株式会社Save Medical様 – 顧客事例 –

※本事例での情報セキュリティ俱楽部プランは旧プランでのご提供となっており、現在のプラン内容とは一部異なる場合がございます。現在のプラン内容については、料金・プランページをご確認ください。

慢性疾患患者向けのソフトウェア「DigitalTherapeutics」の開発を進める株式会社SaveMedicalは、2020年4月、治験開始に備えてISMS/ISO27001認証を所得。その6ヶ月後、改めてLRMのISMS運用改善サポート『情報セキュリティ倶楽部』と、情報セキュリティ教育クラウド『セキュリオ』を契約しました。それぞれのサービスを導入した理由と活用状況などについて、Sr.PdM・塚原大氏、CTO・川上知成氏のお二人にお話しいただきました。

（株式会社Save Medicalについて）

株式会社Save Medicalは、ビジネス、薬事、プロダクト、テクノロジーのプロフェッショナルが集まり、それぞれの専門性を活かし合いながらプロダクト開発を進めるメドテック企業だ。同社が開発を進めるのは、慢性疾患患者向けのソフトウェア「DigitalTherapeutics（DTx）」だ。DTxとは科学的根拠に基づいて、従来の治療法に代わる、または補完する、ソフトウェアを使った治療手段。検証結果に裏打ちされる点がDTxの核であり、規制当局の承認を必要とする点で、従来のデジタルヘルスケアと異なる。同社が開発を進めるのは、患者の行動変容を通じて生活習慣病や慢性疾患の治療を補助するソフトウェアだ。医療にテクノロジーを実装することで、患者の健康・生活の質を守るとともに、医療者の人手不足を軽減し、社会全体の医療費適正化に貢献していく。
本社；東京都中央区。設立；2018年5月。従業員数；5名（2021年7月現在）。

— 現在、LRMとはどのようなご契約をされていますか。

株式会社Save Medicalは、現在、LRMさんのサービスを2つ契約しています。ISMS/ISO27001（以下、ISMS）の運用改善サポート『情報セキュリティ倶楽部』と、情報セキュリティ教育クラウド『セキュリオ』です。

それ以前の2020年4月に、LRMさんのサポートを受けてISMS認証を取得し、半年後の10月1日に、維持審査に向けた準備をするために両サービスを契約しました。

— 『情報セキュリティ倶楽部』はどのような契約ですか。

年に1回の訪問コンサルティングと、適宜メールまたはチャットなどを利用して相談ができる契約をしています。昨年は、年1回の訪問枠を利用して、内部監査員を代行していただいて、2021年3月の維持審査を受審しました。

「LRMさんと連携してサイバーセキュリティ対策の強化にも取り組んでいきます」
（CTO・川上知成氏）

— 御社は現在、プロダクトの開発途中ですが、その段階でISMS認証を取得された理由をお話しください。

弊社は医療機器を取り扱っております。我々が取り扱う医療情報は情報セキュリティリスクとしては最高レベルです。一般的なベンチャー企業と比べましても、情報セキュリティのハードルは高いという認識です。

— 御社は、ITや医療など、高度なセキュリティレベルを求められる業界で経験を積まれた方で構成されています。そういった皆さんがそれぞれ意識するだけでは足りないでしょうか。

弊社の事業には、様々なバックボーンを持った人々が関わっています。
特に、弊社ぐらいの規模感ですと、フルタイムの社員を増やすことも難しく、業務委託でお手伝いをしていただく方が多くなります。
そういった場合に、レギュレーションを規定したり、定期的にモニタリングしたり、アンケートを書いていただいたり、様々な形で縛るよりは、意識付けをして各自に自覚を持っていただく方が高い効果が得られるのではないかという感覚がございます。ISMS認証を取得していることで「情報セキュリティに意識的に取り組んでいる会社」という印象を持っていただくだけでも、委託先や社員の意識は変わってくるのではないかと考えています。
情報セキュリティ領域の外部認証にもいろいろとありますが、その中でもISMSは、サービスをリリースする以前のタイミングで、まずは最低限、対外的に必要な認証であろうと判断して取得いたしました。

— 厚労省などのガイドラインに準拠しておけば済むものでもないのですね。

厚生労働省、経済産業省、総務省の3省が策定したガイドライン（3省2ガイドライン）は、我々も精査はしていますが、ISMSとは種類が違うと考えております。ISMSの方がより実運用に即したものであると認識しています。

