クラフトバンク株式会社様 – 顧客事例 –
クラフトバンク株式会社は、LRMのサポートを受け、2023年9月にISMS/ISO27001認証(以下、ISMS)を、2024年1月にプライバシーマーク(以下、Pマーク)を取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、前島様、平井様、佐藤様のお三方にお話をお伺いしました。
記事index
(クラフトバンク株式会社について)
クラフトバンク株式会社は、内装工事会社に端を発する建設DXのスタートアップ企業。建設業の受発注プラットフォーム「クラフトバンク」を運営しており、全国約3万社が登録している。また、元請けと職人企業がリアルの場にて交流することが出来る「職人酒場®」を全国32都道府県で開催。2021年9月以降は、工事会社向け経営管理システム「クラフトバンクオフィス」を開発提供。クラフトバンクオフィスでは、各職人の案件管理、勤怠管理、日報作成、経費申請が可能で、それらのデータをもとに各現場の原価管理や粗利管理ができることにより、会社全体の経営管理まで実現できる。職人不足という社会課題に対して、事務作業などの業務効率化によって職人が工事に費やせる時間をより多く創出し、貢献している。世界に誇れる建設職人と建設会社がもっと儲かる仕組みをつくることを目指す。
設立:2021年2月。本社:東京都中央区。従業員数:85名。(2024年5月時点)。
LRMへのご依頼内容:ISMS+Pマーク新規取得コンサルティング
— LRMへのご依頼内容をお話しください。
クラフトバンク株式会社は、2023年3月にISMSおよびPマークの新規取得コンサルティングを依頼しました。
担当コンサルタントは、宮崎さんです。2023年9月にISMSを、2024年1月にPマークを取得しました。
— まずは御社の事業についてお聞かせください。
建設業界における職人不足という課題の背景には、高齢化による職人の減少だけではなく、職人が1日の中で実際に工事に携われる時間が少ないことがあります。当社はクラフトバンク総研というシンクタンク機能を所有しており、当社の調査によると、職人が1日のうち工事を行っているのは約4割で、残り6割ほどは移動や事務作業などに費やされています。当社は、DXにより事務作業を限りなくゼロにすることで、職人さんが工事に費やせる時間を増やし、職人不足の課題解決に貢献したいと考えています。
工事会社は高齢化などにより、DXがなかなか進んでいません。これまでは、紙やホワイトボードによる管理が主流で、たとえば勤怠管理は、一度出社してタイムカードを押してから、現場に向かう必要がありました。
また、日報や経費申請についても現場から会社に戻り、手書きで作成するケースも少なくありません。そうしたデータを事務員がさらにExcel等に転記することもあり、オペレーションコストが大きくなっていました。
そこで、当社は工事会社向け経営管理システム「クラフトバンクオフィス」を開発しました。本システムにより、スマホから勤怠管理、日報作成、経費申請などが可能です。職人が現場に直行直帰することも可能となり、大幅な業務効率化が期待できます。
まずはDXによる業務効率化が目標ですが、当社の活動が各工事会社の成長に繋がり、それが新たな人材確保にも繋がっていくと考えています。当社の調査によると、若者が建設業界に入ってもアナログさに絶望して転職してしまうケースもあります。
DXを推進すれば、若者も参入しやすくなり、離職率を低減することができます。間接的には、職人人口の減少という課題にも貢献できるのではないかと考えています。
顧客の安心感醸成のために、ISMSとPマークを同時取得し一気に体制整備を
— なぜ今回ISMSとPマーク取得をお考えになったのでしょうか。
クラフトバンクオフィスの販売促進のために、お客様からの安心感醸成が必要だと考えたからです。
建設業のDXは、コロナにより転換期を迎えました。コロナ前は当社の営業活動も対面が当たり前でしたが、コロナによってオンラインミーティングが増加しました。それに伴い、建設業でもデジタル技術の利用が浸透しつつありました。
また、インボイス制度や電子帳簿保存法の開始により、電子化せざるを得ない状況にもなっていました。2024年4月の労働基準法の改正により、流通業と建設業にける残業規制も改正されました。こういった背景から、クラウドバンクオフィスの価値は非常に高まると捉えて、販売促進をおこなってきました。
