門のマネージャー中心に、協力してもらいました。

— 安齋さんは普段、どのようなお仕事をされている方ですか。

所属はエンジニアリング開発部門ですが、創業からずっと在籍していることもあり、バックオフィスも担当しています。バックオフィス、経理、労務、法務、総務、さらに社内のシステム周りなど、管理業務全般を担っています。

SaaS系企業のサポート実績が豊富なLRMに依頼

— 最初からコンサルティング会社のサポートは受けるおつもりだったのですか。

はい。何をして良いかわかりませんでしたので、自力でISMS認証を取得するのは難しいと思いました。

— LRMに依頼した理由をお話し下さい。

ホームページの情報量が多かったこと、その中に弊社と近しいSaaS系のサービスを提供している企業の導入事例が豊富に掲載されていたことが最大の理由です。情報セキュリティも、業種業態によって取り組み方が変わると思います。SaaS系企業のサポート導入事例が多いということは、業界の事情に詳しいのではないかという期待が持てました。Webサイトを見た時点で、ほぼ決めていました。

— 何社か比較はされたのですか。

はい。まずはLRMを含め3社をピックアップして比較しました。ただその中の1社は、ホームページの情報が薄かったこと、問い合わせてから返信まで、3~4営業日ぐらい全く音沙汰がなかったこと、この2点により候補から外しました。依頼したとしても、対応が遅くなるのは嫌だなと思いました。

もう1社は、事業歴が長く、年配の方が窓口でした。最初に話を聞いたのがこちらです。どんな感じでコンサルティングを進めるのかを聞くと、「御社の希望に合わせて何でも出来ます」と言われました。しかし、特に希望はなく、どちらかというと専門家にお任せしたいと思って探していましたので、話がかみ合わないかなと感じ、LRMの話を聞きました。

— 実際にLRMと話をされて、どのような印象を持ちましたか。

我々の手間を可能な限り省くために予め用意された雛形を活用し、ヒアリングに基づいて弊社の実態に合わせてカスタマイズしていくという進め方や、オンラインストレージサービス『Box』を使ったドキュメントの共有、オンラインミーティングの活用など、親しみやすそうな印象を持ち、LRMに依頼しました。

属人的な管理から脱却し、体系的な管理体制を構築

— ISMS認証が取れたことで目的の1つは達成できました。情報セキュリティ管理体制の強化が出来たという実感はございますか。

もともと基本的な対策は出来ていたという自負はあります。ただ、振り返ってみると、メンバーによって情報セキュリティに対する意識レベルに差がありました。特に新しく入ってきたメンバーの中にはなんとなく言われた通りにやっているような状況があったと思います。今回の取り組みを通して、そういった属人的な管理から抜け出し、抜け漏れがない、体系的な管理体制を構築することが出来ました。

— 管理体制を整備するということに関しては社内から反発はありませんでしたか。

反発はなかったと思います。創業当時から基本的な対策を取っていたため、従業員のオペレーションはほとんど変わりません、従業員の負荷はほとんど変わっていませんので、「おそらく事務局が管理体制を整えているのだろう」ぐらいの認識だと思います。セキュリティ教育や内部監査の実施など、多少のタスクはありますが、通常業務における負荷はほとんど変わっていません。

— オペレーションの変更も特にはなかったですか。

細かいことを言えば、会社から貸与しているスマートフォンの設定を変えてもらったり、社内のコミュニケーションに使用している『Slack』の投稿のルールを定めたりしました。投稿ルールと言っても、ファイルを直接アップロードせずに、ストレージにアップロードしてURLを張るようにしたぐらいのことです。

— スケジュールを2ヶ月間短縮されたということですが、トレードオフで犠牲になったことはございませんか。

ISMSの取り組み自体で何かを削ったようなことはなかったと思います。単純に2週間かける予定だったタスクを1週間でこなすといったように、スケジュールを縮めただけです。犠牲になったものがあるとすれば私自身のメンタルだけです。もちろんLRMの山岸さんにも打ち合わせの間隔を短くしてもらうなど、いろいろとご協力いただいた部分はあったと思いますし、審査機関の方にも日程を調整していただきました。

— やはり、安齋さんご自身の負担は増えましたか。

開発のメンバーが増えていましたので、この4ヶ月間、私自身は開発の優先度を下げて、ISMSの取り組みに力を入れました。

— コロナ禍で審査の日程調整が難航することはありませんでしたか。

弊社の場合、年末年始か1月の頭ならスケジュールが空いているということでしたので、そこに合わせました。その結果、第2段階審査が1月4日からの3日間だったため、年末年始の休みは全く休んだ気がしませんでした。

