株式会社ニューロスカイ様 – 顧客事例 –

株式会社ニューロスカイは、LRMのサポートを受け、2022年5月にISMS/ISO27001認証とISMS-PIMS/ISO27701認証を同時に取得されました。取り組むにあたってのご不安、LRMに依頼した理由、取り組みの成果などについて、佐野悦子氏・藤原美佳氏・伊津野徹氏のお三方にお話をお伺いしました。

株式会社ニューロスカイは、主に脳波と心電・心拍などの生体データを取得し、解析するサービスを展開しており、生体センシングチップ搭載のデバイスやそれらを活用したシステムの開発、ヘルスケア・医療機器製造などをおこなっている。猫の耳の形をしたカチューシャ型の脳波計である「necomimi」は、装着することで装着した人の感情が猫の耳の動きや鳴き声で分かる商品。
単に友人同士のコミュニケーションにおいて利用されるだけではなく、子供の学習における集中度の計測や、病気のため会話が困難な方の脳波の計測など、幅広い場面で活用されている。脳波や心電・心拍などの生体データを活用するという未開拓な領域の中で、「Body and Mind. Quantified.」をコンセプトとして掲げ、心と身体における健康の見える化により顧客課題解決につながるソリューションを提供し続けている。
設立：2018年9月。本社：東京都中央区。従業員数：13名。（2022年8月時点）

— LRMへのご依頼内容をお話しください。

株式会社ニューロスカイは、2021年8月にISMS/ISO27001（以下、ISMS）認証と、ISMS-PIMS/ISO27701（以下、ISMS-PIMS）認証の同時取得コンサルティングを依頼しました。担当コンサルタントは、柴田さんと高橋さんです。
2022年4月に第二段階審査を終え、2022年5月に両認証を取得しました。

— 今回のお取り組みのご担当者様についてお聞かせください。

今回のお取り組みは主に、下記3名で対応しました。

• 佐野様：情報セキュリティ管理者として、今回のお取り組み全般を統括。管理部と兼務。
• 藤原様：情報セキュリティ担当者として、セキュリティルールの運用や、従業員への意識づけなどの実作業を担当。管理部と兼務。
• 伊津野様：ISMS-PIMSにおける責任者として、システム周りなどを統括。また、社内SEも兼務しており、ソフトウェア開発や生体データの解析なども担当。前職で、ISMS認証取得に向けたお取り組みを一部経験。

弊社はまだあまり規模が大きくありませんので、他の部署が行わないような業務をすべて管理部が行っているような状況です。業務量に波もありますが、それぞれ本業もある程度対応する必要がある中で、情報セキュリティの取り組みを推進しました。弊社の代表取締役がシステムに詳しいため、助言をいただくことはありましたが、基本的にはこの3名で対応しました。

また、今回はISMSとISMS-PIMSを一気に取得するということで、本業にもやはり多少は影響が出てしまいます。
ただ、認証取得は代表取締役からの意向でもありましたので、取り組みの期間は会社として情報セキュリティの体制構築に注力した形です。

— 認証取得を検討されていた当時のご状況はいかがでしたか。

従業員数としては、12～13名でしたので、認証を取得した現在とそれほど変わりません。

当時は、新しいソリューションを準備している状況で、医師の協力のもと、患者様の生体情報を収集し、クラウドを通して解析を行うことができるサービスを開発していました。顧客から認証取得の要請があったわけではありませんが、正式版のリリースを目指す上で、第三者機関の認証を取得し、顧客からの信頼性をより高めたいと考えていました。
また、認証取得をきっかけに社内体制の整備も推進したいという狙いもありました。

— 当時の従業員のセキュリティ意識はいかがでしたか。

弊社は、中途採用の社員も多く、それぞれの経験の範囲でセキュリティを実施していた印象です。
そのため、ひとつひとつのセキュリティに対して「当然」として捉えている基準が人によって異なっているような状況でした。

— 従業員の中にISMSなどの情報セキュリティのお取り組みを経験されている方もいらっしゃいましたか。

伊津野様　前職でISMS取得に向けた取り組みの担当者をしていました。取り組みの途中で退職することになり、認証取得までは経験していませんが、従業員規模が2000名ほどの企業だったので、かなり作業量が多かった印象です。

— 認証取得前にセキュリティに関する社内規程などはございましたか。

情報セキュリティ規程やプライバシーポリシーなど、一般的なものは制定しておりました。ただ、社内ルールの整備や運用については、不十分な面もあったと思います。

— 今回、ISMSとISMS-PIMSを同時に取得された経緯をお聞かせください。

できるかぎり対応コストを削減したいという想いがありました。
時期をずらしてそれぞれ認証を取得すると、いずれも準備に一定時間がかかってしまうと思います。
本業として対応すべきことが多数ある状況において、瞬間的には強い負荷がかかったとしても、まとめて短期間で整備したいと考えました。

— 認証取得の期限などはございましたか。

5月の決算までの認証取得を目指しておりました。
ただ、伊津野は認証取得のお取り組みに関する経験がありましたが、他の社員については初めての試みでした。できるだけ早く取得したいという想いがある一方で、準備はなるべく丁寧にきちんとしていきたいという想いもありました。

