クラウドインボイス 様
情報セキュリティ対策と品質管理を徹底し
顧客の信頼に応える
クラウドインボイス様は2014年に設立され、自動経理システム「Cloud Invoice」の開発・運営や、会計事務所向けの記帳代行サービス「丸投げ記帳代行」の提供など、新たな経理代行サービスを創造、展開されています。この度、さらなるセキュリティ強化と品質管理の徹底を図られるにあたり、ISO27001、 ISO9001認証取得支援サービスをご利用いただきました。今回は、プロジェクトの経緯とその成果について、代表取締役 加藤 千曜様、取締役 濱崎 晃様、三原 稔様にお話を伺いました。
―貴社の事業内容をお聞かせください。
加藤:当社は2014年に設立し、税理士や企業、個人事業主の方々に向けた経理・記帳代行業を展開している会社です。請求書の作成から受送信、入金・支払管理までをサポートするクラウドサービス「Cloud Invoice」を開発、運営するとともに、会計事務所様向けの記帳代行支援サービスである「丸投げ記帳代行」を提供しています。
当社は2015年末、会計事務所および中堅・中小企業に対し、財務・会計、税務を中心とする業務システムを提供している株式会社ミロク情報サービス(以下、MJS)の子会社となりました。以降、MJSグループの一員として、当社ならではの技術やノウハウを活かし、会計事務所における業務効率化を支援させていただいています。
中でも「丸投げ記帳代行」は、会計処理にあたって特に煩雑な作業となりがちな帳簿作成業務を代行させていただくというもので、多くの会計事務所の皆様にご利用いただいています。
グループ一丸となってお客様の信頼に応えたい
―今回のプロジェクトを開始する以前は、情報セキュリティと品質管理についてどのような取り組みをされていましたか。
濱崎:情報セキュリティについては、ガイドラインは作ってありましたが、周知や徹底には課題がある状態でした。また、セキュリティ対策としては、ビルの出入り口で暗証番号やICカードを使用するなどの対策は行っていたものの、セキュリティ強化を意識したオフィスレイアウトの変更などは計画段階にとどまっていました。
一方、品質管理に関しては、認証取得プロジェクトに着手する前の年から「丸投げ記帳代行」の業務について体系的な手順書やチェックリストを作成するなど、取り組みを進めていました。ですから、これらの業務に関する部分では、本格的にプロジェクトを開始してからも、それまでに準備してきた既存の文書を活かしながら順調に進められたように感じています。
とはいえ、手順書を作り、対策をしているつもりでも、予期せぬ事故が起こることはあります。また、マニュアルやルールを作ってもそれが十分に共有できていなかったり、適切に実行されていなかったりする状況があり、それらをどのようにして共有、徹底していくかという点は課題に感じていました。
―ISO27001とISO9001の認証取得を目指したきっかけを教えてください。
加藤:当社がご提供するサービスは、お客様の重要な情報をお預かりして行うものです。お客様の非常に重要なデータをお送りいただき、決算や納税につながる会計処理の一端を担わせていただくわけですから、その責任の重さとともにセキュリティ対策や品質管理の重要性は常に認識していました。そのことが、認証取得の第一のモチベーションになったといえます。
また、品質管理については、これを機に、開発などの属人化しがちな業務についても手順や仕様を書面化することによって標準化し、担当者が対応できない場合にも作業が滞ることがないような状況を整備したいという考えもありました。
さらに、当社の親会社であるMJSがこれらの認証を取得しており、グループ全体で積極的に認証取得を推進していることも後押しとなりました。当社のお客様の多くはMJSのユーザーでもあります。そのため、MJSともどもお客様の信頼にお応えできるよう、あえて厳しいハードルに挑み、二認証同時取得を目指すことにしました。
効率的な進行で、QMS・ISMSの同時認証を目指す
―ニュートン・コンサルティングをお選びいただいた理由は何でしたか。
三原:私はMJSから出向してきているのですが、ニュートンさんにはMJSが2014年来ずっとお世話になっています。BCPの構築に始まり、ISMS、IMS、インシデント対応、リスク管理アドバイザリーと幅広くリスク全般のご相談をさせて頂いてきておりましたので、その信頼感があったためです。