— やはりプレッシャーはありましたか。

そうですね。審査を受けると思うと気持ちは休まりませんでした。山岸さんからは心配するような不備はないと言われていましたが、審査に通らないようなことがあれば、会社の中でも肩身が狭くなりますのでプレッシャーは感じました。

そもそもISMSとは何か。取り組みの中で少しずつ理解が進んだ

— LRMにご依頼される際に、「御社の手間暇がかからないようにやる」というお話があったと思いますが、実際はいかがでしたか。

その通りでした。マニュアルの雛形や情報資産管理台帳などの各種フォーマットをいただいた上で、弊社側の業務をヒアリングしていただき、その内容に合わせてカスタマイズしていただくという進め方は、伺っていた通りでした。私はミーティングに出て質問に答え、宿題をいただいて、その成果物を返せば前に進んでいるという感じでしたので、とてもやりやすかったです。

— マニュアルの雛形にはこう書いてあるけど、やりたくないなというものもあったのですか。

「やりたくない」というより、実態と違うものはありました。例えば、オンプレミスサーバーに関する記述がありましたが、弊社が使っているサーバーはオンプレミスではなくクラウドなので、その記述を変えたいといった要望はお伝えしました。

— 今回の取り組みでご苦労されたことはございませんでしたか。

「そもそもISMSとは何か」を、私自身が理解するところが大変でした。社内のセキュリティの状態が今どうなっていて、社内でどう共有されているかを明らかにし、リスクがあればそれを洗い出して、改善する計画を立て、実行してまた計画を立てる。このようなサイクルをいかに回すかがISMSの大事なポイントだと思いますが、そこの概念をきちんと理解するまでが時間がかかりました。

— それはどのように理解して行かれたのですか。

LRMと一緒に準備を進める中で何となく、少しずつ理解していきました。打ち合わせの中で疑問が生じる度に質問したことで理解出来たこともありますし、宿題をこなす中で腹落ちしていった部分もありました。宿題を出していただく際、山岸さんから具体的にご説明いただけたことも理解の助けになりました。

— 従業員教育と内部監査についてうかがいます。まず、従業員教育は、LRMの情報セキュリティ特化型eラーニングサービス『Seculio』を使って実施されたのですか。

はい。情報セキュリティとはどういうもので、どういうところから情報漏えいが起こりやすいのかなど、情報セキュリティの基本を抑える内容でした。『Seculio』はeラーニングの他、法令管理、委託先管理の機能を使いました。また、ニュース配信のメールもチェックするようにはしていました。

— 『Seculio』をご利用になられたご感想をお話し下さい。

事務局の工数を削減出来る点は便利だと思いました。特にeラーニングは、従業員がセキュリティテストを受けた記録を残すことが出来ます。誰が終わっていて、誰が終わっていないか、社員ごとの点数も履歴が残るため、管理する側としてはやりやすいです。従業員側も各自都合の良いタイミングで受講出来る点は良いと思います。

— 打ち合わせはオンラインで実施されたとのことでしたが、内部監査もオンラインですか。

内部監査は現地で実施しました。全員出社してオフィスの中を整理整頓した上で、山岸さんに内部監査員を代行していただいて実施しました。

— 内部監査員代行のメリットをお話し下さい。

メリットは客観的な視点でチェックしていただける点です。情報資産の洗い出しやリスクの洗い出しなど、我々自身は十分に出来ていると思っていても、外部の目線でチェックしていただくと不足している部分は出てきます。そういった点をご指摘頂けましたので良かったと思います。

— 審査はいかがでしたか。

事前に文書管理台帳を頂いて準備が出来ていましたので、審査員からの質問に困ることもなく、スムーズに進めることが出来ました。また、指摘事項は細かいものが多少あったぐらいです。

— すでに指摘事項への対応も終わっているのですか。

いいえ。指摘事項は基本的に、次年度の計画に組み込むものであると理解しています。次年度の維持審査までに、改めてリスク評価を行い、対応するかしないか、対応するものはいつまでに対応するかを計画して実行していきます。