— 他の認証はご検討されましたか。

ISMS認証取得の方向性は、ある程度早い段階から決まっていましたが、先述した新サービスのリリースに向けて、クラウドサービスに関する情報セキュリティ規格であるISO27017 など、他の認証も含めてどれが最適かを吟味はしました。

ただ、弊社は脳波や心電といった生体信号を取り扱います。それらの情報について、「センシティブである」という一定の共通認識はあると思います。例えば、光彩や指紋については、個人を識別できる情報として、情報の取り扱いも明確になっています。しかし、脳波や心電においては、個人を識別できるという論文などは存在するものの、個人情報保護法などで個人情報であると明確に規定されているわけではありません。
弊社としても判断に迷う部分はありましたが、今回はPII（個人識別可能情報）として捉え、プライバシー情報保護の体制を構築していく運びとなりました。

— 脳波や心電をどう取り扱うかを非常に悩まれたとのことですが、認証範囲の策定についてもご苦労はございましたか。

弊社は、PII管理者とPII処理者の両方でISMS-PIMSを取得しました

• PII管理者：生体データを取得し、分析方法を研究開発する業務
• PII処理者：生体データの分析の研究開発のための生体データ管理サービスの提供

認証範囲の策定については、脳波や心電をどう扱うべきかという点も含め、弊社の中でも整理しきれていなかった部分を柴田さん・高橋さんにお力添えをいただいて、なんとか言語化し策定できたという印象があります。

— コンサル会社に求めていた優先事項はございますか。

弊社は創業して間もない会社ですので、他の企業では整備されているようなところがまだ整備できていない箇所もあるのではないかと感じていました。そのため、ただパッケージを提供するようなコンサル会社ではなく、弊社の現状を理解し、一緒に解決方法を探ってくれるような会社がいいと考えていました。

LRMさんはベンチャー企業の事例も多く、また実際にISMS-PIMSを取得・運用されているというところで、伴走してくれるのではないかと期待し、依頼させていただきました。

— LRMの他にもコンサル会社は検討されていましたか。

8社くらいのコンサル会社にお話をお伺いしました。
当初は、佐野と藤原の2名で認証取得の取り組みを進める想定で、システムに関してもあまり詳しくなく、「なにが重要か」「コンサル会社選定のポイントはどこか」などを掴み切れていない状況でした。そのため、さまざまなコンサル会社のお話を幅広くお伺いしました。

少し驚いたのは、すべての会社が他社に関するコメントをされていた点です。「こちらの会社さんはしっかりされていると思います」「こちらの会社さんは弊社としてはあまりオススメできないです」など丁寧に教えてくださったので、弊社としては非常に参考になりました。

最終的には、やりとりやスタンスなどを総合的に考慮して、LRMさんを選びました。
営業の方は認証に関する知見が深く、分かりやすく回答いただけた印象ですし、システムをただ構築するのではなく、運用ノウハウまでしっかり落とし込むというスタンスが、弊社の要望に応えてくれるイメージが持てました。

— お取り組み全体を振り返られていかがですか。

ISMSを導入したことで社内フローをまとめて整備できたのは良かったと思います。
また、全社的に認証取得へ向けて取り組むことで、バラバラだった意識を統一する良いきっかけになったと感じています。

— 従業員の方からの反発はありましたか。

個人個人で、考え方や立場も違いますし、新しいことを始める際には、当然何らかのためらいが生じることもあります。そこは、なぜこのルールを構築するのかというポイントを共有しつつ、運用する中でどうしても業務上やりにくい点については、各担当者と落としどころを見つけるための話し合いを続けながら進めていきました。ポイントを外さない範囲で、なるべく無理のないルール構築・運用を目指しました。

— 認証取得後に社内外で変化はございましたか。

従業員のセキュリティに対する認識が変わってきたかなと思います。
新しいルールを導入するだけでは、段々と順守されなくなってしまう可能性もあると思います。そこで、チェックリストを作成し、四半期に1回の頻度で、従業員へ順守状況を丁寧に確認しています。継続的な確認を実施することで、さらに漏れのない体制になっていっていると思います。

— 新しく導入したルールやツールはございましたか。

主には下記の2つです。

(1)メールZipper
これまでは、メールでやり取りする際の添付ファイルへのパスワード設定などは、個人に任せている状況でした。
今回の認証取得に合わせて、社内として対応を統一するために、メール添付ではなくクラウドからのダウンロード方式で電子ファイルを送信できるメールZipperを導入しました。また、昨今の情勢も加味して、ダウンロードリンク形式の方が適していると判断したのも導入の一因です。

(2)Googleドライブ
プランをアップグレードし、共有ドライブの利用を開始しました。ログも細かく見れますし、導入してよかったと思います。

— ツールの導入に対してご苦労はございましたか。

従業員の中には、最初は戸惑いもあったかもしれませんが、大きな苦労はなかったと思います。メールZipperについては、これまで自分でパスワードをかけていた作業が自動化されたので、むしろ歓迎されていたと思います。Googleドライブについては、今回共有ドライブ導入に伴い、利用方法に関する統一ルールを整備したので、フォルダの整理が発生した従業員もいたかと思いますが、個人個人でバラバラに管理しているよりも使いやすくなった印象です。

