株式会社キャンサースキャン様 – 顧客事例 –

私達にとって運用が現実的なルール作りが出来ました。今後もLRMのサポートを受け、新しい課題に取り組んでいます。

健康診断の受診勧奨などの業務を通して個人情報などの機密情報を扱う株式会社キャンサースキャンは、プライバシーマークの取得に続き、ISMS/ISO27001認証の新規取得に取り組みました。プライバシーマークの更新も含めてサポートを依頼した先はLRMです。ISMS/ISO27001認証取得の理由と取り組みの成果について、ISMS事務局を務めた取締役CFO・岩上好博氏、管理部・小林淳子氏にお話を伺いました。

(株式会社キャンサースキャンについて)

株式会社キャンサースキャンは、「マーケティングとテクノロジーで人と社会を健康にする」というミッションのもと、マーケティング、データ解析、公衆衛生という全く異なる分野のプロフェッショナルが集まり、予防医療にイノベーションをもたらすべく事業を展開するベンチャー企業だ。人々が健康で楽しく生きることが出来る社会の仕組み作りを目指し、社会の超高齢化に伴う医療費増大の抑制、健康寿命の延伸といった社会課題に対し、公衆衛生の観点から向き合っている。
現在注力しているのがAI技術。既存のビッグデータ解析ではあり得なかった精度で、数十万人単位の3年後の血糖値予測、翌年の検診サービス利用確率、検診会場の最適化問題に瞬時に答を出す。その技術を活かし、全国の都道府県、市区町村、医療機関に対し、健康診断、がん検診、病気の重症化予防など、予防医療サービス普及のためのソーシャルマーケティング戦略立案や実施を支援し、めざましい効果を挙げている。その実績によって直近5年間は顧客数を毎年倍増させ、飛躍的な成長を遂げている。
本社;東京都品川区。設立;2008年11月。従業員数;約60名(2019年11月現在) 。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得&プライバシーマーク更新コンサルティング

— LRMへのご依頼内容をお話し下さい。

キャンサースキャンは2018年10月、LRMにISMS/ISO27001認証新規取得とプライバシーマーク(以下、Pマーク)更新のコンサルティングを依頼しました。2019年5月にPマークの現地審査を受審して更新を終え、同年9月にISMSの第2段階審査を受審して10月に認証を取得しました。また、依頼時にLRMからご提案いただいたISMSとPマークの文書統合にも取り組みました。担当者は大谷さんです。

— Pマークの運用においては、これまでコンサルタントの関与はなかったのですか。

Pマークの運用は全て自社内で行っていました。今回は2017年に発行された新規格への対応も課題の1つであったため、ISMS認証取得と合わせてLRMにサポートしていただきました。ただ、今回のPマーク更新は、新しいルールのもとでのPDCAサイクルを回す期間が確保できなかったため、旧規格のルールと文書体系のままで受審しました。

— ISMSとPマークの文書統合はどのタイミングでされたのですか。

ISMS構築の過程でPマークの新規格を勘案してドキュメント類を作成しました。4月にPマークの更新審査を受けて無事認証を維持することが出来て、今は統合された新しいルールのもとでの運用がスタートしている状況です。

継続的に改善出来るマネジメントシステムの構築を目指しISMS/ISO27001認証を取得

「いつでも呼んで下さい、とおっしゃっていただいて安心して取り組めました」(管理部・小林淳子氏)

「いつでも呼んで下さい、
とおっしゃっていただいて
安心して取り組めました」
(管理部・小林淳子氏)

— Pマークを取得された理由をお話し下さい。

弊社の主な業務に、健康診断の受診勧奨というものがあります。これは被保険者の方に郵便物などで健康診断を受診するよう案内する通知物を、自治体などの保険者に代わって送付する業務です。この業務の中で大量に個人情報をお預かりしています。万が一それが漏れたら会社の存亡にも関わりますので、これらの個人情報を保護する目的でPマークを取得しました。また、取引先である自治体から要求されることもあります。そういった要求に応える目的もありました。

