株式会社インテグリティ・ヘルスケア様 – 顧客事例 –

株式会社インテグリティ・ヘルスケアは、LRMのサポートを受けて約4ヶ月という短期間でのISMS/ISO27001認証取得を実現しました。クラウド型のオンライン診療システムを開発提供する同社が認証取得に取り組んだ理由や、LRMにサポートを依頼した決め手、さらに取り組みの体系や成果などについて、取締役CFO・光澤彰二郞氏、CTO・島本大輔氏、CSO・永井真理子氏にお話を伺いました。

（株式会社インテグリティ・ヘルスケアについて）

地域のかかりつけ医をサポートすることをコンセプトとし、オンライン診療のクラウドシステム『YaDoc』を開発・販売している会社。オンライン診療で使用される機能は、オンライン診察、オンライン問診、患者のバイタルデータのモニタリング機能の3つだが、『YaDoc』はこれらを一通り備えている点が大きな特徴である。また既存の電子カルテや保険請求システムと連携するなど、診療所が導入しやすい環境を整えている。
同社はもともと在宅医療専門のクリニック医療法人社団鉄祐会をサポートする法人として設立され事業を展開してきたが、2016年に事業を転換し『YaDoc』の開発をスタートさせている。2017年4月からは福岡市、福岡市医師会と共同で実証実験を行い、2018年1月から商用販売を開始。2018年4月の診療報酬改定を機にオンライン診療そのものへの注目度が高まる中、積極的な事業展開を行っている。
設立；2009年10月。本社；東京都中央区。従業員数；約40名（2018年5月現在）。

かかりつけ医のサポートをコンセプトに開発されたオンライン診療のクラウドシステム『YaDoc』のWebサイト

— 御社がISMS認証を取得した理由をお話し下さい。

弊社がISMS認証を取得した理由は対外的な信頼を獲得するためです。『YaDoc』の対象である医療機関や診療所のドクター、あるいは『YaDoc』と連携する電子カルテや保険請求システムの会社などは、情報セキュリティに対し非常に敏感です。
商談の際には「情報セキュリティの仕組みはどうなっているのか」と技術と社内体制の両面から必ず問われます。また、連携先や（公立病院を運営する）自治体からはセキュリティアンケートへの回答を求められます。

弊社は厚生労働省が定めるオンライン診療に関するガイドラインに基づいて業務を行っていますし、そもそも非常にセンシティブな患者さんの医療情報を取り扱っている自覚を持っていますので、情報セキュリティに関しては常に気をつけて来ました。ただそれを客観的な視点で評価したり対外的に証明したり出来る手段は持っていませんでした。ISMS認証取得に取り組むことで、自社のセキュリティ体制を客観的に評価しなおして改善することが出来ます。またISMSは国際的に認知される認証制度です。そのお墨付きがいただければ外部に対する説得力は高まると考えました。

以上が、ISMS認証を取得した理由です。2017年11月、管理部門、サービス開発部門、技術部門、それぞれの責任者が集まり、具体的なアクションを開始しました。

— 約4ヶ月間での取得とおっしゃいましたが、お急ぎになられた事情がおありだったのでしょうか。

診療報酬改定にISMS認証取得を間に合わせたいという狙いがありました。弊社は『YaDoc』の2018年1月の商用販売を目指し、2017年秋頃から営業活動を始めました。その中で医療機関や診療所のドクターが情報セキュリティに非常に高い関心を持っているということが浮き彫りになりました。そこでISMS認証を取得して社内体制を整えようという意志決定をしましたが、2018年４月には診療報酬が改定されオンライン診療が保険対象となることが予測されていましたので、出来ればそれに間に合わせたいと考えました。

