株式会社ラクロー様 – 顧客事例 –

お客様のPCログや勤怠情報を扱う弊社にとってISMSは強みの1つです。事業拡大のフェーズでもスピードを維持できるように創業と同時に取得しました

株式会社ラクローは3ヶ月弱という短期間でISMS/ISO27001認証取得を終えました。認証取得の準備に取り組み始めたのは、会社設立とほぼ同時、サービスの正式リリース前です。早期に取り組み始めた理由を代表取締役・岩崎奈緒己氏に伺いました。

(株式会社ラクローについて)

従業員による打刻や時刻入力に頼らない勤怠管理を実現する打刻レス勤怠管理サービス『ラクロー』の企画・開発・運営・販売を行うスタートアップ。『ラクロー』は、 導入企業の業務システムと連動し、従業員のPCログなど、システム利用のログデータを取得し、従業員が業務システムを使い始めた時刻を始業時間、使い終えた時間を終業時間として、自動的に労働時間を算出する。これによって実際の労働時間と打刻時間のズレが積み上がってしまう問題を解決し、未払い残業や36協定の残業時間上限超過といった重大な法令違反の未然防止など、勤怠管理で生じる問題を根本解決する。打刻なしの勤怠管理には法令上の問題を心配する声があるが、厚生労働省のガイドラインでは「始業・終業時刻の確認及び記録の原則的な方法」として、「使用者が、自ら現認することにより確認し、適正に記録すること」と「タイムカード、ICカード、パソコンの使用時間の記録等の客観的な記録を基礎として確認し、適正に記録すること」の2項が示されており、むしろ労働基準法の精神に則った管理方法と言える。2019年8月に正式リリースしたばかりだが、規模を問わず、IT企業やコンサルティング会社、士業事務所を中心に大きな反響を得ている。働き方改革の流れもあり、大手メディアで取り上げられる機会も多い。「従業員の健康で文化的な生活」という労働法の基本原則に則った勤怠管理のサポートを方針に掲げ、サービスの成長を目指す。
本社;東京都世田谷区。設立;2019年7月。

依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社は、2019年7月、LRMにISMS/ISO27001(以下、ISMS)認証の新規取得コンサルティングを依頼しました。
会社設立前から営業の藤居さんと商談を進め、会社設立の翌日から担当の三崎さんのサポートを受けて、認証取得への準備をスタートしました。当初、6ヶ月を見込んでいましたが、約3ヶ月後の10月4日にISMS認証を取得しました。

早期のISMS/ISO27001認証取得が成長にブレーキをかけない強みに

打刻レス勤怠管理システム『ラクロー』。働き方改革の流れを受け、大手のみならず中小企業からの反響も大きい。

打刻レス勤怠管理システム『ラクロー』。働き方改革の流れを受け、大手のみならず中小企業からの反響も大きい。

— まず、ラクロー社が設立された経緯、背景をお話し下さい。

『ラクロー』は、約2年前に開発された関連会社(株式会社ソニックガーデン)の社内システムを外販向けに開発し直したクラウドサービスです。ソニックガーデンでは従業員が全国に散らばってリモートで働いています。そのためタイムカードでの勤怠管理が困難です。そこで社内で使うツールのログを見て管理しようと考えたことが開発のきっかけでした。

ソニックガーデンでは、私は労務管理を担当していますが、開発したシステムを運用してみると勤怠管理が非常に楽になりました。そこで外販に向け、1年以上弁護士とディスカッションを重ねて適法性を確保しながら開発を進め、形になってきたところで『ラクロー』の企画・運営・販売に特化した会社を設立しました。以降、私はラクロー社の代表と、関連会社の役員を兼務しています。

— 設立とほぼ同時、サービスの正式リリース前にISMS認証取得に取り組み始めた理由をお話し下さい。

理由は、対外的なものと社内向けのもの、大きく分けて2つあります。

(1)対外的な理由
弊社が提供する『ラクロー』は、人事システムと連携して従業員の個人名や働いている時間を扱うため、セキュリティレベルを高く維持することは最低条件です。ISMSは守りのための認証のように思われがちですが、人事システムを扱う会社にとっては強みの1つにもなり得ます。従って会社設立の準備を始めた時から、いずれISMS認証を取得することになるだろうとは考えていましたが、その時期はできるだけ早いほうが管理する情報も少なく取得準備が楽になることが予想出来ました。それなら創業早々に取得してしまおうと考え、LRMに相談し始めました。

