株式会社キャンサースキャン様 – 顧客事例 –

健康診断の受診勧奨などの業務を通して個人情報などの機密情報を扱う株式会社キャンサースキャンは、プライバシーマークの取得に続き、ISMS/ISO27001認証の新規取得に取り組みました。プライバシーマークの更新も含めてサポートを依頼した先はLRMです。ISMS/ISO27001認証取得の理由と取り組みの成果について、ISMS事務局を務めた取締役CFO・岩上好博氏、管理部・小林淳子氏にお話を伺いました。

（株式会社キャンサースキャンについて）

株式会社キャンサースキャンは、「マーケティングとテクノロジーで人と社会を健康にする」というミッションのもと、マーケティング、データ解析、公衆衛生という全く異なる分野のプロフェッショナルが集まり、予防医療にイノベーションをもたらすべく事業を展開するベンチャー企業だ。人々が健康で楽しく生きることが出来る社会の仕組み作りを目指し、社会の超高齢化に伴う医療費増大の抑制、健康寿命の延伸といった社会課題に対し、公衆衛生の観点から向き合っている。現在注力しているのがAI技術。既存のビッグデータ解析ではあり得なかった精度で、数十万人単位の3年後の血糖値予測、翌年の検診サービス利用確率、検診会場の最適化問題に瞬時に答を出す。その技術を活かし、全国の都道府県、市区町村、医療機関に対し、健康診断、がん検診、病気の重症化予防など、予防医療サービス普及のためのソーシャルマーケティング戦略立案や実施を支援し、めざましい効果を挙げている。その実績によって直近5年間は顧客数を毎年倍増させ、飛躍的な成長を遂げている。
本社；東京都品川区。設立；2008年11月。従業員数；約60名（2019年11月現在） 。

— LRMへのご依頼内容をお話し下さい。

キャンサースキャンは2018年10月、LRMにISMS/ISO27001認証新規取得とプライバシーマーク（以下、Pマーク）更新のコンサルティングを依頼しました。2019年5月にPマークの現地審査を受審して更新を終え、同年9月にISMSの第2段階審査を受審して10月に認証を取得しました。また、依頼時にLRMからご提案いただいたISMSとPマークの文書統合にも取り組みました。担当者は大谷さんです。

— Pマークの運用においては、これまでコンサルタントの関与はなかったのですか。

Pマークの運用は全て自社内で行っていました。今回は2017年に発行された新規格への対応も課題の1つであったため、ISMS認証取得と合わせてLRMにサポートしていただきました。ただ、今回のPマーク更新は、新しいルールのもとでのPDCAサイクルを回す期間が確保できなかったため、旧規格のルールと文書体系のままで受審しました。

— ISMSとPマークの文書統合はどのタイミングでされたのですか。

ISMS構築の過程でPマークの新規格を勘案してドキュメント類を作成しました。4月にPマークの更新審査を受けて無事認証を維持することが出来て、今は統合された新しいルールのもとでの運用がスタートしている状況です。

— 結論から伺います。「継続的に改善出来る情報セキュリティマネジメントシステムの構築」という目的は達成されましたか。

ISMSは継続した取り組みであり完了することはありませんので、「目的達成」というと語弊はあります。
ただ、やるべきことがクリアになりましたし、それらを社内に徹底させる上でも言いやすくなりました。そういう意味では、一旦は目指す姿に到達したと考えています。ISMSは1年ごとに審査を受ける必要がありますので、気を抜くタイミングがないことも継続的に取り組める要因の1つです。

— そのような状況にたどり着くためにどのようなことをされましたか。

我々の認識では、ISMSは大まかな指針はありますが、「厳密にこの通りにやりなさい」という規格ではありません。
逆に、取得企業が、自分達の業務を棚卸して、リスクを洗い出し、自社の事業や状況に応じたルールを構築して明文化することが求められています。私達の取り組みもそういったISMSの要求に沿ってルールを決めて行きました。
また、運用面では年間実施計画を作成しました。これらの作業を行う過程で、今まで見えていなかったリスクが見えてきました。