しかし、当社もまだ若い会社です。例えサービスの質が高くとも、工事会社の中には、知名度がまだあまりない企業のサービスに個人情報を預けて問題ないかを心配される企業も少なくありません。そうしたお客様の声に自信を持ってお答えできる環境を作る必要があると考えました。安心感醸成のために必要な事項は複数ありますが、情報管理について胸を張ってお答えするために、今回ISMSとPマーク取得に取り組むことにしました。
— まずはISMS、Pマークのいずれかのみを運用していく選択もあったかと思います。今回、同時取得したのは、どういった背景がありましたか。
お客様の個人情報を扱うことも多かったので、ISMSとPマークの両方を取得していた方が、お客様により安心感をお持ちいただけるのではないかと考えたためです。
当社は、最少人数でコーポレート業務を遂行しています。いずれ両方取得するのであれば、2回に分けるよりも同じタイミングで取得した方が良いと考えました。結果として、ISMSとPマークには共通性もあり、社内オペレーションがまとめて整備できたのは効率的でした。また、同時に取得することで、社員のセキュリティ意識もより高まるのではないかという期待もありました。
— 取得以前に抱えられていたセキュリティ課題はありましたか。
当社は内装工事会社から分社化して設立しました。分社化前の会社でISMSやPマークの取り組みをしていたので、個人情報のガイドラインなど最小限の土台はありました。ただ、この会社としてのセキュリティ規程の整備までは出来ていませんでした。
社員のバックボーンは二極化しています。業種でいうと、IT業界出身者と建設業界出身者がいます。企業規模でいうと、ベンチャー企業から来ている方と、大手企業から来ている方がいます。IT業界や大手企業出身の方は、ISMSやPマークについて前職でも経験しているため、「会社として取り組むのは一般的」といった感覚があります。それに対して、建設業界出身の方は、「Pマークは名前を聞いたことがあるけれど、ISMSは初めて聞いた」という方がほとんどでした。そのため、社員のセキュリティリテラシーや意識レベルにはバラつきがありました。
取得に取り組むことを決定した当時、従業員数が直近1年間で倍増していました。セキュリティルールは人数が少ない時にしっかり浸透させて、それを文化や習慣として根付かせたうえで従業員が増えていく方が絶対に良いなと考えたので、このタイミングでの取得に踏み切りました。
— まだ人数が少ない段階での取得の取り組みに懸念はありませんでしたか。
情報管理やガバナンスは、いずれやるのであれば早い方が良いと考えています。早期に土台を作り、キーマンたちがしっかりと意識を高められる状態を作っておかなければ、人が増えてから同じことをやろうとすると、増加した人数の比率以上に工数がかかると思います。一人ひとりに強くメッセージを訴えられる段階で取り組む方が、中長期的にみると効率的だと思います。
— 今回のお取り組みはどのような体制で進められましたか。
取締役の前島がコーポレート責任者も担っており、本プロジェクトの全体統括をおこないました。情報管理責任者についてはCPOの武田をアサインし、情報管理におけるテクノロジー部分を確認してもらいました。その他、コーポレートチームメンバーが運用実施のために数名参加しました。役員が参加することで、会社として注力していくプロジェクトだと社内に示し、スピード感をもって対応していきたい想いがありました。
事業を理解し自社に合った運用設計をしてくれるコンサル会社を選択
— 今回、ISMSとPマークを取得するうえでLRMをご利用いただきました。選定の経緯などをお聞かせください。
当社の前身である内装工事会社でも、ISMSとPマークを取得していました。実は、その際にもLRMさんにご支援いただいていました。当時LRMさんとやりとりをしていた担当者からも良いという評判を受けていましたので、当社でもLRMさんにご支援いただくことにしました。
情報管理やガバナンス、コンプライアンスなどのコンサルティング会社は、「こういうものなので、こうしてください」という指示をされるところが多い印象です。しかし、ISMSやPマークは取得が目的ではなく、運用して管理できる仕組みを構築することが目的です。そのため、当社の会社としてのステータスやサービスへの理解がないと、当社に合った運用設計が実現できないと思います。LRMさんは、当社のビジネスモデルや状況を理解して、同じ目線で寄り添って支援していただけたので、やりやすかったです。
