Activaid株式会社様 – 顧客事例 –

お客様が抱える課題とISMS構築アプローチ

• 外資系の製薬企業との取引拡大のために、国際的な認証を取得したい
• スタートアップ企業である
• 取得に向けた作業量が不明瞭で不安

• 保留にしたいことや代替の対策案などを十分に検討し、納得のできないルールを残さない
• 3か月に1回情報セキュリティ委員会を実施
• 小規模な段階から体制整備することで、周知や浸透の工数を抑える

LRMコンサルティングサービスへの感想

• 豊富な実績の中で培われたノウハウをもとに、自社にとって必要十分のラインを定めるサポートをしてもらえた
• 相談にタイムリーに回答してもらえた
• 『セキュリオ』のeラーニング機能で受講履歴を管理できるのが便利

（Activaid株式会社について）

「医療の発展を光速に」をミッションに、創薬の効率化と患者参画を目指す医療系ベンチャー企業。疾患特化型のPHR(Personal Health Record)『ActivaidIBDアプリ』による患者中心の創薬プロセスの構築や、臨床試験コラボレーションプラットフォーム『SmarTrial』による臨床試験の生産性向上を推進している。サービスの利用対象者は患者、医療機関、製薬企業と多岐に渡り、また要配慮個人情報や臨床研究に関わるデータを扱うためセキュリティに対しての高い基準が求められている。
設立；2018年4月。本社；東京都千代田区。

— LRMへのご依頼内容をお話し下さい。

Activaid株式会社は2020年7月、LRM株式会社にISMS/ISO27001（以下、ISMS）認証の新規取得コンサルティングを依頼しました。11月に第2段階審査を終え、12月にISMS認証を取得しました。

LRMに依頼する際、担当の金子さんから認証発行まで半年ぐらいあれば大丈夫だろうと伺ってスケジュールを組みましたので、予定通りです。特にストレスを抱えることなく準備を進めることが出来ました。

— ISMS認証を取得された目的をお話し下さい。

弊社がISMS認証を取得した理由は、医療系のクラウドサービスを提供する会社として外部からの信頼を担保するためです。

弊社が開発・提供する『Activaid』というサービスでは、患者さんの医療情報、要配慮個人情報と呼ばれるデータを扱います。サービスを拡大していくためには信頼感の醸成が必要です。そこで以前から何らかの対策を講ずる必要性を感じていました。特に2021年以降は、製薬会社や大企業との取引が拡大することが見込まれていました。そういった企業と取引をしようとすれば、各社が定める情報セキュリティ上の要求基準を満たす必要があると聞いていましたので、それに備えるためにも2020年内には取得したいと考え、春先頃から動き出しました。

— 長谷部社長は医師でもあり、医療情報の保護について関連省庁が定めるガイドラインにもお詳しいと思います。そういったガイドラインを遵守するだけでは足りませんか。

確かに医療情報の保護に関しては厚労省などによる3省2ガイドラインがありますし、それらを遵守することは重要です。しかしガイドラインはあくまでもガイドラインです。遵守しているかどうか客観的に判定する仕組みはありませんし、罰則規定があるわけでもありません。
また、第三者に対して遵守していることを証明する術もありません。特に我々は設立間もないベンチャー企業ですので、信頼感の醸成には第三者機関による認証制度であるISMS、もしくはプライバシーマーク（以下、Pマーク）が必要だろうと考えました。
弊社の場合、今後取引が拡大すると見込まれる製薬企業には外資系企業が多いため、国際的な認証制度であるISMS認証取得を検討しました。

— ISMS取得によって業務がやりづらくなるといった、ご心配はございませんでしたか。

弊社の場合、まだ設立から間もない会社ですので、何かルールが固まっていたわけではありません。既に固まっていたルールをISMSに上書きする作業なら大変だったのかもしれませんが、弊社は良くも悪くもまっさらな状態からのスタートでしたので、逆に何もない今のうちにしっかり構築しておこうという意図はありました。

もちろん「まっさら」と言っても、セキュリティに気を配っていなかったということではありません。おそらく情報セキュリティに全く目を向けていない企業はないと思います。ただ、基準が揃っていないゼロベースの状況に対して、ISMSの要求事項を1個1個検討し、ルールを作って明文化して会社全体に周知させていくという作業を行ったのが今回の取り組みです。