— 「これまで見えていなかったリスク」の具体例をお話し下さい。

例えば人が増えることによって生じるリスクです。弊社は2018年1月まで20名ぐらいの会社でした。それが1年半で一気に60名に増えています。

これまではお客様からお預かりするデータの管理方法1つとっても、普段の会話を通して各自どのような管理の仕方をしているか認識することが出来ました。しかし60名にもなってくると、把握することが困難になります。そこで情報をセキュリティレベルで分類し、レベルごとに保管期限などのルールを決めていきました。

また人数が増えると情報セキュリティに対する意識を揃えることも難しくなってきます。社内周知や新入社員向けのトレーニングなどのきちんとした仕組みを作ることも課題の1つに上がりました。

— 社内に周知する仕組みとしてはどのような対策を取られたのですか。

主に2つの対策を取りました。

（1）従業員向けハンドブックの作成
一例としてマニュアル類とは別に従業員向けのハンドブックを作成しました。マニュアル類は結構細かい内容になっており、わかりにくいところがあります。そこでこれさえ気をつけていれば大丈夫、というルールをピックアップしたハンドブックを作成し、全員にデータで配布しています。

（2）『セキュリオ』を使った教育
また新入社員に対しては、LRMの情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を使った教育を実施しています。
今回の取り組み期間中も20名ぐらい増えましたが、その度にアカウントを追加して実施しました。『セキュリオ』は今後も継続契約する予定です。 この他、審査を受ける前に、内部監査などを通じて厳しめに意識付けをしました。
「ISMSはPマークと違って国際基準だから厳しいよ」とか「審査は2段階だよ」としつこいぐらいに周知しました。
その結果、以前と比べてかなり意識は高まったように感じます。

— 年間実施計画にはどのようなタスクがあるのでしょうか。

従業員教育、内部監査、BCP、規定の見直しなどです。

— 「規定の見直し」は具体的にはどのようなことをするのですか。

年に1回は実際の運用と照らし合わせて、その内容が正しいか、それで十分なのかといったことを検討します。
また、リスクアセスメントも定期的に実施します。我々の業務の中どこにどういうリスクがあるかを評価し、一定以上のリスクがあると判断したものに関して対策を決めたり、どこまで許容するかを決めたりする作業を年に1回は必ず実施します。さらに弊社の事業と照らし合わせて準拠すべき法令をチェックすることも含まれます。

以上が年間実施計画の内容になりますが、私達はこれを作成したプロセスにも大きなメリットを感じています。
年間実施計画を作成しようとすると、自分達で何を目標にして、どう具体化していくかを自分たちで考える必要が出てきます。ISMS事務局だけではなく、社員も巻き込まなければいけない局面もあり、社員全員の意識付けにも繋がりました。現在は、ISMS事務局の月次ミーティングで計画の実施状況を確認したり、審査では指摘されたものの今年の年間実施計画には入れていないことを見直したりして取り組んでいるところです。

— PマークとISMSの文書統合はどのように進めたのでしょうか。

従来のPマークのルールを新規格に合わせて整理し、それをベースにしつつ個人情報以外の情報資産を追加して、リスクアセスメントを実施しました。

— 文書類の統合はそれで完了ということになるのですか。

Pマークの次回更新に向けて検討すべきことは残っています。従来のPマークの運用で使っていた記録類をそのまま使うのか統一した書式を使うのかなどです。ただ、あまり一緒にしすぎると、PマークかISMSどちらかの規格が改定された時に対応しづらくなる問題が発生しますので、そこは引き続きLRMからアドバイスをいただきながら進めていきます。

— 文書を統合して運用しやすくなった実感はありますか。

従来のPマークよりも運用しやすくなっている実感はあります。そういう意味では、LRMの大谷さんは非常に現実的な路線を取って下さいました。形式的に「こうすべき」ということは言わず、「こうでなければ実際にはできない」という視点でルール作りをお手伝いして下さいました。要するに従来、私達はやり過ぎていたのですね。Pマークの運用では生真面目に細かくやっていたことを、より効率的に、私達自身が現実的に運用出来るようなアドバイスを頂きました。