— お取り組み全体を振り返ってみられていかがですか。
短期間かつ少人数での対応という条件でも、ISMSやPマーク運用の仕組みの土台ができたことは、最初のステップとしては成功したと捉えています。今回のプロジェクトによって、ISMSやPマークに馴染みの少ない業界出身の社員も、一定のセキュリティ基礎知識を獲得できました。また、もともとセキュリティ意識が高いメンバーが、同僚でまだ知識が少ないメンバーに対して、知識を共有するシーンも生まれてきています。当初の狙い通り、少人数の時にキーマンを増やして、浸透させていく流れが垣間見えるようになったのは良い変化だと感じています。
先述した通り、ISMSやPマークを取得することではなく、当たり前にしていくという習慣化が一番大切だと考えています。今後も継続的に新入社員が増えていくことが予想されます。我々プロジェクトチームだけが説明できるのではなく、もともと取得時に在籍していたリーダークラスなどのキーとなるような社員が自ら説明し教育できるようにしていくことが今後の課題です。
社員に取得目的を理解してもらったことが、プロジェクトを円滑に進めるカギ
— 本プロジェクトはどのように進めていかれたのでしょうか。
LRM宮崎さんにアドバイスいただきながら、年間スケジュールをしっかり組んで、それに沿ってきちんと進めていきました。
プロジェクトを進めるにあたりずっと意識していたのは、取得の目的を理解してもらうことです。目的の理解なきままに「これをやってね」と依頼してもなかなか社員の意識レベルは上がらないですし、メンバーに自身で考える力が付きません。やはり、本プロジェクトを進めるには、プロジェクトメンバーには一定の負荷がかかりますし、当然社員にとっても制約は増えます。そこに対して、目的をきちんと明確にしてそれをしっかり伝えたうえでプロジェクトを進めることを意識しました。
結果として、各プロジェクトメンバーも自分の役割や何のためにするのかを理解してくれたので、既存業務プラスアルファの取り組みにはなりましたが、軽視せずに重要なタスクとして認識し進めることが出来ました。それが短期間での取得実現や、アウトプットの質の担保に繋がったのではないかと感じています。
— プロジェクトメンバーの中にも、今回初めてISMSやPマークに触れる方もいらっしゃいました。必要な知識や手順は、どのように学んでいかれましたか。
ISMSやPマークの運用はまったく経験が無かったので、自分自身勉強しながらプロジェクトに取り組んでいきました。
情報セキュリティには、理解するのに一定のハードルがあるように感じます。ただ教材を読むだけでは頭に入りづらい部分もあったかもしれませんが、取り組む目的や重要性を理解したうえで勉強していったので、理解が難しいところに対してもしっかり学びつつ取り組んでいけました。
また、ISMSやPマーク特有の専門用語も多くありました。知識が無いまま専門用語と向き合うと空中戦になってしまって、分からないことが多くなってしまいます。そうしたテクニカルな部分について、私たちはあまり背伸びをせずに分からないところは分からないとして学ぶ姿勢を持って臨みましたし、LRM宮崎さんや知見を持っているプロジェクトメンバーが全員の目線が合うように立ち止まって分解して説明してくれたので、初めて取得を経験するメンバーもついていくことが出来ました。
— 運用しやすい仕組みづくりのために、コンサルタントが事業を理解したうえで支援してくれるかを重要視されていましたが、LRMコンサルタントとのコミュニケーションはいかがでしたか。
丁寧なコミュニケーションが出来ていたと思います。我々もなるべく背景や業界特性などを含めて自社の事情をお伝えしていました。それに対してLRM宮崎さんも専門用語を多用したり、トップダウン的な指示ばかりではなくて、分かりやすく翻訳しつつ我々の意志を確認しながら進めてくださいました。丁寧な双方のコミュニケーションにより、お互いに理解度を高めながら進められたのは良かったです。
また、Slackなどを利用して頻繁に質問できた点も良かったです。例えば規模が非常に大きく、社歴が長いコンサルティング会社の中には、我々のようなベンチャー企業の時間軸とは大きくズレが生じているケースもあります。LRMさんとは、時間軸やコミュニケーションのやり方など、会社同士のリズムやテンポも上手く合っていたと思います。
must条件かwant条件かを見極めてルールを策定
— 今回新たにセキュリティ規定を作成されていくうえで、指針にされていたことはありますか?
