からだポータル株式会社様 – 顧客事例 –

ISMS認証取得の準備は、LRMが全てお膳立てしてくださいました。心理的不安の大きかった外部審査も、落ち着いて対応できました

からだポータル株式会社は、LRM株式会社のサポートを受け、2022年2月、ISMS/ISO27001認証を取得しました。
今回の取り組み期間はわずか3ヶ月。取り組むにあたっての不安、LRMに依頼した理由、取り組みの成果などについて、代表取締役・井内伸一氏、取締役・高橋克昌氏のおふたりにお話を伺いました。

お客様が抱える課題とISMS構築アプローチ

医療情報を取り扱うため、自社の管理体制を対外的に証明したい
準備期間3か月で認証を取得したい
ISO9001認証取得の経験から、審査のために業務を変更する必要もあるのではないかと不安

オンラインでのお打合せを毎週実施
シンプルかつミニマムに整理させているLRMのひな形をもとに、台帳や文書を作成
これまでの業務ルールを変えることなくマネジメントシステムを構築

LRMコンサルティングサービスへの感想

業務への理解が早く、マニュアルへの落とし込みも迅速かつ的確
審査にコンサルが立ち合ってくれたことで、心理的な障壁が取り除かれた
『セキュリオ』の画面を見せればよいだけの項目もかなりあった

（からだポータル株式会社について）

からだポータル株式会社は、関西屈指の規模を誇る社会医療法人出身者が独立して設立したベンチャー企業。日本国民の健康寿命の延伸を目的とし、保健師、栄養士など医療従事者のスキルを活用し、予防医療分野で事業を展開する。現在のメイン事業は、リアルな健康イベントとITシステム
（健康アプリ）による健康増進事業である。ショッピングセンター内で医療従事者による健康相談会を実施。
相談会への参加者はそこで測定データと、そのデータに基づいた保健師、栄養士からのアドバイスなどの履歴を、WEBアプリで管理・活用できる。医療従事者との接点を病院や検診センターなどではなく、日常の生活動線であるショッピングセンターに置くことで、無理なく健康管理をルーティン化する狙いがある。現在は創業メンバーが以前在籍していた医療法人と、在職中からともにトライアルを続けてきた大手ショッピングセンターと提携し、数店舗で月1回イベントを開催。今後は常設店舗を開設し、複数店舗に広げつつ、提携病院を増やす計画だ。この他、病院や薬局などの医療機関が持っている個人の健康情報を個人で管理できる電子記録サービスPHR事業にも取り組む。
健康増進事業は、第5回大阪府健康づくりアワードで地域部門最優秀賞に選定されるなど高く評価されている。
オンラインとオフラインを融合した新たな健康サービスを展開し、超高齢社会に医療業界が直面する課題解決に挑む。
設立；2019年3月。本社；大阪府高槻市。従業員数；3名（2022年6月現在）

記事index

LRMへのご依頼内容；ISMS/ISO27001認証新規取得コンサルティング
健康寿命の延伸を目指しショッピングセンターで健康管理
海外開発パートナーとともにISMS/ISO27001認証を取得
懸念材料は、実質3ヶ月間という短期スケジュール
LRMに依頼した理由；長期的コストの安さと文書作成の簡潔さ
マニュアル作成は打ち合わせの場で完結
審査対応でも活用できるクラウドサービス『セキュリオ』
お客様に安心、安全にサービスをご利用いただくためのセキュリティ対策を
マイナポータル、医療情報銀行との接続を視野にLRMとのサポート契約を継続

LRMへのご依頼内容；ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話しください。

からだポータル株式会社は、2021年10月、LRM株式会社にISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。

担当者は増元さんです。11月初めにキックオフミーティングを行い、2022年1月に審査を受け、2月中旬、ISMS認証を取得しました。

11月にスタートして、少なくとも2月には審査を終えていなければならないという、非常にタイトなスケジュールでしたので、不安も大きかったのですが、結果的には、最後まで非常にスムーズに進行していただきました。

