株式会社Mealthy様 – 顧客事例 –

100やるべきか50で良いのか、ひな形を渡されただけでは判断出来ません。LRMのサポートがあったからこそ形骸化しないISMSが確立出来ました

株式会社Mealthyは2019年8月、情報セキュリティをサービス品質における重要な要素と捉え、ISMS/ISO27001認証取得に取り組みました。サポートの依頼先として選んだのはLRMです。“選定基準は信頼と安心”と語る代表取締役・鈴木勝之氏と、プログラマー・多留見友之氏に、認証取得までの経緯を伺いました。

お客様が抱える課題とISMS構築アプローチ

情報セキュリティの要件を満たしていないことが原因でサービス導入を見送られた経験がある
社員の多くが、リモートワークで個人情報を扱っている
形骸化させずに維持できる仕組みを構築したい

PCをすべて会社で用意し貸与するなど、業務環境を全社で統一
GoogleWorkspaceに統一するなど、1か月強かけてクラウド環境も整備
情報資産管理台帳は約4か月かけて作成

LRMコンサルティングサービスへの感想

LRMがいなければ、認証取得は不可能だったといえるくらい手厚いサポート
審査を受けるにあたり対応すべき各事項のレベル感などを教えてもらえた
『セキュリオ』のeラーニング機能で従業員教育に時間をかけることなく、要所を抑えて実施できた

（株式会社Mealthyについて）

スマートフォンアプリ『Mealthy』を開発。法人を対象に生活習慣病予防のための食事指導サービスを提供している。法人から委託を受け、40歳以上を対象とする特定健康診断で要指導対象者となった組合員に対し、アプリを通して栄養士が食事指導を行う。
健保向けにサービスを提供し始めたのが2018年。2020年10月現在の導入件数は約50社。健康経営への意識が高い企業を中心に、導入件数を増やしているところである。また、アプリは個人利用も可能。個人に対してはフリーミアムの形態で提供されており、同社が推奨する行動を取ることでポイントがたまり、栄養士に相談が出来る。今後は製薬会社と協業し、治療領域への参入も計画中である。
本社；東京都港区。設立；2014年11月。従業員数；約50名（2020年11月現在）。

記事index

LRMへのご依頼内容；ISMS/ISO27001認証新規取得コンサルティング
情報セキュリティ強化はサービス品質の重要な要素
リモートで個人情報を扱うための環境整備が課題
信頼性と安心感を基準にコンサルティング会社を選定
PCやクラウドツールなど、業務環境を全社で統一
「LRMのサポートがなければ認証取得まで2～3年はかかった」
ほとんどの情報セキュリティ事故は“人”に原因があることを実感
日々の運用改善や適用範囲の拡大についてLRMに相談

LRMへのご依頼内容；ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

株式会社Mealthyは、2019年8月、LRMにISMS/ISO27001（以下、ISMS）認証新規取得コンサルティングを依頼しました。2020年3月上旬、第2段階審査を終えるまで、担当者の金子さんにサポートしていただいてISMS認証を取得しました。認証取得後は、ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しています。

情報セキュリティ強化はサービス品質の重要な要素

コンサルティング会社選定では取得後のサポートも重要だと考えていました
（プログラマー・多留見友之氏）

— ISMS認証を取得した理由をお話し下さい。

弊社がISMS認証を取得した理由は、情報セキュリティの強化です。

きっかけは、あるお客様から情報セキュリティの要件を満たしていないことを理由に、
弊社サービスの導入を見送られたことでした。そこで、ISMSやプライバシーマーク（以下、Pマーク）など、情報セキュリティを対象とした何らかの第三者認証取得が必要となりました。

弊社が『Mealthy』を介して提供するサービスは個人情報を取り扱う領域です。情報セキュリティ強化はサービス品質において重要な要素であり、ISMS認証を取得することで営業の窓口を広げることになりますので、投資としてきちんと成立すると考えました。

— 第三者認証の中でISMSを選んだ理由をお話し下さい。

検討したのはISMSとPマークです。比較の上、最終的にISMSを選んだのは、これを機に、きちんとした枠組みの中で、セキュリティを担保出来る管理体制を整備したいと考えたからです。また、Pマークは個人情報のみにフォーカスした認証制度なので、それ以外の情報に対する管理を問われる可能性も勘案しました。