「運用できるのか?」「サステナブルな仕組みかどうか?」が大事だと考えていました。
背伸びしすぎて運用実効性のないルールにはしたくなかったので、must条件なのかwant条件なのかを見極めつつルールに落とし込んでいきました。
must条件かwant条件かを見極める際には、そのリスクやインシデントが発生するシーンを想像しながら検討していきました。
例えば、当社の業務オペレーションだとこのシーンはあり得るからmust条件でルールにしようとか、今は異なるが将来的にこういうオペレーションになったらこういう可能性があるという場合は、現段階は少し背伸びだからwant条件にしようなどです。
セキュリティリスクの発生確率は、事業オペレーションから大体想像できるので、現在の業務フローの延長線に発生しうる可能性が一定程度あるならmust条件として、発生確率が限りなく低い場合やリスクに対してリカバリーがある程度見えている場合はwant条件としてルール化していきました。
リスクの洗い出しや発生確率の検討は、LRMさんが提供してくださったリスク管理表などのフォーマットに沿って整理するプロセスを踏めたので、体系的に対応出来たと思います。
— すでにあったルールや文化が、ISMSやPマークの仕組みづくりに活きた場面はありましたか?
当社の文化としてDXがベースにあり、創業時からなるべく電子化しようというのがスタート地点でした。システムの導入が進んでいたので、やりやすかった側面もありました。
また、経営チームに関しては、自社が扱っている情報の重要性への意識がもともと高かったことが取り組みの進めやすさに繋がっていました。建設業界は、会社同士のつながりが強い業界のため、もし我々が何かインシデントを起こしてしまうと業界全体にすぐに広まってしまいます。経営チームが情報セキュリティリスクの低減は早い段階で対応が必要だと認識していたため、他社だと情報システム部門が経営層にISMS取得を提言する場合もあると思いますが、そういったコミュニケーションコストはかかりませんでした。
— 新しいルールの社内周知について、工夫された点はございますか。
当社は月に1回全社ミーティングを実施しています。その場で、社員に対して取得の開始報告や各タイミングでの進捗共有をおこなっていました。
最初の取得開始の時点で取り組む目的をしっかり伝えて、その過程で痛みを伴うことを正直に伝えていました。「皆さんの工数が増えたり、面倒くさいなと思うこともあると思う。ただ、この目的のために一緒にやっていこう」と事前に訴求していたので、取得が悪影響を及ぼすことはほとんどありませんでした。また、取得前のプロセスについても都度開示していましたし、取得後についても全社ミーティングでの共有に加えて、部門単位でコーポレートスタッフが説明会を実施するなど、細かく情報共有をおこなっていました。
— 社員のセキュリティ意識にバラつきがあったとのことでしたが、従業員教育はどのように実施されましたか。
eラーニング形式にて実施しました。全社ミーティングで随時実施を依頼していたのに加えて、Slackなどでプロジェクトチームから個別にフォローアップもおこないました。やはりeラーニングの進捗状況は社員ごとに異なります。もともとリテラシーが高くてすぐに終わる方もいれば、なかなか着手できていないメンバーもいました。細かくリマインドするなど、状況にあわせたフォローをしました。
eラーニングは、セキュリティ教育クラウド「セキュリオ」を利用しました。受講状況やテスト結果が分かりやすく確認できるため、従業員教育の実施がかんたんにできました。教材の配信方法についても、マニュアルが用意されているので困ることはありませんでした。また、操作もシンプルです。教材配信後も社員から受講方法について質問が殺到することなく、スムーズに受講できているようでした。