(2)社内向けの理由
まだ少人数のうちにISMSに乗っ取った社内ルールを策定し、認証を取得しておけば、会社の規模を拡大する時にブレーキをかける必要がないと考えました。 会社の規模が大きくなってから従来の運用ルールよりも厳しいルールを策定すると負担が重くなります。従来のルールが通用しなくなりますので、やり方を変えなければいけない。そうなるとビジネスにブレーキがかかります。それでみなさん苦労されると思います。同じフェーズでブレーキをかけずに済むならば、それが弊社の強みになります。

創業メンバーがISMSをボトムラインとして改善していこうという認識を持っていれば、従業員が増えた際、新しいメンバーに教えるのがその人達なので、レベルが下がることはありません。

クラウドサービスプロバイダへの支援実績など3つの条件を満たしたLRMに依頼

— 岩崎さんご自身はISMSの運用経験や取得経験はありましたか。

いいえ、ありません。ただ、母体である関連会社が、ISMS構築のプロセスを参考にした社内ルールを運用しており、
情報資産の整理やリスクアセスメントを経験していました。その経験が、今回の取り組みに役立ちました。

— そういった中でコンサルティング会社のサポートを導入された理由をお話し下さい。

私自身、運用してきた経験はありましたが、認証取得のための審査を受けた経験もありません。またルールやマニュアルがあったと言っても、外部の審査を受けることを前提にした文書類はありませんでした。審査に向けてしっかりとした準備をするには専門家の支援が必要です。自分達だけで対応するとどんどんコストが増えて行きますので、サポートを受けることにしました。

— LRMにご依頼された理由をお話し下さい。

LRMに依頼した決め手は、サポート実績とITベンチャーの働き方やカルチャーに対する理解です。選定にあたっては、以下3つの基準を設け、何社かと会って話をしましたが、これらの条件を満たすコンサルティング会社は他にありませんでした。

(1)クラウドサービスプロバイダに対するサポート実績
弊社の業態はクラウドサービスプロバイダです。LRMのホームページに掲載された事例を見て、弊社と同様のクラウドサービスプロバイダへの支援実績が豊富であることがわかりました。

(2)オンラインでのコミュニケーション
弊社が社内コミュニケーションのベースとしているオンライン会議やチャットを、認証取得までの打ち合わせや問い合わせにそのまま使えることも重要でした。打ち合わせのために行ったり来たりするような進め方だと、お互いにコストがかかります。

(3)リモートワークへの理解
弊社のワークスタイルはリモートワークが基本です。近隣に住む社員はオフィスで作業をすることもありますが、社員は全国に散らばって、自宅などで作業しています。LRMには、そういう働き方をしている会社でも大丈夫とおっしゃっていただけたので安心して依頼出来ました。

運用の実態があれば6ヶ月という期間に囚われる必要はない

— 御社内の取り組み体制をお話し下さい。

重要な作業は私が率先して取り組みました。弊社は、関連会社のオフィスの中に拠点を置き、クラウドストレージなども同じサービスを使って仕事をしていますが、会社設立に当たっては専用の金庫や書庫を設置し、クラウド環境も関連会社とは切り離して構築することを目指しました。

— 認証取得まで約3ヶ月間というのは、非常に早い進行でしたね。

そうですね。文書作成を行ったタイミングは、創業直後で従業員をはじめ関わる人数が少ない状態だったため、ゼロからルールを構築出来ました。自分で決めて、自分で作れることが、スムーズに進行できた大きな要因でした。

— LRMとの打ち合わせは何回ぐらい行いましたか。

Web会議は全部で3回実施しました。1回目にスケジュールとタスクを決め、2回目に文書の読み合わせをして、3回目に事務局側の内部監査を実施しました。

— 審査日程が決まったのはいつ頃だったのですか。

2回目の打ち合わせの時には決まっていました。第1段階審査は8月中旬、第2段階審査は9月中旬に受審しています。
最初に審査会社からいただいた日程をさらに1ヶ月前倒ししていただきました。

— 当初6ヶ月かかると言われていたものが、その半分で出来るということに対し、不安や不信はございませんでしたか。

ありません。通常6ヶ月かかると言われる理由は、構築したルールの運用期間を確保するためです。それはある程度の規模の企業が社内に運用を浸透させたり、浸透度合いをチェックしたりする時間がかかるからです。しかし弊社の場合は、まだ設立したばかりで小規模なので、ルールを変えても周知・浸透に時間はかかりません。重要なことは、構築したルールが、実態として運用が出来ているかどうかです。出来ていれば期間にこだわる必要はないと思っていました。そのため特に不安や不信はありませんでした。

自社に合わせたルール構築。審査員の指摘も進化のきっかけに

「LRMのサポートでコンパクトな文書体系が実現しました」(代表取締役・岩崎奈緒己氏)