健康寿命の延伸を目指しショッピングセンターで健康管理

持ち帰りの宿題があっても、
苦労するようなことは全くありませんでした
（取締役・高橋克昌氏）

— まず、御社の事業について伺います。大手ショッピングセンターとのお取り引きが始まった経緯をお話しください。

大手ショッピングセンター様との提携は、社会医療法人に在籍中に我々から提案して実現したものです。

このお客様は、経営改革の柱の一つとしてヘルス＆ウェルネスというテーマを掲げています。何とか接点を作りたいと出入りの業者さんに話をしていたら、あるITベンダーさんが繋いでくださって、提案する機会をいただきました。

お客様は、以前より店舗を健康づくりの拠点にしたいというご意向をお持ちでしたが、
ショッピングセンターの方は、医療機関が健康管理や予防医療に積極的に取り組むとは思っておられませんでした。

予防医療で患者が減れば、病院の経営が成り立たないと考えていたようです。そこに医療機関の我々が、“健康イベントを起点にしたマーケティング活動”を提案したわけです。
タイミング良く、関西の既存店舗をシニア向け業態にリニューアルする計画が進んでいたため、そのオープンに合わせて健康イベントを取り入れていただけることになりました。その商談をしたのが2016年です。

— なぜショッピングセンターで健康イベントをしようと考えられたのですか。

超高齢社会における新規事業として、健康管理領域の事業をスタートしようとしたのですが、健康管理はマイナス要因が非常に多いことがネックとなり、利用者にとっては長続きしづらいという問題がありました。
健康管理は「あれは食べちゃだめ」「運動しなさい」「規則的な生活をしなさい」と、ストイックさが求められます。
しかも、健康は一時的に改善すれば良いというものではございません。特に健康寿命の延伸となれば、健康管理は一生涯のテーマとなります。しかし、死ぬまで我慢し続けられるようなストイックな方は限られています。
学校の宿題と一緒で、誰かに後押しされないと、なかなかできるものではありません。

そこで、ITを活用してデータを集めながら、適切な指導ができるリアルな場所を作ろうと考えました。しかもそのリアルな接点は病院の中に置くのではなく、日常の生活動線の中に組み込む必要があります。ショッピングセンターなら、買い物に行ったついでに相談して、食事のレシピを一緒に考えてもらうということも可能です。それによって健康管理が生活のルーティンになっていくのではないかと考えました。

今はまだ医療機関が持っているデータと、ショッピングセンターの健康イベントで測定した際のデータはシームレスに繋がってはいませんが、いずれはそこまで持っていこうという話を、医療機関とショッピングセンターの双方としています。そうなれば、日常の購買履歴から、問診だけではわからない生活習慣などが明らかになります。
医療機関にとっては、より適切なアドバイスができるようになりますし、ショッピングセンターにとっては、ヘルスケアに特化したOne to One マーケティングの起点となります。

— 医療機関のリソース不足という問題を解決する糸口にもなりそうですね。

その可能性は大きいと考えています。医療を受ける方の数は65歳から急増します。今後も深刻な高齢化が進むと予測されており、このままでは病院の運営が成り立ちません。コロナ禍で医療崩壊の危機が叫ばれましたが、それが日常的に起きる社会が20年後に迫っているのです。

そうならないようにするためには、65歳以上の病気を減らす必要があります。しかし、人間は急に病気になるわけではありません。若いうちから無理をせず、きちんと体のケアをしていくことが大切です。そうしなければ健康寿命は長くなりませんし、死ぬまで健康で生きられる社会は実現しません。したがって、生産年齢人口に医療サービスをいかに提供していくかを考えることが重要だと考えています。

海外開発パートナーとともにISMS/ISO27001認証を取得

— ISMS認証を取得した理由をお話しください。

我々のビジネスで扱う医療情報は個人情報の中でもとりわけセンシティブなデータですので、その取り扱いについて、きちんと管理できていることを証明する必要がありました。その手段としてISMS認証を取得しました。