「山岸さんが丁寧に教えてくれたので、少しずつ理解していきました」(右;安齋氏)※左は弊社・山岸

「山岸さんが丁寧に教えてくれたので、少しずつ理解していきました」(右;安齋氏)※左は弊社・山岸

ISMS運用への人の介在を減らすため自動化やシステム化を促進

— 取り組み全体を振り返ったご感想をお話し下さい。

まず、計画通りにISMS認証を取れて安心しました。また、その取り組みを通じて社内の体制強化が出来ました。構築したルールはしっかり社内で共有出来ていますし、従業員の意識レベルも揃えることは出来たと思います。新しく入社してくる社員を含め、情報セキュリティにしっかり取り組んでいる会社だという認識を植え付ける材料が出来ました。

— ISMSの運用に関連して、今後の課題や展望などはございますか。

今後の課題は、情報セキュリティに対する意識をいかに維持するかです。ISMS認証を取得する意思決定をしてから審査を受けるまでの間は、それなりに意識は向いていたと思いますが、取ってしばらくすると気持ちが緩んでくることもあると思います。そうならないよう、私自身や役員陣も含め、全社でしっかり取り組んでいきたいと考えています。

— これから従業員数はどんどん増やしていく計画ですか。

はい。現在、おかげさまで導入社数が伸びていますので、採用も強化しているところです。

— 従業員が増えればISMSの運用体制も変わりますか。

あまり変わらないかなと思います。開発やカスタマーサポートの人員は増やしますが、バックオフィス部門の人員を増やす計画はありません。アウトソーシングやツールを駆使しながら、社内のバックオフィス部門はできるだけ少なくしたいと考えています。

バックオフィス業務は、人が増えて丁寧に業務を行っても、顧客満足度や従業員満足度が上がるわけではありません。ツールで自動的に処理できるなら、そっちの方が良い業務領域です。例えば給与計算に時間をかけて丁寧にやるのと、ツールで一発でやるのとで結果が変わらないのなら、ツールで一発で済ませれば良いと考えます。

ISMSの運用も同様です。ツールの導入による自動化やシステム化を進めることで、人が介在する部分を可能な限り減らせるような方法を考えて行きたいと考えています。

クライアントのスタイルに合わせたコンサルティング

「自動化を進め、人の介在を出来るだけ減らしていきたいと考えています」(エンジニアリング開発部・安齋研一郎氏)

「自動化を進め、人の介在を出来るだけ減らしていきたいと考えています」(エンジニアリング開発部・安齋研一郎氏)

— LRMのコンサルティングについて伺います。御社と近しい業界のサポート実績が豊富であるという、ご依頼時のご期待に関してはいかがですか。実感する部分はございましたか。

近しい業界をサポートしてこられたからかどうかはわかりませんが、我々のビジネスがどういうもので、どういうところにリスクがあるのかといったところは把握されていたように感じます。リモートワークで仕事をし、紙の媒体はほとんど持たず、クラウドにデータが置いてあるという事業環境において、どういったところにリスクがあるかを理解された上で、的確なアドバイスを頂けたように感じます。

— 山岸さんのコンサルティングはいかがでしたか。

実は取り組みをスタートした時、山岸さんに、打ち合わせに時間をかけたくないので、事前にこちらで用意出来ることがあれば教えて欲しいという要望を出していました。その要望通り、弊社がいつまでに何を用意すべきか、どのような文書を読み込んで、何を理解しておく必要があるかを、計画的にご提示いただきました。それがスムーズに進められた一つの要因だったと思います。

またドキュメント類の作成を『Googleドライブ』上で行ったことも作業を効率化出来た要因です。宿題を進める際に生じた疑問は、『Googleドライブ』のコメント機能を使って質問して解決することがほとんどでした。

–クラウドツールを使ったコミュニケーションの方が効率的に進みますか。

事務局を担う方の性格にもよると思います。LRMはこちらのやりやすい形に合わせて下さっているのかなと思いました。心配性な方など、打ち合わせで細かく丁寧に質問したいという方もいらっしゃると思います。私の場合、口頭で説明していただかなくても、コメントをいただければ大丈夫です。IT系、SaaS系の企業も、クラウドツールを使った仕事の進め方に慣れていますので、そういう企業にLRMは合っていると思います。

— LRMのサポートは今後も継続されるのですか。

はい。具体的なサポート内容はLRMと相談しているところです。毎年、維持審査か更新審査のどちらかがありますので、引き続き何かしらの形でご協力いただきたいと考えています。

株式会社Leaner Technologies様、お忙しい中ありがとうございました。

株式会社Leaner Technologies様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 取材日時 2021年4月
※株式会社Leaner Technologies様のWEBサイト

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る