— 社外との連携などもすでに発生しているのですか。

はい。まだプロダクトのリリース前ですが、治験ですとか臨床研究といったものはございます。
例えば、治験には一般の方々が被験者として参加されますし、実際に医療機関の皆さんが使うというケースがございます。オープン版がないというだけであって、クローズで使うベータ版のようなものは提供しています。2020年4月以降に治験が始まることが決まっていましたので、その前に取りたいと考えて取り組みました。

— ISMSは認証取得によって御社内のセキュリティ体制を担保できる状況を作り、治験に臨まれたということですね。

そうですね。細かいことを言えば、取得のタイミングでは「社内のセキュリティ体制を担保できる状況を作るための準備ができた」という感覚です。「これで大丈夫」という状態ではなく、「課題やレギュレーションを設定した」というイメージで捉えています。治験に入る時点で、我々は何に気をつけなくてはいけないのかということが、ある程度、体系的に把握できるようになったことが1つの成果であったと考えています。

— ISMS認証を取得する過程でリスクアセスメントなどを通して、やるべきことが可視化されたということでしょうか。

リスクアセスメントも1つの観点かとは思いますが、LRMさんとの取り組みにおいて、最初にフォーマットをいただいたことは、すごく良かったのではないかと感じています。そのフォーマットをベースに、コンサルタントと3時間程度の打ち合わせを3回ほど実施して、ディスカッションしながら我々の実運用に近い内容にドキュメント類を修正していきました。そのフォーマットがなければ、難しかっただろうと思いますし、それがあったから比較的短期間で、なおかつ最低限のリソースで、取得準備を終えることができました。

— ISMS認証取得後の運用は順調ですか。

計画通りにうまくいっている部分と、そうではない部分の両面があります。

ISMS取得以降、日常の業務の中でセキュリティを意識する頻度は増えました。備品購入時の台帳への記録、アカウント管理、ファイルのアクセス権管理などは、規定したことで行動に定着させることができました。

一方、毎年、年間実施計画を立ててはいるものの、他の業務と兼務していることもあり、時間がある時にまとめてやってしまっていたところは正直ございました。

— ISMS運用において、コンサルタントのサポートが必要な理由をお話しください。

必要性を感じるポイントは2点です。

（1）内部監査員代行サービス
新規取得時の審査と、初年度の維持審査を迎える前に、内部監査員を代行していただいて内部監査を実施しましたが、専門家の観点で一通りチェックしていただけることは、自分たちにはない観点で運用体制を見直すことにつながりますし、審査を受ける準備にもなりますので、大きなメリットを感じました。

内部のリソースを使って内部監査することも現実的にはできると思いますが、全員が何かしらプロジェクトを抱えている状況ですので、外部に委託した方が効率的でもあります。

（2）自分たちで決めることが難しい時の相談
このような外部認証を取得する際にやらなければいけないことには２種類あると思います。
1つは認証を取得するためにやらなければいけないことです。もう1つは、本質的に自分たちがしっかりやらなければいけないと思うことです。このうち前者に関しては、どこまでやる必要があるのか、という判断が非常に難しいと感じています。自分たちの実態に合わないルールは、業務を煩雑にしてしまって、形骸化につながる危険があります。そうならないようなさじ加減が必要な時に相談できる専門家はありがたい存在です。

審査機関に対しても、きちんと説明さえできれば通ることもありますが、不安を抱えながら本番を迎えるよりも、事前に解決したり、心構えができていたりした方が安心です。

「チャットでやりとりできるのでストレスを抱えずに物事を解決できることはありがたいです」
（Sr.PdM・塚原大氏）

— 内部監査以外にご相談をされたことはございますか。

内部監査や維持審査における指摘事項に関しての相談はしました。
他にも年間実施項目のタスクをこなしていく上で、細々としたことは『Slack』上で何度か相談したことはあります。

また、今後、クラウドストレージの移行とオフィスの移転を計画しておりまして、それに伴ったセキュリティ対策の相談をしたいという投げかけはしています。この２点に関しては、然るべきタイミングで、『Slack』やメールではなく、訪問またはリモートでご相談させていただく予定です。

— LRMのサポートに関して、ご感想はございますか。

『Slack』でサポートしていただけることは非常に良いですね。
『Slack』を使う最大のメリットは、解決の早さです。お互いの空いている時間に手軽にメッセージを送ることができますし、会話を交わすように、1日の間に何度もストロークできます。メールだとそういうわけにはいきませんし、そうかといって電話は、どちらかがタイミングを合わせる必要があります。『Slack』のようなチャットツールなら、そういった意味でも、ストレスを抱えることはありません。