— 「現実的に運用出来る」とはどういうことですか。

例えばリスクアセスメントですが、従来のPマークでは、部門ごとに業務フローを表にして、それぞれリスクを洗い出していました。そのため膨大な量の文書が出来上がっていました。しかし、実際は起こりえる事象やリスクは共通しているものが少なくありませんでした。業務フローごとに書き出していくと、変わった時も1つ1つ修正しなければいけませんし、チェックする際も探すのも大変です。運用や管理が非常に煩雑化していました。

それに対して今回は、想定出来るインシデントを集約して、それをベースに、それを防ぐための対策を決めていきました。その結果、文書類の減量化に繋がり、管理しやすくなっただけではなく、社員への周知もしやすくなりましたし、社員側も理解しやすくなりました。やはり社員が理解出来なければ、どんなルールを作っても形骸化してしまいます。今回は理解しやすい形でまとめることが出来ました。

また、これは文書統合とは異なりますが、文書類をデータ化できたことも運用が楽になった要因だと思っています。
従来のPマーク文書は紙で保管していましたが、LRMとの取り組みではクラウドストレージ『box』上で管理するようにしました。それによって社内での共有や審査対応が非常に楽になりました。Pマーク更新の申請時には印刷して提出する必要がありますが、それ以外はクラウド上で管理した方が、共有するにしても、修正するにしても、圧倒的に便利です。

— 情報セキュリティに関する今後の課題をお話し下さい。

まずはISMSとPマークのルールを改善し続けて、更新し続けることです。認証の維持はあくまでも運用の結果としてあるものだと考えています。認証を維持しても中身が伴わなければ意味がありませんので、より強固なセキュリティ体制を構築していきたいと考えています。

また、ITシステムのセキュリティ対策も継続的に強化していく必要があると考えています。

— LRMのコンサルティングを受けられたご感想をお話し下さい。

「日本で一番身近なセキュリティ会社」というLRMの基本方針を実感するコンサルティングでした。例えば打ち合わせは、全体的に楽しそうな雰囲気で進行してくれました。そのため情報セキュリティのルール作りという性質上、真面目にやるとつまらない作業になると思うのですが、リラックスして取り組むことが出来ました。また、ルール作りにおけるアドバイスは、他の会社の事例やたとえ話を交えてご説明いただけたので非常にわかりやすかったですし、質問に対してもテキパキと回答していただけましたので、安心して相談出来ました。

打ち合わせはいつも大谷さんのノートPCをモニターにつないで、画面を見ながら進行するのですが、PCを立ち上げた最初の画面に出てくるのが「日本で一番身近なセキュリティ会社」という文字でした。弊社も経営理念や行動指針を見直していたところでしたので共感を覚えました。

— 今後、LRMへの御期待がございましたらお話し下さい。

弊社は今後もLRMのサポートは継続していきたいと考えており、現在、『情報セキュリティ倶楽部』と『セキュリオ』の契約について商談を進めています。

ISMSとPマークの運用は、現在の事業だけを継続することを想定するなら、私達だけでもやっていけるかも知れません。しかし弊社は今後も業容を拡大していくことを前提に事業を展開しています。今後は私達が経験したことだけではわからないことが出てくるはずです。情報セキュリティの専門家から助言をいただいて運用していくことはむしろマストであると考えています。

たまたまですが、弊社とLRMの事務所が近いことも安心して取り組める1つの要因でした。
「いつでも来ます」とおっしゃっていただいて、実際に緊急に呼び出したことはありませんが、少なくとも時間の調整はしやすかったです。何らかの形でサポート契約を結んでおけば心強いです。

株式会社キャンサースキャン様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社キャンサースキャン様のWEBサイト
※ 取材日時 2019年11月