株式会社TIME MACHINE様 – 顧客事例 –

株式会社TIME MACHINEは、LRMのサポートを受け、グループ会社である電源カフェ株式会社とともに2022年1月にISMSを取得し、2022年6月にプライバシーマークを取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、林大勇氏・林裕希氏にお話をお伺いしました。

お客様が抱える課題とISMS構築

• 事業におけるデータ利活用をセキュアに推進したい
• どの解像度まで対応すべきかなどゼロから教えてほしい
• グループ会社も含めて、ISMSとPマークどちらも取得したい

• ISMSとPマークで重複する箇所はまとめて対応
• 従業員が少ないため、策定したルールは都度話すことで浸透
• 従業員教育と委託先管理はセキュリオで効率化

LRMコンサルティングサービスへの感想

• 最初から最後まで密着して丁寧にサポートしてもらえた
• 一緒に手を動かして伴走してくれた
• ルールの策定における考え方や運用における要点をゼロから教えてくれた

（株式会社TIME MACHINEについて）

株式会社TIME MACHINEは、新しい時間で新しい価値をうみだすをビジョンに掲げ、ビジネスにおいて時間を作り出すテクノロジーを提供している。AIスケジュール日程調整サービス「スケコン」は、面倒な予定・日程調整が誰でも簡単に行える。複数人における日程調整でも、AIが自動で空き時間の割り出しや予定調整を行ってくれるサービスで、約5万ユーザが利用している。
お金と仕事について発信するWEBメディア「おかねチップス」では、フリーランスや副業で働く方々に向けて、お金や仕事、働き方に関する情報が楽しく学べるように設計されており、月間ページビューは25万回を記録。また、「サクサク仕事探し」という求人メディアも展開しており、クリエイティブやITスタートアップなどの求人情報が豊富に掲載されている。その他、名刺交換した相手に見積書や請求書を送付できる名刺＆請求アプリ「名刺DE請求」の開発・運営も行っている。ビジネスシーンにおける煩わしい業務を、AIやデジタル技術といったテクノロジーによって無駄を減らすことで時間を増やし、その時間によって企業がさらなる価値を創出することを支える。
設立：2019年11月。本社：東京都渋谷区。従業員数：20名。（2023年1月時点）。

---

（電源カフェ株式会社について）

電源カフェ株式会社は、充電ができる世界中のカフェやレストランを紹介する「電源カフェ」をメインに事業を展開している。働き方が多様化していく中で、自宅や会社以外のサードプレイスを探し求めるカフェワーカーが増加している。電源カフェは、リモートワークができるカフェやコワーキングスペースなどのお店を探せるオウンドメディア・ツール。日本だけではなく海外も含めて、9,500か所の充電できるまたはWi-Fiが使えるカフェやスペースを掲載しており、年間約200万ユーザが利用している。集合知とテクノロジーでノンストレス社会を実現することを目指す。
設立：2018年12月。本社：東京都渋谷区。従業員数：20名。（2023年1月時点）。

— LRMへのご依頼内容をお話しください。

株式会社TIME MACHINEは、電源カフェ株式会社とともに、2021年8月にISMS/ISO27001（以下、ISMS）の新規取得およびプライバシーマーク（以下、Pマーク）新規取得コンサルティングを依頼しました。担当コンサルタントは、三崎さんです。
2022年1月にISMSの第二段階審査を終え、その後2022年6月にPマークの現地審査を終え、無事に両認証を取得しました。

— まずは御社の事業についてお聞かせください。

株式会社TIME MACHINEは、ビジネスにおいて時間を作り出すことを目的に事業を行っています。
事業を進めていく中で、色んな業務や動作が必要になります。例えば、日程調整においても、候補日を送付したり、Web会議URLはどちらが発行するのか確認したりと様々なアクションが必要です。そういった部分を「スケコン」に任せていただくことで時間を作り出すことができます。
また、「おかねチップス」や「サクサク仕事探し」においては、採用やPRなどのページ作成は、取材から記事執筆まで弊社ですべて対応しています。使い方を覚えたり、記事を作成したりといったお客様の動作をできるだけ簡略化することで、商談やカスタマーサクセス対応などに取り組む時間を作っていただくことができます。
AIやソリューションによって、お客様の時間を作るというのが各事業のコンセプトです。