これは余談ですが、審査の際に審査員の方にも「ニュートンさんが支援されているのなら間違いないですね」と言われました。(笑)
―プロジェクトの概要を教えてください。
加藤:ISO9001(QMS)とISO27001(ISMS)の仕組みの同時構築・同時認証を目指したプロジェクトでしたが、QMSとISMSともに認証範囲がほぼ同じであったこと、そして主担当の濱崎さんが組織・業務全体を把握している立場であったことなどから、事務局もQMS、ISMSともに濱崎さんを中心とする同じ体制で編成し、プロジェクトを推進しました。
濱崎:プロジェクトを効果的・効率的に進めるため、QMS、ISMSの両マネジメントシステム共通部分は同時に着手しました。共通部分とは、PDCAで言うPの前半の部分と、CAの部分です。Pでは、具体的にはたとえばトップインタビューや組織の課題分析、事務局運用ルールのマニュアル化などを一緒に行いました。また、CAの部分では内部監査体制整備とその運用、マネジメントレビューの実施などを統合して行うようにしました。
QMS、ISMS各マネジメントシステム固有の部分については分けて実施しましたが、その際にも、コンサルタントの方に業務理解を深めていただけるようQMSから先に着手し、それを踏まえて情報セキュリティにおけるリスクアセスメントやリスク対応計画の策定を行うなど、工夫をしました。
プロジェクトを進める中では、ニュートンさんから随時、「現状はどのような品質管理を行っているのか」「その中で問題点や心配事はないか」といった課題をいただき、当社がそれに応える形で文章に落とし込んでいきました。手を動かしながら着実に進めていくことで、当社にノウハウを残すことができたと感じています。
―苦労されたことはありましたか?
濱崎:先ほど申し上げた通り、「丸投げ記帳代行」の業務については前年から手順書やチェックリストの整備を進めていたおかげで、さほど苦労を感じなかったのですが、情報セキュリティについてはその段階では弱い部分も多く、苦労することもありました。
特に苦戦したのは、規格類には専門用語が多く登場するため、そもそもの言葉の意味や、書類がどのような考え方で作られているのかといったことから把握していく必要があった点です。ニュートンさんとは月に2回程度ミーティングを行い、都度課題を出していただいて進めていったのですが、ご説明をいただきながらも、時に見当違いなことをしてしまったこともあったかもしれません。
三原:私は、内部監査を始めるところからプロジェクトに参加させていただいたのですが、業務の流れなどについて頭では理解していても、いざ認証取得を念頭において文書化するとなると、どのように表現するのがよいのか非常に悩ましく感じました。
また、私はMJS在籍時は自分が内部審査を受ける立場だったものが、今回、内部監査を行う立場になりましたので、当初はどのように監査をすればよいのか、戸惑う部分も大いにありました。
ですが、ニュートンさんに色々とご指導いただきながら進めていく中で、品質管理や情報セキュリティについてきちんと整理することができたのは非常によかったと感じています。
ニュートンとの二人三脚で、認証取得の実現へ
―今回のプロジェクトの成果はいかがでしたか。
濱崎:まず、情報セキュリティに関しては、社内の意識が高まったことを感じています。情報セキュリティについてはプロジェクト開始前に作ったガイドラインがあったものの、以前はそれについての周知や教育はあまりなされていませんでした。ですが、今回の認証取得にあたり、このようなガイドラインはただ作っただけでは不足で、ガイドラインにそって実際に活動することの必要性が認識され、その通りに実行されるようになりました。これは大きな成果だと思います。
さらに、プロジェクトを進める中で、オフィス内に壁を作ってフロアを仕切るなど、物理的なセキュリティ対策をより強化したオフィス環境の整備も実現することができました。
三原:品質管理についても、従前からあったマニュアルがさらに整備できたことで、誰もが内容を共有し、簡単に説明できるようになったことが大きな成果だと思います。例えば「丸投げ記帳代行サービス」では、スタッフがデータ入力やチェックを行う工程がありますが、スタッフは入れ替わることもあり、その度に新しいスタッフへの指導が必要になります。そのような場合に、きちんと整備されたマニュアルや作業のチェックリストがあれば格段に指導がしやすくなり、新しいスタッフも短時間で業務を習得することができます。また、作業ミスを防止したり、その後の作業工程にかかる負荷を減らしたりすることにもつながるでしょう。