— Pマークに引き続き、ISMS認証を取得したのは何故ですか。

社内のセキュリティ体制を業務プロセスと技術の両面からチェックするとともに、継続的に改善出来る情報セキュリティマネジメントシステムを構築したいと考えISMS認証を取得しました。

現在、社会全般の情報セキュリティに対する意識は、弊社がPマークを取得した当時以上に高まっています。機密情報の範囲も広がっていますし、より社会の目も厳しくなっています。Pマークは国内の法律に基づいた制度ですし、国際規格に基づいたISMSに取り組むことでより広範囲に情報を守る仕組みを構築することが出来ると考えました。

また、情報セキュリティマネジメントシステムを構築することは、弊社内の事業戦略やノウハウ、アルゴリズムなどを守るルールを整備する機会にもなりますし、ISMS認証があればお客様が委託先を決める際の判断材料の1つにもなると考えました。

年間実施計画の作成が自分達で考えるきっかけに

— 結論から伺います。「継続的に改善出来る情報セキュリティマネジメントシステムの構築」という目的は達成されましたか。

ISMSは継続した取り組みであり完了することはありませんので、「目的達成」というと語弊はあります。ただ、やるべきことがクリアになりましたし、それらを社内に徹底させる上でも言いやすくなりました。そういう意味では、一旦は目指す姿に到達したと考えています。ISMSは1年ごとに審査を受ける必要がありますので、気を抜くタイミングがないことも継続的に取り組める要因の1つです。

— そのような状況にたどり着くためにどのようなことをされましたか。

我々の認識では、ISMSは大まかな指針はありますが、「厳密にこの通りにやりなさい」という規格ではありません。
逆に、取得企業が、自分達の業務を棚卸して、リスクを洗い出し、自社の事業や状況に応じたルールを構築して明文化することが求められています。私達の取り組みもそういったISMSの要求に沿ってルールを決めて行きました。
また、運用面では年間実施計画を作成しました。これらの作業を行う過程で、今まで見えていなかったリスクが見えてきました。

— 「これまで見えていなかったリスク」の具体例をお話し下さい。

例えば人が増えることによって生じるリスクです。弊社は2018年1月まで20名ぐらいの会社でした。それが1年半で一気に60名に増えています。

これまではお客様からお預かりするデータの管理方法1つとっても、普段の会話を通して各自どのような管理の仕方をしているか認識することが出来ました。しかし60名にもなってくると、把握することが困難になります。そこで情報をセキュリティレベルで分類し、レベルごとに保管期限などのルールを決めていきました。

また人数が増えると情報セキュリティに対する意識を揃えることも難しくなってきます。社内周知や新入社員向けのトレーニングなどのきちんとした仕組みを作ることも課題の1つに上がりました。

— 社内に周知する仕組みとしてはどのような対策を取られたのですか。

主に2つの対策を取りました。

(1)従業員向けハンドブックの作成
一例としてマニュアル類とは別に従業員向けのハンドブックを作成しました。マニュアル類は結構細かい内容になっており、わかりにくいところがあります。そこでこれさえ気をつけていれば大丈夫、というルールをピックアップしたハンドブックを作成し、全員にデータで配布しています。

(2)『Seculio』を使った教育
また新入社員に対してはLRMの情報セキュリティ支援サービス『Seculio』を使った教育を実施しています。今回の取り組み期間中も20名ぐらい増えましたが、その度にアカウントを追加して実施しました。『Seculio』は今後も継続契約する予定です。 この他、審査を受ける前に、内部監査などを通じて厳しめに意識付けをしました。「ISMSはPマークと違って国際基準だから厳しいよ」とか「審査は2段階だよ」としつこいぐらいに周知しました。その結果、以前と比べてかなり意識は高まったように感じます。