取り組みを始める時点で心配だったのは、ISMS認証取得に向けた事務作業にどれぐらいの負荷がかかるかということだけです。LRMから半年ぐらいで取得できることは聞いていましたが、実際にどれぐらいの作業量になるのかはやってみないとわからないところがありましたので、多少は不安でした。

— 最初からコンサルティング会社のサポートを受けようと考えておられたのですか。

もちろんそうです。自分達だけでISMSを構築するのは無理だと思います。

— コンサルティング会社の選定はどのように進めましたか。

スタートアップの企業でISMSを取得した経験のある方に話を聞いて、それを参考に選定しました。2～3社に問い合わせて見積もりを取り、実際に会って話を聞いてLRMに依頼しました。

— どのような評価基準で選ばれたのですか。

まず、料金比較しました。しかし料金に関しては、各社でそんなに大きな差はなかったと記憶しています。特に参考にしたのは、話を聞いた方々からの評判と、これまでのサポート実績です。特にLRMは、医療系のサービスを提供している会社へのコンサルティング事例を公開していました。その経験から弊社に合ったアドバイスをいただけるだろうと思い依頼しました。

— ISMS認証取得をきっかけとして、新しく取り入れた対策はございますか。

それはまさしく運用です。年間計画に基づいた施策を実施し、情報セキュリティマネジメント委員会を定期的に開催して議事録を残すということは、これまでやっていなかったことです。今後の運用体制を整備することが一番の目的でした。なんとなくやっていると何かが起こったときに、感覚的にしか話せません。ルールを明文化して、活動計画を立て、PDCAのサイクルを確立したことが最大の価値だと考えています。

以上のことは知見のある人の助言がなければ出来ません。私はセキュリティのプロではありませんので、コンサルタントの話を聞かなければ構築できません。医療情報のセキュリティが大事だということは頭の片隅では思っていて、常に何となく気にしている経営者は多くいると思いますが、実際に行動計画まで網羅的に落とし込むところまでは至らないでしょう。

— 情報セキュリティ委員会ではどのような取り組みをされていますか。

弊社では3ヶ月に1回、情報セキュリティ委員会を実施する計画にしています。最近ですと、直近3ヶ月の活動で気になったことや、次の3ヶ月間にスタートする新サービスに関連したセキュリティ上の懸念事項と対策案などを全員で話し合いました。情報セキュリティ委員会で何をするかは組織によって違うと思います。弊社はやり始めたばかりなので課題が山積みという感じではありませんが、まずはこういう形で始めています。

— ISMS構築はどのような体制で行いましたか。

私を含めた2名体制で取り組みました。他の社員への周知は、ルールが決まった時にその都度話をして、最後にガイドブックで改めて共有しました。

— 取り組みをスタートした時点では、どれぐらい業務負荷がかかるか不安だったとおっしゃいました。実際にやってみていかがでしたか。

結局はたいしたことはありませんでした。それはもちろん、LRMのサポートがあったからです。会社の規模や、事業フェーズ、業態など、様々な要因によって、組織ごとにどこまでやれば良いかは異なります。
LRMの金子さんは、弊社に合った必要十分な対策を教えて下さり、大変ありがたかったです。それがもし、大企業のやり方を提示されていたら、とんでもない量の業務負荷がかかったでしょう。そういったさじ加減をきちんとしてもらったということだと思います。

— 具体的にはどのようなサポートでしたか。

一言で言えば、手取り足取りサポートしてもらいました。こちらは何もわかっていませんから、情報セキュリティマネジメントとは何か？というところから教えていただきました。先ほども申し上げたとおり、企業、組織によって、必要十分な対策が異なります。弊社にとっての必要十分のラインを定めるためのサポートしていただきました。