「杓子定規ではなく柔軟かつ必要十分なセキュリティルールを定めることが出来ました」
（事業開発ユニット ディレクター・永井真理子氏）

— コンサルティング会社選定の経緯をお話し下さい。

弊社に出資をしているファンドなどから、おすすめのコンサルティング会社を何社か紹介してもらい比較した上でLRMに依頼しました。

— 最終的にLRMにご依頼された決め手を教えて下さい。

LRMに依頼した決め手は以下の4点です。

（1）対応の早さと柔軟さ
LRMは問い合わせをした時点から対応の早さを感じました。またサービス内容を聞いて、柔軟な対応をしていただけそうな期待が持てました。特に打ち合わせや問い合わせ回数が無制限であることや文書類の作成代行などサービスの柔軟性が魅力でした。

（2）運用しやすいコンパクトな文書類
ISMS認証を取得するにはISMSマニュアルなどの文書類を作成する必要があります。LRM以外のコンサルティング会社の話を聞いていると、その文書類が膨大な量となり管理や運用が大変になるイメージがありました。LRMの場合は必要最小限に抑えるというご説明だったので運用がしやすいと考えました。

（3）IT企業に対するサポート経験と業務知識
弊社はクラウドサービスを開発するだけでなく、社内システムもクラウドで完結しており、紙文書を保存するという文化がありません。そのような環境でISMS認証を取得することについては多少不安がありました。弊社の企業文化をご理解いただけないと、ISMSマニュアルなどの文書類は紙ベースで保管することになりかねません。
LRMにはIT企業のISMS認証取得をサポートした経験を持ち、IT企業の業務を理解しているコンサルタントが在籍しており、その方にご担当いただければ安心してお任せできると考えました。

（4）目標期限に間に合う可能性
弊社が目標として掲げていた約4ヶ月間での取得に関して、他社は否定的な反応が多かったのに対し、LRMからは「頑張ればなんとかなる」とおっしゃっていただきました。弊社側の作業進捗状況や審査側のスケジュールにも左右されるため確約ではありませんでしたが頼もしさは感じました。

「LRMのアドバイスを受けて開発フローのドキュメントも整理できました」
（CTO・島本大輔氏）

— ISMS認証の適用範囲を教えて下さい。

適用範囲は全社です。東京本社の他、名古屋営業所、福岡営業所も含んでいます。

— ISMS認証取得の準備は順調に進みましたか。

はい、順調に進みました。最初は予想以上にやるべきことが多く、サービスのリリースを控えていたこともあって、弊社内の作業がやりきれるかなという不安はありました。
しかしLRMのコンサルティングがスタートしてからは、井崎さんのガイダンスに従えば出来そうだなという安心感に変わりました。

— 具体的にはどのようなことをされましたか。

まずはISMSマニュアルの作成です。予めLRMに用意してもらったひな形をたたき台にして、『Google ドキュメント』を使って井崎さんを含めた4名で打ち合わせをしながらリアルタイムに共同編集をして完成させました。その間の打ち合わせは、11月下旬からスタートして1週間おきに3回行いました。井崎さんに弊社に来ていただいて会議室で行ったこともありますし、オンライン会議システムで行ったこともあります。打ち合わせ時間は毎回約2時間で、井崎さんに弊社の実情や考え方をヒアリングしていただいてルールを整理していきました。

そして年明けにリスクアセスメント、情報資産台帳、委託先の情報整理、従業員向けのハンドブック作成などを社内で行い、2月に第1段階審査を迎えました。このフェーズでは2週間ごとに井崎さんに定期訪問していただいて不明な点を確認したり、成果物をチェックしていただいたりしました。

さらに、第1段階審査の後は従業員教育、内部監査、マネジメントレビューを実施して3月中旬に第2段階審査を受審し、4月上旬のISMS認証取得に至りました。

— 途中でやりきれるかどうかという不安が安心に変わったとのことでしたがそれは何故ですか。

最初に取り組んだ文書作成は、より具体的に言うとひな形を自社の業務プロセスに合わせて修正していくという作業でした。その作業を円滑に進めるために井崎さんはひな形の内容をわかりやすくポイントを押さえて説明して下さいました。またどのような内容にするかを決める際には、答えを押しつけずに弊社の状況や考え方をまず聞いた上で、適切な答えに導いて下さいました。そのため議論が停滞することなくスムーズに進めることが出来ました。