「LRMのサポートでコンパクトな文書体系が実現しました」
(代表取締役・岩崎奈緒己氏)

— 具体的な取り組み内容をお話し下さい。

主な取り組みは文書作成です。情報資産の洗い出しやリスク管理表の作成などは、関連会社のものをベースとして利用できましたので、それを弊社向けにアレンジしながら、ISMSの審査に向けて体系化した文書にまとめていきました。

–御社向けのアレンジとはどういうことですか。

例えば、弊社はサービスのシステム開発は関連会社に委託し、弊社自体は企画・設計、
販売、サポートなど、開発以外のサービス運営を担っています。ただ、開発を外注しているとは言え、発注者として委託先のルールをチェックする必要がありますので、そのための手順を決めました。また、サービスに対するお問い合わせやセミナー開催によって集まってくるお客様の情報の管理も必要です。既にセミナーは過去2回開催していました。
その経験に基づき、セミナーで回収するアンケートシートの管理手順なども策定しました。
さらに関連会社や弁護士、社労士を含め、外部の方々と一緒に開発していく中での情報のやりとりもしっかり管理する必要がありますので、そのためのルールも決めました。

加えて、今後、本格的な採用が始まりますので、新しく入社してくる人材への教育が課題となります。弊社の社員は非エンジニアなのでITの知識は少ないため、しっかり教育する必要があります。そこで新入社員が入社した際の教育の手順も決めました。

— その過程でLRMはどのようなサポートをしましたか。

文書作成はLRMから書式や記入例をいただいて、アドバイスを受けながら行いました。審査を受ける前提だとISMSの要求事項を満たす必要があります。また、必要以上に細かく記述してしまっていた内容を簡潔な表現に変える必要もありました。そういった細かいところの調整をサポートしていただきました。

LRMのサポートにより、同社が掲げる“Security Diet”というコーポレートスローガンの通り、コンパクトな文書体系が実現し、今後の運用が楽になったと考えています。

— 従業員教育や内部監査などはどうされたのですか。

従業員教育はLRMの情報セキュリティ支援サービス『Seculio』を使い、外部パートナーも含めて実施しました。外部パートナーに関しては、業務委託であれば「委託先」として管理しておけばよいのですが、一緒に仕事をする以上はレベルを合わせた方が良いと考え、一緒に教育を実施しました。

— 『Seculio』を使用したご感想をお話し下さい。

『Seculio』は、繰り返し受講できますし、実施した結果が見えます。弊社のようにフルリモートの体制では、研修室に集まっての教育ができません。各自、好きな場所で好きなタイミングに実施出来る点が良いと思いました。

— 内部監査ではどんなところをチェックされましたか。

内部監査では客観性が高く、監査経験も豊富な三崎さんに内部監査員を代行していただきました。第1段階審査の前の事務局向け内部監査では、オンラインで文書に不備がないかをチェックしていただきました。第2段階審査前の内部監査では、ご来社いただいて実際に作業をしている現場を確認していただきました。

— 審査はいかがでしたか。

審査は設立直後であることや人数が少ないことは関係なく、しっかり審査された印象がありました。アドバイスも沢山いただき、我々にとっては良かったと思っています。

長年の蓄積がある組織の場合、指摘を受けたとしても、ルールを変えるのは簡単ではないので、どうにか回避しようとするかもしれません。しかし我々はスタート地点にいますので指摘があればすぐに対応できますし、それによって進化することが出来ます。第1段階審査、第2段階審査、いずれもそういう考えで臨みました。

— 審査員から指摘されたことはどのようなことですか。

審査員が重視したことは、策定したルールを運用し続けていく準備がいかに出来ているかということです。つまり、
ルール策定や従業員教育の制度作りで満足せず、常に問題意識を持ち続け、より良い体制へとブラッシュアップしていかなければなりません。構築したルールを評価する計画が出来ているか、従業員が取り組みの重要性を意識出来ているかなど、代表者である私が、常に欠けているものはないか、気にかける必要があるといった指摘を頂きました。

第1段階審査も第2段階審査もまる1日かかりましたが、半分ぐらいはディスカッションの時間でした。特に第2段階審査では、審査員と一緒に議論しながら、ブラッシュアップするところもありました。それも弊社がまだ小規模だから出来たことです。しかも決裁権のある立場の人間がやることが大事です。組織が大規模になると代表者でも即決はできません。会社が大きくなると制約が大きくなります。その制約がない間に整備出来たことは、今後の事業展開上非常に大きなメリットになると考えています。