— 従業員教育はどのように行われましたか。

情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を利用して実施しました。教材の配信が簡単で、受講結果を画面上で見ることができますし、社員もサクサク応えられていた印象で、非常に利用しやすかったです。

これまで従業員教育はあまり実施していなかったので、まずは基本的な情報セキュリティに関する『セキュリオ』の教材を配信して、テストを受けてもらいました。ISMS-PIMSに関わる教材は、認証範囲になっている部署のみに受講してもらいました。

— 『セキュリオ』で他にもご利用された機能はございますか。

委託先管理においても『セキュリオ』を利用しました。今回、委託先にセキュリティチェックのアンケートを実施しましたが、今までこういったアンケートは実施していなかったので、委託先の方と弊社の担当者で説明する場を設けてから実施しました。

— 台帳作成などについて苦労された点はございますか。

台帳は部署ごとに作成してもらいました。まずは、各担当者に基準を示して、情報資産の棚卸しをしてもらいましたが、各部署で記載粒度にばらつきがありました。その記載の統一に時間をかけた印象です。そこは、LRMさんに助言をいただきつつ、台帳にどのように記載していくべきかを模索しながら統一していきました。

— その他苦労されたところはございますか。

ISMS導入において、これまでルールがなかった部分に対して、ルールを策定する側面もあります。ルールを策定して周知していても、ルールが適用される場面に実際に相対して、「ここでこのルールが適用される」と従業員が実感しなければ、順守するのが難しいこともあります。だからといって、事務局が常にすべての従業員を見守りつつ、教えていくわけにもいきません。定期的なセキュリティチェックも実施していますが、アンケートでは「すべて実施できている」という回答であったとしても、実際に現場をチェックしてみると抜け漏れがあることもあります。現状は、事務局が気づく範囲でその都度教えていくなど、根気強く対応していっています。

— 内部監査はLRMが代行しましたが、いかがでしたか。

かなり詳細に確認していただいて、外部審査の予行練習にもなりましたので、良かったと思います。また、将来的には自社で内部監査を実施したいと考えていますが、もう一度LRMさんにお願いしたいと思っています。
認証取得に向けて実施する初回の内部監査と、認証を実際に運用してみた後に実施する内部監査では、事務局の感じ方も異なってくると考えています。再度、LRMさんの内部監査に同席することで学ばせていただきたいと思っています。

— 審査はいかがでしたか。

コロナ禍ではありましたが、第二段階審査は、審査員の方に弊社に訪問いただいての審査でした。4日間かけて、ISMSとISMS-PIMSを同時に審査していただきました。
特に、ISMS-PIMSについてはかなり詳細に質問されました。審査員の方は柔らかい雰囲気ではありましたが、時々鋭い質問を受けたりもしましたので、我々としてはかなり緊張感をもって対応していたような印象です。

生体データのPII（個人識別可能情報）としての解釈について審査員の方と協議する場面もありましたが、最終的には大きな指摘や、納得のできない指摘などはありませんでした。

— LRMコンサルはいかがでしたか。

柴田さんと高橋さんには非常によくしていただいて感謝しております。
規格の説明はもちろんのこと、どうやって質問すべきか迷いながらした質問に対しても、簡潔でわかりやすく丁寧にご回答いただけました。また、他社事例や審査員の情報なども共有してくださったので、心強かったです。
夜遅くに返信していただくこともあったりと、弊社の現状を理解して、一緒に考えつつ対応してくださった印象です。

— 今後の展望をお聞かせください。

まずは、取得した認証をきちんと運用していく上で、色々すべきことがあると感じています。また、今後サービスを開発していく中で、認証範囲が拡大していくこともあると思います。拡大しても、現状のセキュリティレベルの運用を保っていけるか、今は見えていない部分もあるかと思いますので、不安がないわけではありません。
さらに、認証取得後にも新たに従業員が増加しました。今後も事業拡大に伴い、従業員が増加していく想定です。
新入社員についても、認証の意義やポイントについて、情報共有をしっかり行っていく必要があると感じています。

そういった課題を解決していく上で、LRMさんの運用改善サポート『情報セキュリティ倶楽部』と、情報セキュリティ教育クラウド『セキュリオ』を契約しました。情報セキュリティ倶楽部については、先述した通り、内部監査なども含めてもう1年サポートいただいて、社内にノウハウの蓄積をしていきたいという点と、初回の審査は経験しましたが、維持審査は初めて受けますので、そちらも並走していただきたいと考えています。
『セキュリオ』は、従業員教育や委託先管理において非常に便利で、現状は代替が難しいと感じているので、引き続き活用していければと思います。

株式会社ニューロスカイ様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社ニューロスカイ様のWEBサイト
※ 取材日時 2022年8月