リモートで個人情報を扱うための環境整備が課題

— ISMS取得に取り組むにあたり、ご心配されたことや意識されたことはございましたか。

今回の取り組みでは、オンラインで個人情報を取り扱うところが最大のポイントだと考えていました。
弊社の従業員は約50名のうち約40名が管理栄養士です。管理栄養士は全員リモート環境で個々にユーザーと向き合い、食事指導を行っています。一箇所のオフィスに集まって行うカスタマーサポートではないですし、同じフルリモートでも皆で1つのプロダクトを開発するようなスタイルとも異なる新しい働き方です。既存の基準でルールを作ると、運用上、様々な齟齬が生じてしまいます。業務環境をいかにマニュアルに定めるか、研修をどうするかなど、複数拠点で業務を行う中、いかに会社としてのISMSを形骸化させずに維持するかが問題だと考えていました。

信頼性と安心感を基準にコンサルティング会社を選定

今回の取り組みではオンラインで個人情報を扱うための環境整備がポイントでした
（代表取締役・鈴木勝之氏）

— コンサルティング会社の選定基準をお話し下さい。

信頼性と安心感です。最安値と言ってもそれなりの金額にはなりますので、どうせ投資するなら確実にサポートしていただけるコンサルティング会社に依頼したいと考えました。
LRMに依頼した理由は3つあります。

（1）知り合いのベンチャー企業に対するサポート実績
LRMには知り合いのベンチャー企業を何社かサポートしている実績がありました。信頼性や安心というのは、インターネットで調べてもよくわからないところです。Webサイトではそれぞれ自社が一番だと言ますし、比較サイトの比較表を見ても意図的に作られているように見えますので、決め手に欠けます。

（2）全額返金保証制度
契約段階で、取得できなかった場合の全額返金保証制度についてご説明いただいたことも一因です。自信がある証であると感じました。

（3）アフターサポート
取得後、運用する中で、新規取得時に構築したルールにそぐわない部分が出てくることもあり得ます。その時に、そもそもルールを変えて良いのか、良いとしてもどのタイミングで変えて良いかなど、問い合わせや相談が出来る体制がしっかりしているところにお願いいたいという気持ちもありました。LRMにはISMSの運用改善サポート『情報セキュリティ倶楽部』がありました。

PCやクラウドツールなど、業務環境を全社で統一

— 管理栄養士の方がリモートで個人情報を取り扱うための環境整備は出来ましたか。

ベースを作ることは出来ました。ISMSを取得してまだ1年目なので、これから少しずつパワーアップしていきたいと考えています。

— 具体的にはどのような整備をされたのですか。

具体的にはPCやクラウドツールなどの業務環境を全社で統一しました。例えばPCは個人のものを業務利用していましたが、全て会社で用意して貸与し、個人所有の端末は禁止しました。また、クラウドツールも『G Suit』や『Microsoft365』など、各自異なるサービスを使っていましたが、『Google Workspace』に統一しました。

このように端末やサービスを統一した上で、それらを安全に使うためにパスワードポリシーや権限管理などのルールを定めました。

— 管理栄養士の方々は、クラウドツールをどのようにご利用されているのですか。

管理栄養士が使うのは主に『Gmail』と『Google Drive』です。『Google Drive』には、業務マニュアルや業務で扱うデータも保管しています。

— 今回の取り組みを通してご苦労されたところはありますか。

クラウド環境の整備は時間がかかりました。選定から検証、全社への導入まで1ヶ月強かかりました。

— マニュアルや情報資産管理台帳といったドキュメント類作成はいかがでしたか。

情報資産管理台帳の洗い出しは苦労しました。最初は何が情報資産に該当するのか、どれが管理すべき情報なのかがわからなかったので大変でした。台帳の作成は我々のタスクですが、LRMと打ち合わせがある時に、金子さんに疑問点を聞いたり、確認したりしながら、約4ヶ月かけて作成しました。

— 今回、ISMSを構築したことで仕事がしづらくなったことはありませんか。

ルールはLRMと相談しながら、業務負担をかけないように作ることが出来ました。ただ、管理者側の事務的作業は増えました。貸与するPCやクラウドツールの管理、ヒヤリハット事例の原因分析や対策など、ISMSを運用するための細かいタスクは少なくありません。今回、ISMSを取得する過程で何をやってはいけないかが理解出来ました。それによって目に付くことも増えており、その都度、運用を整え続けることは楽な道のりではありません。もちろん、結果としてそれが大きな事故を防ぐことになりますので、投資としてやるべきだと考えています。