加藤:今回、認証取得できたことで、社員の名刺にも認証ロゴマークを入れさせていただきましたが、こうした取り組みによってお客様に信頼感を高めていただけるということが、何よりの成果ではないかと考えています。
―ニュートンのコンサルティングはいかがでしたか。
加藤:私は現在、当社の社長とMJSの役員を兼務しているのですが、実はMJSが認証取得した際も、認証取得に向けた対応を行うチームのメンバーでした。そのため、認証取得は容易なものではないということはわかっており、正直なところ、「最初の挑戦がだめでもまた挑戦すればいい」と思っていた部分もあったのです。ですから、初年度の取り組みで認証を取得できたと聞いた時には、「本当に取れたの?すごいね!」というのが最初の感想でした。
濱崎:プロジェクト開始時には、ISMSやQMSの認証取得は大変難しいものだという印象がありましたし、当社の企業規模から考えても、認証取得を目指すのは少し早いような気もしていました。ですが、実際に審査が始まってみると、思いのほか審査が順調に進み、認証取得を実現できたのです。私たちだけの力では、これほどスムーズに認証取得に至らなかっただろうと思いますので、ニュートンさんがしっかりとしたコンサルティングで導いてくださったおかげと感謝しています。
三原:認証取得が実現するまで、約1年半にわたるプロジェクトでしたが、ニュートンさんが根気強く対応してくださったのは非常にありがたく思っています。いつまでに何をすべきかのタイムスケジュールを最初に提示していただいた上で、課題を私たちに投げっぱなしにするのではなく、常に併走して一緒に進めてくださり、安心感を与えていただけました。認証は取得したものの、今後は取り組みを維持していくことが大切と考えています。今度ともどうぞよろしくお願いいたします。
―本日は誠にありがとうございました。
プロジェクトメンバー
| お客様 |
|---|
|
代表取締役 加藤 千曜 様 |
|
取締役 濱崎 晃 様 |
|
三原 稔 様 |
| ニュートン・コンサルティング |
|---|
|
取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介 |
担当の声
取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
「課題を的確に捉えた熱意ある取り組みで、認証取得を実現」
「課題の捉え方」とは、「クラウドインボイス様の課題をどう捉えるか」という意味です。というのも、高い情報セキュリティレベルや品質レベルを求められる事業でありつつも、人的リソースには限りがあり、あれもこれもといったルール整備は現実的ではないという事実がある一方で、クラウドインボイス様では既にある程度の品質管理ルールは整備されていたからです。規格とにらめっこをして、やみくもにどの企業にもあるような一般的なルールを押し込んでいくだけでは、全く役に立たないマネジメントシステムになっていたと思います。そうならないように、事務局の皆様には規格のことはいったん忘れていただき、「何が経営課題か」「何が心配事か」という“問いかけ”を何度もさせていただきました。文書化にあたっても、既に業務プロセスや情報セキュリティルールの基本文書があったので、「それをどのように活かすか」を積極的に議論しました。そうした取り組みの中で、「課題」をうまく捉えていただくことができたと思います。
加えて、忘れてはならないのは、プロジェクトメンバーの方々の「やる気」です。私達コンサルタントの存在意義は、お客様の代わりに認証準備をすることではなく、お客様の力を正しく引き出すことですが、そこにお客様のやる気が伴わなければ絶対にうまくいきません。その点、クラウドインボイスの皆様からは、間違いなく「コンサルタントに言われたからやる」のではなく「(自らそれが必要と感じるから)やるのだ」という意志が伝わってきました。その証拠に、事務局である濱崎様や三原様からは「これは何のために必要なのか」といった“目的”を問う質問を頻繁にいただきました。自ら考え、納得できないことはやらない、という意志の現れだったと思います。
非常にいいプロジェクトでした。クラウドインボイスの皆様、認証取得おめでとうございます。