— これまでは情報の取り扱いについて、何らかのルールは定めておられましたか。

井内が前職時代は医療情報の担当者で、病院のシステムを取り扱っていましたので、前職時代のポリシーをそのまま適用していました。

— ルールを引き継ぎつつ、新しい環境でお仕事をされているということですか。

そうです。連携先の医療機関が増えたら、マイナポータルや医療情報銀行との連携も検討したいと考えています。

— 短期間での取り組みとなった経緯を教えてください。

お客様から2022年4月には取得しておいて欲しいと、明確に期日を提示してご要請いただいたことが理由です。

以前から複数のお客様から情報セキュリティに関するお問い合わせをいただいていましたので、事業拡大においてISMS取得は必須要件であるという認識はありました。そのような状況下で具体的に期日を指定されたことが、実際に取り組むきっかけになりました。

–プライバシーマークではなく、ISMS認証を取得された理由をお話しください。

プライバシーマーク（以下、Pマーク）ではなくISMSを選んだ理由は、ISMSが国際規格であるためです。
弊社は、健康アプリの開発を海外のシステム開発会社に委託しています。Pマークは日本国内の制度ですので、海外には認証が及びません。委託先でも以前から、ISMS認証の取得を検討されており、実際に先行して準備を進めていただいていました。同じ規格に基づいたルールづくりをするためにISMS認証を選択しました。

— ISMS認証取得を決めたのはいつですか。

2021年8月です。それから10月にかけてコンサルティング会社と審査会社の選定を行い、11月にスタートする運びとなりました。

懸念材料は、実質3ヶ月間という短期スケジュール

長期的コストの安さと、
文書作成の簡単さがLRMに依頼した決め手です
（代表取締役・井内伸一氏）

— 4月には持っておいて欲しい、ということは3月中には取得していなければならないということですね。

そのとおりです。指摘事項への対応まで考慮すれば、遅くとも2月頭には第２段階審査を終えなければ、お客様の要求には応えられないと考えていました。今回の取り組みでは、スケジュールが最大の懸念材料でした。

— 開発は海外の開発会社に委託しているとのことでしたが、他の業務はどのような体制で行われているのですか。

常に、井内と高橋の2名体制で業務を行っています。社内で行っている業務の内容は、
主に企画です。事業内容、健康イベント、システムの仕様などの作成を行っています。
営業は、まだ稼働していませんが、販売代理店の仕組みを利用した体制を作っています。

— かなりお忙しい中でのお取り組みとなられたのですね。

ただ、今はまだサービスがα版からβ版に移ろうとしている段階です。現段階では、外の仕事がたくさんあるわけではありませんので、ISMS認証取得の取り組みが業務に支障をきたすという心配はありませんでした。

— 取り組み期間が短いため、ISMS認証が取得できたとしても、運用面に関するご不安はありませんでしたか。

我々は長年、医療情報を扱っていますので、普段やっていることが、ISMSの規格と照らし合わせて、全く駄目ということはないと思っていました。足りないところがあったとしても、その足りないところをコンサルタントにご指摘いただいて補えればなんとかなるだろうというイメージは持っていました。

— 自社のみでの取得をお考えになったことはありますか。

全くありませんでした。ISMSの要求仕様書に目を通しても、英語を直訳したようなもので、日本語として意味を捉えにくい文章になっています。何をすれば要求を満たしていることになるのかわからない項目ばかりですので、専門家のノウハウが必要だと思っていました。

我々が在籍していた医療業界は、認証だらけの世界です。比較的よく知られている業務品質に関する認証であるISO9001を含め、毎年何回かは、認証を維持するための審査を受けてきました。その中で、かなり細かい指摘をされる審査員の方も結構な割合でいらっしゃいます。コンサルティング会社の関与なしでISMS認証を取得することは考えていませんでした。

LRMに依頼した理由；長期的コストの安さと文書作成の簡潔さ

— LRMに依頼された経緯をお話しください。

LRMは知人の会社からご紹介いただきました。複数のコンサルティング会社と比較した上で、LRMに依頼しました。
決め手は以下の2点です。

（1）長期的コストの安さ
認証取得時の費用は、他に安いところがありました。ただ、認証取得後の運用サポートに関しては、最も合理的な料金体系だったのがLRMです。5年、10年という長期的視野に立てばLRMが最安値でした。

