株式会社Kids Public様 – 顧客事例 –

株式会社Kids Publicは、LRMのサポートを受け、2022年7月にISMS/ISO27001認証を取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、橋本直也氏・齊藤杏奈氏のおふたりにお話をお伺いしました。

お客様が抱える課題とISMS構築

• 規格の要求事項に過剰に沿うのではなく、自分たちに合ったルールを作りたい
• 半年ほどで認証を取得したい
• 取引先からのセキュリティ監査に対応したい

• 自社の開発ルールは、委託先にも求めることを前提に作成
• 取引先からの監査のため、スケジュールを早めて取り組む

LRMコンサルティングサービスへの感想

• 臨機応変にいろんな相談に乗ってもらえた
• セキュリティに対して委縮したり、抵抗を感じることなく取り組めた
• 教育など従業員の意識向上において、『セキュリオ』は今後も活用したい

（株式会社Kids Publicについて）

株式会社Kids Publicは、インターネットを介した成育医療事業を展開している。遠隔健康医療相談サービス「小児科オンライン」「産婦人科オンライン」は、小児科・産婦人科の医師や助産師にスマホから24時間いつでも相談することが可能。所属医療者数は、2022年12月時点で190名を超え、ほぼ全員が顔を公開して相談に応じている。また、「小児科オンラインジャーナル」「産婦人科オンラインジャーナル」では、赤ちゃんや子供の健康および妊娠中から産後の不安を含む女性の健康について、医師がコンテンツを執筆し解説する自社メディアの運営や、LIVE配信なども実施。さらに、妊娠と授乳のくすり案内ボット「くすりぼ」も提供しており、自身の状況や症状に合わせて、自宅でできるケアや妊娠・授乳中でも安全に利用できる薬のリスト、受診の目安などを教えてくれる。企業の福利厚生や付帯サービスとして、100以上の自治体・法人に導入されており、産後うつ病リスクが相対的に33.5％減少、アトピー有症率が13％減少するなど、遠隔健康医療相談サービスとして健康への効果に関するエビデンスを持つ国内唯一のサービス。「病院で待っているだけでは届かない不安、孤独にリーチしたい」という創業時からの想いを抱きつつ、成育過程における健康を守り、その向上に貢献することを目指す。
設立：2015年12月。本社：東京都千代田区。従業員数：25名。（2022年12月時点）。

— LRMへのご依頼内容をお話しください。

株式会社Kids Publicは、2021年11月にISMS/ISO27001（以下、ISMS）認証の新規取得コンサルティングを依頼しました。担当コンサルタントは、増元さんです。
2022年6月に第二段階審査を終え、2022年7月に認証を取得しました。

— まずは御社の事業についてお聞かせください。

小児科医として働く中で、病院で待っているだけでは届かない孤独や不安があることに課題を感じていました。
そのため、赤ちゃんの保護者の方との接点を増やして、より気軽に私たちに相談してもらえるような窓口を設けたいという想いからKids Publicを立ち上げました。

Kids Publicのメイン事業としては、オンラインで医師・助産師に、小児科や産婦人科に関わる相談ができるサービスを提供しています。ただ、相談の前段階についても、週に1～2本記事を発信していたり、よくある質問はLIVE配信も実施していたりします。日頃から医療リテラシーを向上してもらい、お悩みを解決できる仕組みをご提供した上で、心配になったら医師・助産師に直接質問ができるというように、トータルでサポートさせていただいています。

また、テキストのみで気軽に相談ができる「いつでも相談」や、テレビ電話にも対応している「夜間相談」など、相談者の特性に応じていろいろな相談方法を用意しています。

— 小児科や産婦人科の医師に直接相談できるのですか。

そうです。小児科に関わる相談は小児科医、産婦人科に関わる相談は産婦人科医が回答するなど、必ず専門家が対応するようになっています。ほかの医療相談サービスの中には、小児科に関わる相談を整形外科の医師が回答していたり、似顔絵とニックネームのみ公開されている医師が回答しているケースもあります。
しかし、Kids Publicには、2022年5月時点で178名の医師が所属していますが、ほぼすべての医師、助産師が顔写真・経歴・名前を掲載した上で、責任をもって対応しています。