それは、金子さんがこれまで、様々な企業をサポートしてきた中で獲得してきた一定の基準がなければ出来なかったことです。そこに付加価値があると思っています。

— スタート時点では、これからどんな段取りで進んでいくのか、ある程度は把握しておられたのですか。

LRMとの初回ミーティングでスケジュールとタスクを決めた上でスタートしました。

— LRMとのミーティングは訪問によるものですか。

ほとんどオンラインで実施しました。私はオンラインでも全く問題がないと思います。コミュニケーションの障害になることは全くありませんでした。

— 文書作成はどうされましたか。

LRMからご提供いただいた雛形をベースに、各項目を弊社の実態にどう合わせるか、ミーティングで議論しながら作成しました。

— 「そんなことをしなくてはいけないのか」と抵抗を感じるような項目はありませんでしたか。

我々が疑問に思ったことは全て、金子さんに正直に相談しました。例えば、保留にしたいことや代替の対策案などです。自社の現状に合わせたカスタマイズは、思い切ってやっていきましたので、最終的に完成した文書には、運用が大変なルールや納得のできないルールは残っていません。

— 「納得はしていないがやらなくちゃいけない」というルールはないと。

弊社の場合はないです。弊社はおそらく、疑問に思ったことは、はっきりと申し上げるタイプの企業だと思います。
反対に、コンサルタントに丸投げして出来た文書をそのまま導入してしまう組織はあるかもしれませんが、コンサルタントとの信頼関係のもと、疑問に思ったことは素直に申し上げるということが、認証取得を目指す企業にとっては大事なことだと思います。

やはり、大事なことは認証取得後の運用です。実態とかけ離れたマネジメントシステムを構築してしまえば、それを延々と運用し続けなければいけません。最後にきついのは自分達ですから、真面目に突き詰めなければいけないと考えています。

認証を取ることがゴールなら、どんなことを書かれようが構わないという話になるのかも知れません。しかし、本当に業務の中で実施できるのかと考えたときに、「こんな面倒なことをやっていたら業務が止まってしまう」と思った時は、合理的な方法を自分から提案しなければ、実運用が可能なものにはなりません。そこは妥協できないところです。

— 従業員教育と内部監査のサポートはいかがでしたか。

従業員教育はLRMの情報セキュリティ向上クラウド『セキュリオ』を活用しました。
内部監査は内部監査員代行のサポートがありました。

— 従業員教育について伺います。『セキュリオ』のeラーニング機能を使ったご感想をお話し下さい。

従業員教育は実施記録の管理が煩雑になりがちだと思いますので、受講履歴を管理できるところが便利だと思います。

— 内部監査員代行はいかがでしたか。

外部に委託するかどうかという話でいうと、自分で見ると自社内のことで利益相反もあるでしょうから、第三者の目で見てもらった方が良いと思います。

— 内部監査を実施した時点で運用を変えるということもありましたか。

もちろんありました。改善点の提案を何点かいただきましたので、それを改善した上で本審査を受けました。初めて取る人にとっては、内部監査が外部審査のデモンストレーションで、模擬試験のような感じになりますので、そういう意味でも内部監査員代行はあった方が良いと思います。

— 実際の審査はいかがでしたか。

軽い指摘事項がいくつかあったぐらいです。審査員も金子さんと一緒で、理解力のある方でした。質問に対してきちんと説明すれば納得してくれる方でしたので、対応で困ることはほとんどありませんでした。

— 今後の取り組みについてお話し下さい。

ISMS認証取得の取り組み体制が整いました。PDCAを回しながら、成長に合わせてマネジメントシステムをブラッシュアップしていくのが、これからのフェーズとなっていきます。構築したISMSをベースに、各取引先から要求される水準に一つ一つ適応させながら、取り組みを発展させていきたいと考えています。

— そういった取り組みをしていく中で、LRMへの御期待がございましたらお話し下さい。

ISMS認証取得後は毎年審査を受けなければいけません。その時にわからないことがあれば、相談したいと思っています。また内部監査員代行もお願いしたいです。

他のコンサルティング会社を知らないので優劣を比較することは出来ませんが、LRMのコンサルティングに不満はありませんでした。こちらからの相談にはタイムリーにご回答いただいておりましたし、弊社に合ったマネジメントシステムの構築を指南していただきました。今後も引き続きサポートしていただきたいと考えています。

Activaid株式会社の長谷部様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ Activaid株式会社様のWEBサイト
※『ActivaidIBDアプリ』の製品サイト
※ 取材日時 2021年1月