（2）文書作成の簡潔さ
LRMは独自に体系化した文書のひな形を用意しています。そのひな形を、自社の業務に沿って改変していけば、ISMSの要求を全て満たした、弊社用のマニュアルが仕上がります。文書体系自体がシンプルかつミニマムに整理されているため作業量も少なくて済みます。時間がない中では非常に魅力的でした。

— それぞれ詳しくお聞きします。まず（1）について、運用サポートは、一律のサービス内容となっているのでしょうか。

いいえ。サポート内容は変わります。クライアント側がフルサポートを求めるなら、そのニーズに合ったプランも用意されています。他社は選択肢がありませんでした。

弊社としては、現在、役員2名で業務を行っている状況ですので、そんなに手厚いサポートは必要ありません。
初期構築できちんとマニュアルを作成できれば、あとは我々2人がそれを理解して、きちんと運用すれば問題はありません。実際、認証取得後は、特に意識することなくしっかり運用できています。

— （2）について、比較された他のコンサルティング会社はマニュアルのひな形を持っていなかったのでしょうか。

いいえ。ただ、ベースの考え方がLRMと他社とでは全く違います。他社はISO27001の要求項目ごとに文書を作成するところが多く、おそらくこれがセオリーなのだと思います。

病院も病院機能評価や保健所の立ち入り検査など、第三者機関にチェックされる機会がありますが、そういった時も、評価や検査の項目ごとに文書を用意するのが一般的です。ISMSも同じ考え方で、審査は規格の項目ごとにチェックされますので、他社はその項目ごとにマニュアルを用意します。

ただ、このような作り方だとドキュメントの数が膨大な量になりますし、実際の業務に即して体系化されているわけではないため、1つのルールが重複して何カ所にも記載され、管理が煩雑になってしまいます。

それに対して、LRMが作成するマニュアルは3つです。1つ目が情報セキュリティマニュアルです。「からだポータルの情報セキュリティルールはこういうもの」と規定しています。2つ目が、マネジメントシステムを動かしていくときの約束を定めた管理者向けのマニュアルです。そして3つ目が、全職員が持つハンドブックです。審査では規格の項目ごとにヒアリングされますが、3つのマニュアルの各項目が、規格のどの項目とどの項目に該当するかを示す対応表も用意していただきましたので、審査対応で戸惑うこともありません。

— 審査のためではなく、運用に主眼を置いた文書体系になっているということでしょうか。

そうですね。認証を取るだけでしたら規格に沿った文書体系でも良いかも知れませんが、今後の運用を考えれば、複雑な入り組んだマニュアルよりも、一本化されたシンプルなマニュアルの方が、確実に運用し続けられます。

マニュアル作成は打ち合わせの場で完結

— LRMとのお打ち合わせは訪問ですか。

いいえ。打ち合わせは、すべてオンラインミーティングで実施しました。一度はお会いしたかったので、内部監査だけは、訪問で実施していただきました。

— 認証取得のお取り組みはスムーズに進みましたか。

はい。滞りなく非常にスムーズに進行していただきました。

毎週ミーティングを実施して、その中で弊社の業務に関するヒアリングをしていただき、その場で、増元さんにマニュアルを修正していただきました。

マニュアルの項目ごとにヒアリングしていただいて、現状をお伝えしていくと、ミーティングが終わった時には業務に合わせた文書ができていました。これまで運用していたルールを変える必要もありませんでした。

— 追加したルールはありませんでしたか。

追加した運用ルールはありましたが、それも項目を追加して、いつまでに実施するかを実行表に落とし込んでいただけましたので、特別負荷がかかる取り組みではありませんでした。

— 追加したルールに関して、特別面倒なことはございませんか。

全くありません。あえて言うなら、情報資産管理台帳の作成と管理ぐらいです。その他、組織図とネットワーク図も新たに作成しましたが、これらもいただいたテンプレートを弊社に合わせて作り変えただけです。作成後はLRMにチェックしていただいて、アドバイスをいただいて微修正しました。

取り組み前は、もっと準備が大変かなと思っていましたが、LRMが全てお膳立てしてくださいました。持ち帰りの作業も多少は発生しましたが、キックオフミーティングの際に使用する様式をすべて指定してレクチャーしていただきましたし、実際の作業も空欄を埋めたり、少し付け足したりするだけでできるような簡潔な作業ばかりでしたので、非常に助かりました。