また、利用者に満足度を4段階で聞いており、1番上の評価を頂戴している割合が95％、2番目までを含めると99％になります。ただ、残り1%で、冷たい感じがしたなどのご意見をいただくこともあります。
利用者からのフィードバックは、所属医療者に対して共有しており、平均点以下の方には是正を求めるなど、更なる対応の質の均整化にも注力しています。

— 御社サービスは、健康に効果があると証明されていると伺いましたが、どのような効果があるのですか。

横浜市と東京大学との研究では、産後3か月時点での、産後うつの高リスク者の割合が33.5％減少したという結果が出ています。また、アトピー性皮膚炎についても有症率が13％減少したという結果を世界で初めて出しており、英語論文で発表しています。そういった点で、Kids Publicは、人の健康に貢献できるエビデンスを持っている国内唯一の遠隔健康医療相談サービスだと考えています。

— 認証取得を検討し始めたのはいつ頃からですか。

2016年の相談サービス開始時から、医療相談の内容は機微な情報が含まれているという認識はありました。
その情報が万が一漏えいしてしまったら、会社がつぶれてしまうよねということで、情報管理の必要性はずっと感じていました。

実は、2018年ごろに一度、情報セキュリティ認証のプライバシーマーク（以下、Pマーク）取得を検討していたことがあります。ただ、Pマークを取得して運用するには、台帳の作成や更新など、形式的に必要な事項があるように感じました。達成すべき点は、認証取得ではなく、情報がきちんと管理されることです。そのため、認証運用のために形式を守っていくのではなく、Pマークから情報の取り扱いにおける注意事項など必要なエッセンスだけを習得して、きちんと管理していくことを選択しました。

ただ、事業拡大に伴って、お客様が増えていく中で、企業としての責任もより大きいものになってきました。
また、人員の増加も可能になってきましたので、今回ISMS認証取得に踏み切りました。

— 以前にPマーク取得を検討されていたとのことですが、今回ISMSを選ばれた理由はございますか。

前職でISMSとPマークを取得・運用していた際に、Pマークは、入退室の記録方法など、自社の状況ではなく、要求事項に沿いすぎてるルールがあり、すごく不自然だと感じていました。Pマークの審査は7回ほど経験しましたが、こうなってないとだめだよという指摘を受けることがあり、疑問を持つこともありました。

Kids Publicの現在の状況を鑑みると、現段階でPマークのゴリゴリのルールを作って運用できるかと検討した際に、現実的ではないように思いました。なので、今回は、より自分たちに合ったルールを作れる幅があるISMS認証をもとに体制を整えていくことが、情報を守るという本質的な部分をより達成できると判断しました。

— 取得検討していた当時の従業員の皆様の情報セキュリティ意識はいかがでしたか。

日々業務に取り組む中で、取り扱う情報に対してリスクをしっかり理解できているかと言われると、足りていない部分もあったと思います。

また、医師の方は医療従事者なので、相談者の方の情報に対して、伝えちゃダメ・見せちゃダメ・言っちゃダメなど、医師としての倫理観から、きちんと守らなければならないという意識はお持ちでした。その一方で、具体的にどのように守っていこうという部分が曖昧になっていたかなと思います。医師の方は、普段病院にいらっしゃるので、病院のルールとして情報はきちんと守られていると認識されているところがあったのかなと感じています。ただ、病院内であれば、研究の一環としての利用が問題ないという情報も、企業における情報保護・管理の在り方とは異なる場合もあります。企業としてサービスを提供していく上でルールの整備が必要でした。

— 認証取得前に、セキュリティ規程などはございましたか。

Pマーク取得を検討していた際に作成した、最低限のルールはありました。ただ、マネジメントシステムのような体系的なものではなく、個々で判断して対応している側面もありました。