本業を妨げずスピーディに取得。変化に合わせた適切なカスタマイズが課題

— ISMS認証取得の取り組み全体を振り返ったご感想をお話し下さい。

思っていた以上にスピーディに取得できましたし、作業負担もかかりませんでした。本業のビジネスと同時進行だったためISMS認証取得だけに時間を割くことは困難でした。本業を妨げることなく取得出来て良かったと思います。

— 創業間もない時期にISMS認証を取得することで得られるメリットとして、改めて感じることはありますか。

先ほど、少人数のうちに決裁権を持った人間がやることが重要だと言いましたが、代表者が率先して取り組んでいると、従業員は、嫌々やらされているという気持ちや、面倒だという認識を抱きづらくなると思います。私が率先してやることで、マニュアルも放置せずに、きちんと読まなければいけないという認識が生まれるはずです。それは会社のカルチャーを作って行く上でも重要であると考えています。

また、代表者が主体的に取り組むことで、今後、他の従業員に担当を引き継ぐ際も楽に引き継ぐことが出来ます。
引き継ぐ人もやりがいを持てるでしょう。代表者が面倒くさいと思っていることは、従業員も軽視しますし誇りを持って取り組めません。そうなればせっかく構築したルールも形骸化してしまいます。やはり最初に代表者自ら取り組めたことが大変良かったと考えています。

— ISMSを構築したことで業務負担が増えるなどの非合理性を感じることはありましたか。

今のところはありません。今後運用する中でそういうことも出てくるかもしれませんが、システム化やツールの導入で回避することは可能です。

前提として私は、ISMSという枠組みが生まれ、それが多くの企業に浸透してきたことは、情報セキュリティへの要請が高まってきた昨今のビジネス環境を考えると必然であると考えます。ISMSは、過去の様々なインシデントを踏まえ必要性が認められて出来たものです。ただ、それを現場に落とし込もうとした時に、あまりにも負担がかかってしまい、
それが形骸化に繋がることもあるのでしょう。しかし、負担がかかることがあれば、システム化やツールの導入で軽減することは私達の得意分野ですし、それが今後の課題にもなってくるものと認識しています。

注意しなければいけないのは、本質を忘れないことです。ルールに違反するための合理化には意味がありません。
ルールに則った上で、必要に応じた合理化を進めて行きたいと考えています。

— そのほか、今後はどういった取り組みをおこなわれるご予定ですか。

まずは現状に合わせてルールを作り、第一版が出来た状態です。これから人が増えると、利用するクラウドサービスやお客様が増えて来ますので、その変化に合わせてルールを適切にカスタマイズし、形骸化しないよう運営していくことが課題です。そのチューニングがうまく出来るようになった時に、また次の目標が見えてくるだろうと考えています。

「“コンサルのためのコンサル”に陥らない、無駄のない進行をしていただきました」(右;岩崎氏)※左は弊社三崎

「“コンサルのためのコンサル”に陥らない、無駄のない進行をしていただきました」
(右;岩崎氏)※左は弊社三崎

臨機応変で無駄のない進行。リモートワークへの理解も期待通り

— LRMのサポートはいかがでしたか。

無駄のない進行が出来て良かったと感じています。本当に必要なことに集中し、チャットで済むことはチャットのみで済ませ、対面で打ち合わせをする必要がある時だけ対面でやるという風に無駄なやりとりが一切なかったところが非常に良かったです。また、当初立てた計画から前倒ししていただくなど、臨機応変に対応していただきました。

— リモートワークに対する理解については、ご期待通りでしたか。

期待通りでした。リモートワークが原則の弊社では社内ネットワークがありません。全てクラウドサービスでアプリ型なので、アカウントやログイン周りの対策が重要になってきます。しかしリモートワークに慣れていない人とセキュリティの話をすると、「なぜ社内ネットワークがないのか」といった議論から始めることになり、本題に入るまでに時間がかかってしまいます。しかし、LRMとのコミュニケーションではそれがありませんでした。

— LRMへの今後のご期待がございましたらお話し下さい。

今後、弊社は自分達でISMSのルールを進化させていくことになります。ある程度のことは自分達で決められるとは思いますが、中には自信を持てないこともあります。そんな時に気軽に相談し、第三者の立場から客観的なアドバイスをいただける相手が必要です。そこで、LRMのISMS運用・改善サポート『情報セキュリティ倶楽部』を契約しました。
運用し続ける中で、進化の方向がずれないようサポートをしていただけることを期待しています。

株式会社ラクロー様、お忙しい中、有り難うございました。

株式会社ラクロー様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社ラクローのWEBサイト
※ 取材日時 2019年10月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る