— 御社のツールや御社が業務を代行してくれることで企業は他の業務に時間があてられるようになるということでしょうか。

ITによって時間をショートカットして業務を効率化するソリューションの提供は行っていきたいと思っています。
一方で、ツールやメディアを横断して、ビジネスパーソンの方々の職歴や実績が連携されるような世界観を目指しています。
ビジネスマッチングにおいては、自身の職歴や実績について自己申告のケースが少なくありません。ただ、自己申告では、本当の実績が見えない側面もあります。そういった暗黙知を可視化していきたいと考えています。
サービスに蓄積されたデータをつなぎ合わせて、その人の輪郭を明らかにしていくことで、暗黙知であったところが共有化されていき、精度の高いPRや採用に繋がっていくと考えています。

— 電源カフェ様の事業内容についてもお聞かせください。

電源カフェにおいても時間を作るという大きなコンセプトは同じです。
電源カフェは、充電ができるまたはWi-Fiが使えるカフェやコワーキングスペース、レストランなどの場所をナビゲーションするアプリおよびWebサイトです。
ノマドワーキングやコワーキングという概念が2010年くらいから浸透しはじめ、自宅やオフィス以外で仕事をするケースが増えてきました。また、現在フリーランスの方も増加しており、2021年の段階で1,500万人ほどといわれ、4人に1人がフリーランスとして働いています。フリーランスの方はカフェなど、外で働くことも少なくありません。
そういった方に電源カフェを使ってもらうことで、ワークスペースとして利用できる場所が瞬時に分かり、探すための移動時間などを短縮していただくことが出来ます。
また、旅行の際には調べものをしたり写真を撮ったりすることで充電が必要になることが多いです。そのため、観光協会と連携を取りつつ、観光地周辺の充電できる飲食店の紹介なども行っています。
さらに、海外にいる日本人に向けて、香港やマレーシア、フィリピンなどの充電が可能なカフェも掲載しています。

— 今回の認証取得の背景についてお聞かせください。

動機としては2つあります。

（1）取引の際のセキュリティチェックを効率化したい
スケコンの商談を進めていく過程で、ある大企業様から導入に際して情報セキュリティに関するチェックが入りました。そのチェックシートはExcelで入力する形式だったのですが、ISMSやPマークを取得していますかという質問から始まり、その時点ではもちろん取得していなかったので「いいえ」を選択すると、その先の設問がかなり長くありました。例えば、どういうサーバの管理をしているのか、個人情報にアクセスできるのは誰かなどが含まれており、未経験のことだったので設問の長さに非常に驚きました。ISMSやPマークを取得していますかという質問に対して「はい」を選択できていれば、それだけでOKだったのに対して、対応にかなり時間がかかってしまいました。
調べていく中で、大企業と取引する際にはこのようなセキュリティチェックは基本中の基本ということが分かりました。そのため、セキュリティに対してしっかり取り組んでいる企業であると端的に証明する必要性を感じました。

（2）今後の事業ロードマップを考慮した際に、個人情報の管理が必要不可欠だった
前職でPマーク運用に少し関わっていた経験から、個人情報保護の取り組みはいずれやらなければならないと感じていました。また、現在提供しているサービスで個人情報を取り扱っているから対応の必要があるのはもちろんですし、今後の事業ロードマップにおいて、テクノロジーによってビジネスパーソンの実像をあらわにするサービスも思い描いています。生年月日や職歴、能力、誰とどんな話をしたのかなどセンシティブな情報をさらに保有していくことになると思うので、個人情報の取り扱いについてガードをしないという選択肢はありませんでした。

— ISMSとPマークを同時に取得された理由はございますか。

先述した通り、個人情報の保護については、やがてやらなければならないと考えていました。今回は、まさにそのタイミングが来たと感じました。また、TIME MACHINEを母体として上場を見据えているので、さらに社会的責任が求められていくと思います。そういった責任をしっかり果たしていく上での証明が必要でした。そのため、今回ISMSとPマークを取得するに至りました。LRMさんでISMSとPマークを同時に取得すると少しお得にしていただけたので、そこも結果的には良かったかなと思います。

— TIME MACHINE様と電源カフェ様2社での取得は最初から決められていましたか。

2社でオフィスも同じですし、人材も行き来しているので、自然と同時に取ろうという流れがありました。
電源カフェで会員登録制を導入することになり、これから個人情報を取り扱っていく機会が増えると思います。
そういった変化も、2社での取得に繋がっています。TIME MACHINEとして受けた情報セキュリティチェックが、ISMSやPマークを取得していなかったことで対応に2～3週間かかってしまい本当に大変でした。今後事業を拡大していく上で同じようなケースもあると思い、電源カフェもあわせて取得することを決めました。