— 今回の認証取得はどのようなメンバーで取り組まれましたか。

今回は以下の3名で取り組みました。

橋本様：Kids Public代表。小児科専門医としても勤務。

齊藤様：ビジネスアドミニストレーション部所属。総務系の業務からPC管理、情報セキュリティ関連業務などを担当。前職でISMS認証とPマーク取得経験あり。

川畑様：ビジネスアドミニストレーション部、開発部所属。経営企画や、開発業務、情報セキュリティ関連業務、ユーザー対応など横断的に業務を担当。

ビジネスアドミニストレーション部は、総務や経理などを含めたバックオフィス業務を担当している部署です。
現状は、情報セキュリティについては専属の部署を設けているわけではありません。業務ごとにきちんと部署が分かれているというより、みんなで様々な業務をカバーしあっている状況です。

齊藤は前職でも、情報セキュリティや社内システムの管理業務を担当していました。その際に、ISMS認証とPマーク取得に、実際に手を動かす担当者として取り組んだ経験があります。また、川畑は、齊藤が参加する前から、システム周りの管理や情報セキュリティ管理に携わっていましたので、今回は上記の3名で取り組みを進めることにしました。

— 担当者の皆さんは、情報セキュリティ業務とは別の業務を兼任されています。別業務への影響などはございましたか。

齊藤を中心に取り組みを進めていきました。齊藤が前職で認証取得した際は、ゼロからルールや記録、書式などを自分たちで作成する必要があり、2～3年かけて取得を目指すような状況でした。

ただ、今回はLRMさんにコンサルティングしていただいて、ルールや書式もサポートいただいたり、日常業務に関しても社内メンバーで助け合いながら対応したので、すごく忙しかったという印象はないです。

— 前職では、自分たちでゼロからルールや記録を作成されたとのことですが、コンサル会社などは利用されていなかったのですか。

前職でISMS認証を取得した際は、審査員の方にコンサルティングをしていただいていました。ただ、様式などは持っていらっしゃらなかったので、あくまで、作成したルールや記録に対して、規格上問題ないかだけを確認してもらっていました。

ですので、自社に合っているかどうかというよりは、要求事項に沿ったゴリゴリのルールになっていた印象です。
規格上「望ましい」とされていることも、忠実にルール化していたので、今思うとかなり息苦しいルールだったかなと思います。

— 認証取得に取り組むにあたり懸念されていたことはございましたか。

最初は2～3年かけて認証取得の準備をしていく想定でしたが、2021年10月頃に、遠隔健康医療相談推進機構立ち上げの動きに合わせて「来年の夏ぐらいを目途に取りたい」という流れになりました。後ろを決められたときに、半年ちょっとしかないという状況の中で、その段階ではどのようにルールをまとめていくべきかが見えていなかったので、はたしてうまくいくだろうかと不安でした。

— 半年ほどで認証取得を目指すことになったとのことですが、コンサル会社選定の経緯をお聞かせください。

先述した通り、最低限のルールはありましたが、そこからISMSを構築していくとなると、半年では難しいと考えました。なので、自社のみで取得するのではなくて、様式をもらえたり、相談できる先としてコンサル会社を探しました。コンサル会社は2～3社ほどお話を伺いました。

齊藤が前職でISMSのルールを作成した時は、相談先の方に「こうあるべき」という考えが強くありました。
相談先の方もさまざまな経験の中でこうすればうまくいくという体験から、ルールを提案してくださっていたのだと思います。しかし、自社の状況を必ずしも反映したものではない、その方の「こうあるべき」でルールを作ってしまっていたため、運用するのも非常に大変でした。

セキュリティは、そうあるべきじゃなくていいものだと思っています。セキュリティ対策として、そうあるべき時もあるし、そうあるべきじゃなくてもいい時もあって、対策する人や組織の状況に応じて決められるものだと思っています。やはり、それぞれの会社の事情もありますし、Kids Publicは、いろんな人がいろんな仕事をやっているような企業なので、情報セキュリティについても臨機応変に考えられるような体制にしたいという想いがありました。
LRMさんは比較的若いコンサルタントの方も多く、柔軟に対応してくださる期待が持てたので依頼しました。