— 従業員教育はどのような形式で実施されたのでしょうか。

従業員教育はLRMの情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用して実施しました。『セキュリオ』は情報セキュリティに特化した教育クラウドシステムです。ISMSの基礎知識や情報セキュリティの重要性を再確認することが出来ました。システムそのものはシンプルで使いやすかったです。

— 内部監査の実施についてお話し下さい。

内部監査は内部監査員をLRMに代行していただき、第2段階審査に向けた模擬審査も兼ねて実施しました。現場の社員に対して当日を想定した質問や指摘をしていただくことで、注意すべきポイントを押さえることが出来ました。
東京だけではなく、テレビ会議を使って名古屋営業所と福岡営業所も実施しました。審査については名古屋と福岡のメンバーが特に不安がっていましたが、その不安を事前に解消することが出来ました。結果的に第2段階審査も大きな指摘を受けることもなく無事に終えることが出来ました。

「LRMは我々のやり方を柔軟に受け止めてくれるので取り組みやすかったです」
（取締役CFO・光澤彰二郎氏）

— 当初の目標通りにISMS認証を取得することが出来たということの他に今回の取り組みによる成果がございましたらお話し下さい。

自社の情報セキュリティ体制を見直し、社内ルールを整理して言語化することが出来たことは大きな成果でした。業務のスピードを損ねることもなく、弊社にフィットした情報セキュリティマネジメントシステムが構築できたと考えています。またそれによって社内への周知が徹底出来て情報セキュリティ意識をより高めることが出来ました。そのような意味でもISMS認証取得に取り組んだ意義はありました。

— 情報セキュリティ体制を見直した結果、追加したルールはなかったのでしょうか。

細かい部分で従来は意識してこなかったことも発見できましたので、必要に応じて検討してルールを定めました。しかし今回構築したマネジメントシステムは従来の業務フローや管理手順をベースとしています。基本的には不文律的に行っていたことを整理してドキュメントに落とし込んでいるので、業務に影響を与えるようなルールは適用していません。
プロダクトの開発フローに関してももともとドキュメント化していたものがありましたが、井崎さんの指摘を受けて不足する要素を付け加えただけです。

— 必要に応じて定めたルールとは、具体的にはどのようなルールですか。

業務で使うクラウドツールを会社が導入しているサービスのみに限定した他、パスワードポリシーを統一し、USBメモリの使用を禁止しました。

— クラウドツールはどのようなものを使用しておられますか。

社内および業務委託先との連絡にはチャットツールの『Slack』を使用しています。また、ファイル管理には『Google ドライブ』、スケジュールの共有に『Google カレンダー』を使用しています。これらクラウドサービスの利用に関しても『Google ドライブ』のアクセス権に関するルールを明文化したぐらいで、利用を制限するような特別なルールは設けていません。明文化したルールも一律ではなく、例えば『Google ドライブ』ではフォルダごとに業務内容や共有範囲に応じたリスク分析を行い、それぞれに対して必要十分なセキュリティルールを適用しました。セキュリティレベルを高めても、運用できないルールでは意味がありません。

— 情報セキュリティ意識を高めることが出来たともおっしゃっていましたが、それは何故ですか。

今回の取り組みで作成したISMSマニュアルや一般社員向けのハンドブックは『Google ドキュメント』を使用して全社で共有しています。そして第2段階審査における現場へのインタビューに備え、全社員にこれらの成果物を事前に一通り読んでもらいました。さらに内部監査を行ったことで審査に向けた対策が出来ただけではなく、情報セキュリティで気をつけるポイントを把握することが出来ましたし、意識向上にもつながったと考えています。

またISMSマニュアルやハンドブックは新入社員に対するレクチャーでも活用できますし、その後も必要に応じて読み返すことができます。従来も入社時のオリエンテーションで弊社の事業にとっての情報セキュリティの重要性は伝えてきましたが、継続的にフォローしていく仕組みはありませんでした。ルールを明文化したことで社内の認識を統一出来ただけではなく、その状態を維持できる環境も整備できました。