— 打ち合わせは何回ぐらい実施されましたか。

11月から12月まで、毎週、計6回ぐらい打ち合わせをしてドキュメントを作成し、12月の下旬に内部監査を実施しました。内部監査は増元さんに内部監査員を代行していただきました。その後、第一段階審査と第二段階審査、それぞれの前にも実施して、審査に通った後、クロージングミーティングを実施しました。

信じてやってきたことにお墨付きをいただけましたので、これまで以上に自信を持って営業ができます

信じてやってきたことにお墨付きをいただけましたので、これまで以上に自信を持って営業ができます
（左；井内氏、右；高橋氏　※下は弊社増元）

審査対応でも活用できるクラウドサービス『セキュリオ』

— 従業員教育はどのように実施されましたか。

LRMが提供する情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用して実施しました。弊社はリモートで仕事をしていますので、eラーニングが便利でした。

— 『セキュリオ』はeラーニング以外の機能はご利用されましたか。

法令管理、委託先管理、BCP対策の機能を使いました。BCP対策は緊急連絡の訓練を実施する機能です。

『セキュリオ』は審査対応でも活用できます。実際の審査では、「『セキュリオ』で管理しています」で片付けた項目も結構ありました。

— 内部監査員代行もご利用になったのですね。

初年度はよくわかりませんので、とりあえずお願いしました。2年度目以降は、我々が監査員を務めても問題がないことを確認していますので、いろいろと考えて実施したいと考えています。

— 内部監査と、外部審査の直前に実施した打ち合わせは、目的は異なるものですか。

外部審査前の打ち合わせで実施したのは、書類確認と想定問答です。内部監査も審査を見越して実施していただきましたが、内部監査の時点で、修了していない施策もございました。例えば、イベント関連の施策は、実際にイベントを開催しなければ実施できません。外部審査前の打ち合わせでは、そういった部分も含めて確認していただきました。

— 審査はいかがでしたか。

ありがたいことに、本質に関わる部分での指摘はありませんでした。指摘があったものは、弊社としては、特に対応する必要を感じないものばかりでした。指摘に対しては、その場で、理由も一緒に説明して納得していただきました。

お客様に安心、安全にサービスをご利用いただくためのセキュリティ対策を

— ISMS認証取得に取り組まれたご感想をお話しください。

思った以上に楽だったというのが正直な感想です。我々はセキュリティに関しては、以前から非常に意識して取り組んでいました。それも楽に感じた要因の１つだと思います。これまで信じてやってきたことに対し、外部の方からお墨付きをいただいたことで、さらに自信を持って営業ができるようになりました。

また、審査に関しては、“審査のための審査”になるのではないかと思っていました。しかし、今回は全くそんなことはありませんでした。LRMも審査会社も、弊社の現状の業務を変えずに、いかにセキュリティを担保するのかという、運用の視点で見てくださいました。重箱の隅をつついて、これができていなければ絶対駄目といった指摘は一切入りませんでしたので、形骸化しない、運用しやすいマネジメントシステムができました。

— 今後の取り組みに関する展望をお話しください。

セキュリティを強化するために何か特別なことをするという視点ではなく、お客様に、安心、安全に我々のサービスをご利用いただくためにどうするかということが重要であると考えています。そのために必要なことがあれば、取り組んでいきたいです。

マイナポータル、医療情報銀行との接続を視野にLRMとのサポート契約を継続

— LRMのコンサルティングを受けたご感想をお話しください。

非常に良かったです。我々が話したことの理解も早かったですし、マニュアルへの落とし込みも、迅速かつ的確に行っていただきました。

また、審査の際は、増元さんがオンラインで、オブザーバーとして立ち会ってくださいました。今回の取り組みでは、作業そのものの苦労より、審査に向けた心理的な圧迫感を強く感じていました。病院時代にISO9001認証を苦しみながら取得した経験があるからです。しかし立ち会っていただけただことで、心理的な障壁が大分取り除かれ、落ち着いて審査を受けられました。