— 『セキュリオ』はどのような使い方をされているのですか。

機能としては、eラーニングと法令管理を利用しています。

— eラーニングは従業員の方を対象に実施されているのですか。

eラーニングは従業員だけではなく、業務委託の方にも受けていただいています。
現在（2021年11月）は16アカウント登録しています。

— どのようなタイミングで実施されていますか。

従業員の場合は入社したタイミング、業務委託の方も、契約した際に実施しています。
また、年に1回、ISMS認証上定められた定期研修は対象者全員で実施しています。

— 法令管理機能はどのようなタイミングで使われるのでしょうか。

審査では、最新の法令をきちんと押さえているかを問われますので、その際の参照先として使っております。

— 『セキュリオ』を実際に使われたご評価をお話しください。

ツールとしてはシンプルな構造ですので、運用上のハードルは低く、使いやすいと思います。
また、従業員教育用のコンテンツも関連法令も、紙で管理すると運用が煩雑になってしまいます。
特にeラーニングは、デジタルで配布して回収できるところが、フローとしてまとまっていますので管理がしやすく利便性は高いと思います。ISMSの運用上、従業員教育と法令管理は求められますので、今後も活用していく予定です。

— 今使っている機能以外に関してはいかがですか。

ソフトウェア管理は検討しましたが、リストにあるソフトウェアがWindows系のものが多く、Macを中心に使っている我々にとってはマッチしていませんでした。

— 業務委託されることが多いとのことでしたが、委託先管理は現在どうされているのでしょうか。

委託先管理は現在、台帳で管理しています。

— 新規取得の頃は、サプライチェーンセキュリティ機能が実装される前でしたね。

実は我々は、委託先にシステム開発関連のアンケートを採っているのですが、それを『セキュリオ』の社内アンケート機能で作成できないかと思って精査していたことはありました。しかしこれは、社内向けに実施することを想定された機能ですね。

— その通りです。委託先向けには、サプライチェーンセキュリティを用意いたしております。
細かいことを申し上げますと、2020年10月にご契約いただいた後にプランが変わっておりまして、乗り換えていただきますと、様々な機能をお使いいただけるようになります。
新プランをスタートするにあたっては、ご案内をさせていただいて、ご要望をいただかなかった場合は現状のプランのままで提供させていただいてきました。もしご興味がおありでしたら、トライアルで各機能をお試しいただくことも可能です。委託先に対してアンケートを送る機能もございますし、情報資産管理台帳などを管理する機能もございます。

なるほど。そうなると便利かもしれませんね。LRMさんとしては、ISMSの運用において『セキュリオ』の活用をどんどん推奨されておられるのですか。

— 到達点としましては『セキュリオ』で審査を受けてもらうところを目指しています。今までマニュアルや記録台帳などを、それぞれファイルなどで用意していただいていましたが、そういうものも全て、『セキュリオ』上で一元管理し、審査も受けていただきます。そうして一元化することで、審査員にとっても審査がしやすくなりますし、認証取得企業としても管理が楽になるというところを目指しています。

— 今後、『セキュリオ』をご利用になるにあたって、御要望がございましたらお話しください。

台帳類を管理する機能が実装されているとのことでしたが、最近、リモートワークが増えている中で、MDMでの連携も必要になってくると思っています。ISMS認証を受ける上でも、自動的に連携できている、または適合できる形でフォーマッティングがされていると我々ユーザーとしては楽になると思います。

— 今後の情報セキュリティの取り組みに関して展望がございましたらお話しください。

運用面に関しては、まずは毎年ある維持審査や更新審査を乗り切ることが最大の課題です。
LRMさんに質問ですが、当然ながら、更新審査は維持審査よりも厳格なものになりますよね。

— そこまで厳しいかといいますと、維持審査とあまり差はございません。
ただ、3年に1度の節目ですので、3年間の記録や、初年度の審査で受けた指摘に対してどのような方向性で進めてきたか、計画ができているかといった観点からのチェックは入ると思われます。

そうですよね。その計画の部分に関しましては、まだ必要最低限の整備にとどまっていますので、今後、人数が増えてサービスがマーケットインしていくことを考えると、これまで以上に体制を強化していかなければいけないだろうという認識はございます。

ITシステムの側面から言えば、社会全体でリモートワークが増えたり、IT活用が進んだりする中で、
メドテック領域のプロダクトを世に問う企業として、サイバーセキュリティ対策も強化していく必要性を感じています。ISMSからは少しずれるのかもしれませんが、根っこには情報管理の設計、指針があると思いますので、そこに関してもLRMさんと連携して取り組んでいきたいと考えています。

株式会社Save Medical様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

株式会社Save Medical様のWebサイト
※取材日時 2021年11月