— 認証取得以前の従業員の方のセキュリティ意識はいかがでしたか。

率直にいうと、最低限しかなかったと思います。
前職でコーポレートに所属していた際に、セキュリティ部分も担当していたため、セキュリティへの意識は多少ありました。ただ、認証取得前の弊社においては、みんなの手を止めてまで、セキュリティ対策をやっていこうと呼びかけるフェーズにはなっていなかったです。
ルールとしても、利用規約やプライバシーポリシーという最低限のものはありました。しかし、それらがあることに意味があるだろうという認識でした。本来であれば、パソコンやデータの扱い方など細かいルールまで制度化されていることによって、トラブルが起きたときに問題解決の時間を短縮できたり、責任所在がどこか分かったり、どこに対して改善をしていけばいいのかが分かります。ただ、そういったメカニズムまでは整備ができていませんでした。

— 今回のお取り組みメンバーについてお聞かせください。

TIME MACHINE代表取締役社長である石澤と、電源カフェ代表取締役の林(大勇)と、バックオフィス全般を担当する林(裕希)の3名で主に取り組みました。

林(大勇)は前職で人材派遣会社の人事を担当していました。また、内部統制なども担当しており、契約書や社内ワークフローの確認、Pマーク運用の補助などを行っていました。Pマークについては、運用担当者は別にいて、その担当者がきちんと対応しているかをチェックするような役割でした。実作業を担当するというよりは、何かお手伝いできることはありますかとお声がけをして、作業の一部を補助するイメージです。

また、林(裕希)は情報セキュリティに関する認証取得の経験はありませんでした。LRMにサポートをしてもらえるとはいえ、1回目で審査にきちんと通ることができるのかは不安でした。ただ、最初のLRMさんとの打合せで小さい不安や気になるところを確認させていただいて、認証は何度か改善の指摘をもらいながらやりとりをしていく中で取っていけるものだと分かりました。LRM三崎さんに大丈夫と言っていただけたことで緊張感がやわらぎました。

— 認証取得前にご不安に感じられていたことはございますか。

指摘がすごく出てしまうのではないかなと不安でした。
データをどこにおくか、権限をどうするかなどは何となくでしか意識ができていなかったので、認証に必要なレベルに本当に到達できるのか漠然とした不安がありました。

— コンサル会社に支援を依頼するにあたって求めていた事項はございますか。

どれだけ頼らせてもらえるかを重要視していました。
ISMSとPマークについて、概要は知っていましたし、ルールを策定したり台帳を作成するという大まかな流れは分かっていました。ただ、実際に対応していく上で、参考になるものはあるのか、どの解像度まで突き詰めていくべきなのかはミステリーでした。そのため、ゼロからご指導いただけるかどうかを大切にしていました。
また、プロダクトをエンタープライズに導入いただきたかったので、大企業様とこれから商談を行っていく上で同じ轍は二度と踏まないように、できるだけ早く取得したいと思っていました。

— コンサル会社はいくつか比較されましたか。

LRMさんともう1社お話を伺いました。弊社・石澤と、LRMさんのCEO幸松さんが知り合いだったこともあり、初めからある程度LRMさんかなという意識はありました。ただ、他の会社さんのお話もお伺いしたいと思い、各社のお話をお伺いして、評判を知人に聞いたりした上でLRMさんを選びました。結果として、LRM三崎さんが最初から最後まで密着して丁寧にサポートしてくださったので非常に良かったです。フォーマットを渡して後は知りませんというスタンスではなく、一緒に手を動かして伴走いただけました。認証取得前に不安に感じていたところをしっかりカバーしていただけたと思います。

— お取り組み全体を振り返ってみていかがでしょうか。

課題に感じていた他社からの情報セキュリティチェックへの対応と個人情報保護体制の構築についてはある程度達成できたと思います。
営業上の影響としては、ISMSやPマークを取得したことで商談の時点でセキュリティをアピ―ルできるようになりました。現時点では、セキュリティチェックシートへ回答するような案件はまだ発生していないのですが、初めに認証取得をお伝えしていることでお客様の安心感に繋がっていると思います。
社内の管理体制としては、上場という目標がある上で、お客様の情報をきちんとお預かりしていますと客観的に証明できるようになったことは成果のひとつです。若い会社だからこそ、認証によって対外的にセキュリティ基準を示すことで、お客様からの信頼獲得に繋がると思います。
また、こういった社内整備は、組織が膨張した後にやると統制が取れないと思います。一部のメンバーだけが理解をしていて、他のメンバーは「Ｐマークって何ですか？」となってしまうこともあると思います。メンバーが少ない段階からISMSやPマークを導入し、コアメンバーが徹底して意識をもって行動することで、のちの新入社員がセキュリティルールを文化として受け取り、教育をそれほどしなくても自然とルールが浸透していくようになると思います。今回はその土台作りができました。