— 臨機応変に考えられるような体制を作りたいとのことでしたが、結果はいかがでしたか。

こうあるべき論ではなくて、まずはこうしていこうねというベースを作れたと思っています。
ただ、これからKids Publicとして、セキュリティをどうしていくべきかはみんなで考えていきたいと思っています。
最低限守るべきセキュリティは当然ありますが、そこではなくて、どこが重要でどういう運用がよりよいのかを検討していきたいと思っています。

— 認証取得によって、社内外で変化はございましたか。

社内としては、皆さんがいろんな声を挙げてくださるようになりました。ルールとして、声を挙げることを決めたというのもありますが、情報の取り扱いやミスについても、共有してくださるようになりました。

社外への影響としては、遠隔健康医療相談推進機構の場で取得をきちんと公表できましたし、Kids Publicとしてプレスリリースもしましたが、かなり反響があり、社外的な信用度の向上にも確実に繋がったと思います。

— ISMSを導入したことで、負荷がかかっているようなことはございますか。

インシデントが発生した時の報告や聞き取りの実施には、一定の負荷はかかっているかなと思います。
これまでは、事故と認識されていないようなことにも声が挙がるようになり、もともとの手順に問題がないかを立ち止まって確認するなどの聞き取りが発生するようになりました。そういったところで負荷がかかってはいますが、自己流でやっていた業務が洗いだされる良いきっかけにもなっています。

— 最低限のルールはあったとのことでしたが、台帳などは今回新たに作成されたのですか。

そうですね。基本的には事務局のメンバーで作成しました。
共有のドライブから情報資産を特定して、橋本と川畑が全部署を横断して業務を行っているので、作成した台帳に齟齬がないかを確認しつつ仕上げていきました。

— お取り組み全体を通して、工数がかかったところはございますか。

Kids Publicとして、開発におけるセキュリティルールがどうあるべきかを決めるのに時間をかけました。
当時は、開発業務を一部委託している状況だったのですが、自社の基準を決める際に、「これでは委託自体が難しくなるよね」「このルールは最低限必要だよね」など、委託することも踏まえつつ、自社として必要な基準を検討して制定しました。LRMさんからいただいたルールの中にベースがあったので、すごく時間がかかったわけではないのですが、全体を振り返ると丁寧に検討したかなと思います。また、制定した後は、委託先でその基準がきちんと担保されているかを確認していきました。

— 委託先におけるセキュリティはどのように確認されたのですか。

新たな委託先は無かったので、以前に実施していた調査を基に、セキュリティ基準が担保されているかを確認していきました。ただ、委託先環境は自社ではないので直接見ることはできません。本当に開発環境が調査通りになっているかどうかの確認は追加でアンケートを実施しました。

— 今回新たに導入したツールはございますか。

情報セキュリティ教育クラウド『セキュリオ』を導入しました。
『セキュリオ』は、主に従業員教育と委託先管理で利用しました。従業員教育は、『セキュリオ』のeラーニング機能を利用して、テンプレートとして登録されていた情報セキュリティ基本研修を従業員全員に受講してもらいました。委託先管理では、『セキュリオ』に登録されていたテンプレートの質問事項を基に委託先への状況確認を実施しました。今後も『セキュリオ』は活用していく予定です。

— 対応する中でスケジュールに遅延などはございましたか。

取り組みの途中で、他社から監査の要望があり、その監査対応はイレギュラーだったかなと思います。それ以外はスケジュールに大きな遅れもなく、順調に進みました。

— 他社から監査の要望があったとのことですが、審査機関とは別に監査があったということでしょうか。

そうです。お取引先様から、取引をする上で、実際に訪問して個人情報の取り扱いなど、セキュリティ状況を確認したいというご要望をいただきました。その監査に合わせて、文書類などの準備が完了するように対応を早めました。
また、事前に監査項目を共有いただいていたので、その質問に対して、マニュアルのどこを見せたらいいのか、どのように回答すればいいのかをLRMさんにご相談しました。監査は、特段問題なく終えることができました。

— ISMSにおける内部監査は、別途LRMが代行して実施したのでしょうか。

はい、増元さんにご対応いただきました。
一緒にルールを構築したので、分かっているだろうなと思いつつも、審査の予行演習もかねて色々確認していただきました。トップインタビューについても、事前に増元さんから想定問答をしていただきましたが、理解しておくべき観点の把握や、審査に向けた心の準備ができたので助かりました。