LRMはスピーディーな対応や事前フォローが本当にやりやすかった
— 内部監査はLRMコンサルタントが担当しましたが、メリットはありましたか。
今回のプロジェクトメンバーにとって、ISMS取得を主体的に推進していくのは初めてでした。そのため、内部監査で専門家の目線から私たちが気づかない観点について指摘いただけたことで、新たな気づきが得られたのが良かったです。また、ここがダメという指摘で終わるのではなくて、指摘に対する対応方法もご提案いただけたのでスムーズに対応することができました。
— 外部審査を受けたご感想をお聞かせください。
外部審査を受けるのは今回が初めてのプロジェクトメンバーもいましたので、審査開始直後は緊張感がある中で的確に受け答えができるのか不安を感じているメンバーもいました。しかし、LRMさんから事前に情報を共有いただき、当日の対応について整理できていたので、結果的にはスムーズに対応できたと思います。
ISMSとPマークそれぞれの審査を受けましたが、審査を受ける我々としては、当社のセキュリティ体制を説明するスタンスに違いはありませんでした。審査機関ごとの違いについても、ご担当者様の個性やコミュニケーション方法の違いはあったものの、大きな違いは感じませんでした。違いが無かったからこそ、Pマーク審査は事前にISMS審査を経験してから臨むことができたので、多少負荷が少なく感じました。
— LRMのサポートはいかがでしたか。
本当にやりやすかったです。やり取りもすごくスピーディーで、ちょっと疑問が出てきた時に質問をするとすぐにレスポンスが来たり、こちらが不安に感じるところを予測して事前にフォローいただけて助かりました。LRM宮崎さんのお人柄もあると思いますが、コミュニケーションが取りやすかったです。「ここはキツイです」というのも正直に伝えさせてもらいましたし、逆に「ここはちゃんとやりたいです」という意志があるところも相談に乗っていただきました。全体的に非常に良かったと感じています。
社内メンバー同士で教えられる文化や習慣を根付かせたい
— 今後の展望や課題についてお話しください。
我々自身が上場を目指していく中で、いまよりも情報管理に対してお客様から信頼をしっかりと勝ち取っていくことが大事だと考えていますので、情報セキュリティは継続して対応していきます。
また、社員もこれからどんどん増えていくと思います。冒頭に申し上げた通り、今いるメンバーがしっかりと理解を深めて、新しいメンバーに伝達していくことが重要です。情報セキュリティチームや経営層ではなくて、メンバーからメンバーに伝達して指導できるような文化や習慣を根付かせることこそが、情報管理やガバナンスの本質だと考えています。社内メンバーが隣の人に教えられる段階までいけると、すごく強い組織になると思いますし、そこを目指していきたいです。
セキュリオは今後も利用していく想定です。また、情報セキュリティ運用サポート「情報セキュリティ倶楽部」も契約しました。時代ごとに法令やトレンドは変わります。我々だけではキャッチアップしきれない情報を、LRMさんから共有いただけるとうれしいです。また、ISMSやPマークについても定期的に更新する必要があるので、その時の当社のステータスに適したアドバイスをいただきたいです。
クラフトバンク株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
※ クラフトバンク株式会社様のWEBサイト
※ 取材日時 2024年3月