— 認証取得によって従業員の方の意識の変化はございますか。

開発業務において、セキュリティについての議論が行われることが習慣化してきました。開発業務における議論はエンジニアだけではなく、非エンジニアも参加します。専門的知識の有無に関わらずセキュリティという観点がトピックにでるようになり、それらを考慮した実装が行われるようになったのは良い変化だと思っています。
また、業務委託の方に対しても、セキュリティアンケートを実施した上で業務に取り組んでいただくようになりました。業務委託の方の中にはフリーランスとして働いている方もいらっしゃり、セキュリティへの意識は人によってまちまちです。一緒に仕事をしていただけるとなった際に、弊社のセキュリティ基準について理解してもらうことが、セキュリティ意識向上のきっかけになればいいなと思います。また、それが波及して社会全体に広がっていくひとつのポイントになりたいと考えています。

— グループ2社でのお取り組みでしたが、お打合せはどのように進められましたか。

お打合せはすべてWeb会議で進めました。弊社ではもともとリモートワークも導入しているので、特段ストレスもなくスムーズに進められたと思います。

— ISMSとPマークを同時に取得されていますが、どのようにルールを構築されたのですか。

ISMSの審査日程の方が先だったので、まずはISMS認証に準拠した体制構築から進めました。ISMSと比べると、Pマークは個人情報の保護に特化しているので、ISMSよりも掘り下げた状況確認が必要な部分もあります。ただ、情報セキュリティの大きな枠組みとしては被っているところもあるので、完全に分離して検討や準備をしていたわけではありません。実際にISMSの審査の後、すぐにPマークの申請手続きを行うことができました。

— ISMSとPマークで違いを感じられた点はございましたか。

Pマークは、個人情報の保護にフォーカスされている印象があります。一方で、ISMSは扱うデータ全般が対象です。
社内の従業員のデータだけではなくて、プロダクトのログや開発業務におけるデータについてもどこで管理されているかを問われます。似ているようで、カバーしている範囲が違うと感じました。

あとは、ISMSの審査では、自分たちの決めたルールに則って運用がされているかを確認されます。こうしていたら正解というよりも、こういう手順でやるとルール上決まっているけれど本当にその通り運用されているか、を細かく見られます。
開発業務においても、自社だけではなく委託先における管理方法も把握しているかなど、広い範囲で確認されました。

— ルール構築の際に苦労されたところはございますか。

従業員もまだまだ少なかったですし、もともとルールがしっかり決まっていたわけではなかったので、既存のものとハレーションが起きることはなかったです。ファイルの置き所をきっちり決めよう、試験を突破しようなど、新しく決めて対応していくことばかりだったので、ひとつひとつ取り組んでいきました。

— お取り組み全体を通じて、最も大変だったところはございますか。

大変なことはあったような気はするのですが、数か月で集中して一気に認証取得まで取り組んだので、ちょっと忘れているところはあるかもしれないです。笑
あえて挙げるとしたら、管理すべき情報の洗い出しをして、何に分類されるかというリストアップをするところは時間がかかったかなと思います。リストは、ISMSとPマークで分けずに同じシートで作成しました。基本的には重複する内容が多いのですが、Pマークの方で一部項目を細かく記載する必要があったので、そこは時間をかけて取り組みました。
文書については、LRMさんからひな形をいただいて、それをもとにLRM三崎さんとカスタマイズをしていけばいいだけでした。ただ、情報のリストアップは社内の情報をまとめるので、自社で対応する部分が大きかったです。

— 業務に負荷がかかるようなルールはございますか。

ISMSは情報を管理していく上で、開発業務など社内全体の業務において理解しなければなりません。そのため、ルールというより管理の面で今後大変になってくるのではないかと感じています。先日2回目のISMSの維持審査を受けましたが、初回審査よりも細かいところまで確認された印象があります。開発する際の検証環境と本番環境の管理の仕組みなど、バックオフィスでは把握しきれないような部分についても審査で聞かれるようになったので、開発業務を行っている方にも管理をサポートしてもらう必要があると思っています。