— 内部監査後に、お打ち合わせは実施されましたか。

その時点で審査に向けた対応はすべて終わっていたので、特に実施はしませんでした。あとはマニュアルのどの部分を聞かれているかの把握など自身でできる準備が必要かなというくらいで、齊藤が前職で審査を受けた経験もありますし、不安などはなかったです。

— 審査前に重点的に確認したところはございますか。

機密情報となりうる情報の確認は重点的に行いました。ユーザー様の個人情報の取り扱いなどは、台帳上にきちんと掲載されているかなど、審査に向けて漏れがないかを確認していきました。
従業員に向けては、PC設定や、OS・セキュリティソフトのアップデートなど、基本的なところをしっかり対応していただくようにお願いしました。

— 審査を受けられたご感想はいかがですか。

今回はリモートでの審査でした。リモート審査自体は特段やりにくさなどはありませんでしたが、今回、規格のどこを聞かれているかが分かりづらい質問が多かった印象です。
要求事項の通りに質問されるのではなくて、規格内容をうまく絡めて質問されるので、マニュアルのどこを見せたら正解なんだろうと動揺しました。笑
ただ、いくつかお見せすると、「ここで合ってますよ。次からここを見せてください。」というように教えてくださりながら、審査していただきました。

— 審査で該当箇所を教えてもらう場面もあったとのことですが、審査員の方はどのような方でしたか。

温和な雰囲気で紳士的な方でした。お話をよく聞いてくださった印象です。
基本的には、こういう風にするといいよという言い方で、こうしなければならないという指摘はありませんでした。
ただ、先ほども述べた通り、予想外の質問が多かったので、表には出ていなかったと思いますが、審査中は内心焦っていました。笑

— 審査で指摘事項などはございましたか。

大きなものはありませんでした。1点だけ、ここがないねという箇所がありましたが、すぐに対応できるものでしたので、問題なく認証取得できました。

— LRMのサポートはいかがでしたか。

担当していただいた増元さんへの信頼がすごくあり、導いてもらったと思っています。
ネガティブな感情は特にないですし、臨機応変にいろんなことに相談にのってくださり助かりましたし、サポートいただいて心強かったです。セキュリティに対して委縮したり、抵抗を感じることなく取り組めたのが良かったです。

『セキュリオ』については、今後も引き続き活用していきたいと考えています。従業員の意識向上を目的に利用したいと思っていて、標的型攻撃メール訓練機能を試したいと思っています。割と無意識にメールをあけていることもあると思うので、訓練を実施して意識を高めていければと思います。また、内部監査も『セキュリオ』を利用する想定です。これからさまざまな機能を活用していきたいと考えています。

— 今後の展望としては、どのようにお考えですか。

Kids Publicの事業としては、現在、毎年80万人ほどの子供が生まれている状況の中で、保護者が抱える孤独や不安、赤ちゃんの病気に対して、全員にリーチしたいと考えています。自治体でいうと、1,700あるうちの34か所にしか導入されていないので、すべての自治体に導入いただきたいですし、企業においてももっと広く知っていただきたいです。

情報セキュリティとしては、今回は認証を取得できたので、これから維持・運用していくところが目標になっていくと思います。取ったときは良かったけどだんだん崩れてしまうということがあってはならないので、しっかり運用していきたいと思います。また、運用していく中で、改善点が見つかると思いますので、常に良くしていく姿勢を組織として持って臨んでいきたいと考えています。

核家族化の進行など、コミュニティを持つことが難しくなっている中で、相談できる場所があることは重要だと思います。オンライン医療相談は「情報がきちんと管理されているから安心できる」と当たり前のように使ってもらえるようなサービスでありたいと思っています。セキュリティだからこうしなきゃではなくて、Kids Publicとしてこうあるべきというのを社内で共有しつつ、オンライン医療相談サービスを広めていけたらと思います。

株式会社Kids Public様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社Kids Public様のWEBサイト
※ 取材日時 2022年10月