「LRMのサポートがなければ認証取得まで2～3年はかかった」

— ISMSの構築や認証取得において、LRMはどんなサポートをしてくれましたか。

LRMがいなければISMS認証取得は不可能だったといえるくらい、手厚いサポートをしていただいたと考えています。どのような段取りで、どのような作業を行う必要があるのか、どのぐらいの細かさでドキュメント類を作る必要があるのかなどの判断は、自分たちだけでは出来ません。審査を受けるために必要なものは、ISOの認証機関が一通り公開しています。しかし、実際に取り組むにあたっては、公開されているものを全て満たさなければいけないのか、それとも満たせるものだけで良いのかといったレベル感がわかりません。関連書籍も複数あったため、LRMに依頼する前に目を通しましたが、そこに書いてあることを通常業務の中で実行するのは膨大な時間がかかると思いました。自分たちだけでやっていたら多分2～3年は費やしていたと思います。

— ISMSマニュアルの作成は御社側で取り組まれたのですよね。

ISMSマニュアルはLRMにひな形をご提供いただき、一緒に読み合わせしながら作っていきました。ひな形上は抽象化された表現になっていますので、弊社に合わせてカスタマイズしていくという作業が必要です。我々だけでやっていたら、ものすごく細かいレベルで具体的に記述しようとしていたのではないかと思います。そうなると何年かかるかわかりません。そこで、100%やるべきなのか、自社の実態に合わせて50%でやっておけば良い物なのかという感覚を教えていただきながら作成しました。情報資産管理台帳やリスク管理台帳などの台帳作成においてもわからないところは頻繁に聞きました。

— 従業員教育には、情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能をご利用されたのですか。

はい、『セキュリオ』は助かりました。テキストやテストなどのコンテンツ、配信機能、実施記録など、ISMS認証取得に必要な機能が一通り揃っています。従業員教育にそれほど時間をかけることなく、要所を押さえて確実に実施出来ますので、従業員に意識付けを行うツールとして良いと感じました。

— 管理栄養士の方々も全員受けられたのですか。

全員受講しました。今も入社時のタイミングで基礎研修を受けてもらっています。

— 内部監査に関してはいかがですか。

内部監査はLRMに内部監査員を代行していただきました。内部でやると視点が甘くなりがちです。第三者からの視点で指摘を受けることで、改めて気付くこともありました。そこで指摘されたことや、そもそも出来ていなかった部分を改善して、審査に臨み、ISMS認証を取得しました。

ほとんどの情報セキュリティ事故は“人”に原因があることを実感

— ISMS認証取得の取り組みを振り返っていかがですか。改めて気付いたことなどはございますか。

改めて痛感したことは、情報漏洩が起きる原因は、基本的には人だということです。人がオペレーションミスをすることで、漏洩や紛失が起きます。システムやプログラムが要因で起こる漏洩は微々たるものです。ヒヤリハット報告からも要因に人が絡むことだとわかります。今後、ミスが起きやすいところは、システムやプログラムに置き換えることで未然に防ぐという検討もしていく必要があると考えています。

LRMのサポートがなければ取得まで2～3年はかかったと思います

LRMのサポートがなければ取得まで2～3年はかかったと思います
（右から、多留見氏、鈴木氏　※左は弊社金子）

日々の運用改善や適用範囲の拡大についてLRMに相談

— その他、情報セキュリティに関して、今後の展望はございましたらお話し下さい。

今後、Pマークを取得すべきかどうかで悩んでいます。クライアントによって求めるレベルは一律ではありません。
クライアントによってはISMSの規格にはないような要求をされることがあります。それがPマークの範囲の話をしているのか、更に厳しい金融庁か何かのセキュリティ基準を求めているのか、まだ明確に把握出来ていません。第三者認証よりも厳しい社内基準を制定している会社は、世の中に無数にあります。その基準に応えることが間口を広げていく要因になるだろうと思っています。また、今後は新規事業に取り組む計画がありますので、ISMS認証の適用範囲を広げる必要も生まれます。引き続き、LRMに相談しながらしっかり対応していきたいと考えています。