— ルールを周知していく際に社内で反発などはございましたか。

いまは特にないです。これから人数が増えていくことで、周知を強化していく必要はあるかなと思っています。
ただ、現状は人数も少ないので、ルールを作成した際も都度話すことで浸透させていきました。

— 従業員教育はどのように実施されましたか。

情報セキュリティ教育クラウド「セキュリオ」のeラーニング機能を使わせていただきました。従業員にもスムーズに受講してもらえましたし、教材を配信する際も操作が分かりやすく、使いやすかったです。

また、委託先へセキュリティ状況をお伺いするアンケート送付などを含めた委託先管理もセキュリオで行っています。委託先についてきちんと取りまとめるのは今回の認証取得がきっかけになりました。セキュリオで委託先へアンケートをお送りした際も、委託先から質問が来るということもなく、スムーズに対応していただけました。

— 内部監査はLRMが代行しましたがいかがでしたか。

丁寧に細かく教えてくださったので助かりました。また、今後は自分たちで内部監査を実施していこうと考えていたので、どのように監査をしているかをLRM三崎さんから学ばせていただきました。実際に、ISMSの2回目の審査に向けた内部監査は自社で対応しました。

— 審査を受けてみたご感想をお話しください。

ISMSの審査機関は、LRMさんから二つ候補をいただきました。費用面やどれくらいで審査していただけるかなどを検討して、BSIさんを選びました。BSIさんに審査スケジュールの調整にご尽力いただけたおかげで、想定よりも早く審査を受けることができました。

初回のISMS審査を受けた感想としては、意外とスムーズに取れたと感じています。LRMさんにこうすれば大丈夫という点を教えていただいた上で、資料も抜け漏れが無いよう全部チェックしていただいてから審査を受けられたのが良かったと思います。また、審査員の方にも優しく、フラットに対応していただけました。審査という響きだけ聞くと、減点制であり非常に厳しいというイメージがありました。もちろん、確認すべき点はしっかり確認していただきましたが、「こうやった方がいいかもしれない」「こういう考え方だといいかもしれない」などアドバイスを頂けたのが非常にありがたかったです。指摘事項としても大きなものはありませんでした。

— ISMSとPマークの審査で違いはございましたか。

ISMSに比べてPマークの方が、さらに詳細なところまで確認がおよび、緊張感があった印象です。ただ、答えられない質問があったわけではないですし、審査員の方にも理路整然とご説明いただいたので納得できない指摘などはありませんでした。

— LRMのサポートについていかがでしたか。

2年間ほどサポートしていただき、感謝しかありません。フォーマットをご提供いただけたことはもちろん、ルールの策定における考え方や運用における要点をゼロから教えていただきました。また、ここはこういった指摘がされる可能性があるので、こういう対応をしましょうというような攻略法も手取り足取り教えていただきました。一度では理解が難しい箇所も何度も教えていただき、手厚く支援してくださったのが心強かったです。

企業規模の変化や事業の展開を迎えるにあたり、情報のボリュームが増えるだけではなく、また違った観点のイシューが出てくると思います。フェーズごとにプロの方にご相談できればと思いますし、相談するならLRMさんだと感じています。

— 今後もLRMさんとのお付き合いは検討されていますか。

運用支援サービス「情報セキュリティ倶楽部」と、情報セキュリティ教育クラウド「セキュリオ」を利用させていただきたいと思っています。
情報セキュリティ倶楽部については、審査対応に関してLRMさんにご相談させていただきたいです。また、情報セキュリティの管理は、今セキュリオで管理しているものを自分たちのシートですべて管理するのは難しい側面もあるので、引き続きセキュリオでやりたいと思っています。

— 今後の展望や課題についてお話しください。

今後、事業の推進と比例して、取り扱うデータの量と重要度が上がっていきます。そういった変化を迎えた時に、今回策定したルールが形骸化されて、ただ存在しているだけになってしまうのではなく、しっかりと実行されるために、運用改善や教育をしていく必要があります。内部の人間だけではなく、外部の協力者についても、情報セキュリティの観点を織り交ぜた上での業務の執行を習慣化させていくのが次の課題だと思います。

また、認証取得の際は、LRMさんのお力を借りつつ、事務局から対応方針を現場に示して対応してもらっていました。仮に我々がいなくなったとしても、組織が当然のように情報セキュリティの意識を持って業務を執行していける仕組みを作っていくことがミッションだと感じています。

株式会社TIME MACHINE様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社TIME MACHINE様のWEBサイト
※ 電源カフェ株式会社様のWEBサイト
※ 取材日時 2023年1月