— 年間実施計画にはどのようなタスクがあるのでしょうか。

従業員教育、内部監査、BCP、規定の見直しなどです。

— 「規定の見直し」は具体的にはどのようなことをするのですか。

年に1回は実際の運用と照らし合わせて、その内容が正しいか、それで十分なのかといったことを検討します。
また、リスクアセスメントも定期的に実施します。我々の業務の中どこにどういうリスクがあるかを評価し、一定以上のリスクがあると判断したものに関して対策を決めたり、どこまで許容するかを決めたりする作業を年に1回は必ず実施します。さらに弊社の事業と照らし合わせて準拠すべき法令をチェックすることも含まれます。

以上が年間実施計画の内容になりますが、私達はこれを作成したプロセスにも大きなメリットを感じています。
年間実施計画を作成しようとすると、自分達で何を目標にして、どう具体化していくかを自分たちで考える必要が出てきます。ISMS事務局だけではなく、社員も巻き込まなければいけない局面もあり、社員全員の意識付けにも繋がりました。現在は、ISMS事務局の月次ミーティングで計画の実施状況を確認したり、審査では指摘されたものの今年の年間実施計画には入れていないことを見直したりして取り組んでいるところです。

自社の状況に沿った「現実的に運用できる」マネジメントシステムを構築

— PマークとISMSの文書統合はどのように進めたのでしょうか。

従来のPマークのルールを新規格に合わせて整理し、それをベースにしつつ個人情報以外の情報資産を追加して、リスクアセスメントを実施しました。

— 文書類の統合はそれで完了ということになるのですか。

Pマークの次回更新に向けて検討すべきことは残っています。従来のPマークの運用で使っていた記録類をそのまま使うのか統一した書式を使うのかなどです。ただ、あまり一緒にしすぎると、PマークかISMSどちらかの規格が改定された時に対応しづらくなる問題が発生しますので、そこは引き続きLRMからアドバイスをいただきながら進めていきます。

— 文書を統合して運用しやすくなった実感はありますか。

従来のPマークよりも運用しやすくなっている実感はあります。そういう意味では、LRMの大谷さんは非常に現実的な路線を取って下さいました。形式的に「こうすべき」ということは言わず、「こうでなければ実際にはできない」という視点でルール作りをお手伝いして下さいました。要するに従来、私達はやり過ぎていたのですね。Pマークの運用では生真面目に細かくやっていたことを、より効率的に、私達自身が現実的に運用出来るようなアドバイスを頂きました。

— 「現実的に運用出来る」とはどういうことですか。

例えばリスクアセスメントですが、従来のPマークでは、部門ごとに業務フローを表にして、それぞれリスクを洗い出していました。そのため膨大な量の文書が出来上がっていました。しかし、実際は起こりえる事象やリスクは共通しているものが少なくありませんでした。業務フローごとに書き出していくと、変わった時も1つ1つ修正しなければいけませんし、チェックする際も探すのも大変です。運用や管理が非常に煩雑化していました。

それに対して今回は、想定出来るインシデントを集約して、それをベースに、それを防ぐための対策を決めていきました。その結果、文書類の減量化に繋がり、管理しやすくなっただけではなく、社員への周知もしやすくなりましたし、社員側も理解しやすくなりました。やはり社員が理解出来なければ、どんなルールを作っても形骸化してしまいます。今回は理解しやすい形でまとめることが出来ました。

 

また、これは文書統合とは異なりますが、文書類をデータ化できたことも運用が楽になった要因だと思っています。
従来のPマーク文書は紙で保管していましたが、LRMとの取り組みではクラウドストレージ『box』上で管理するようにしました。それによって社内での共有や審査対応が非常に楽になりました。Pマーク更新の申請時には印刷して提出する必要がありますが、それ以外はクラウド上で管理した方が、共有するにしても、修正するにしても、圧倒的に便利です。

正解のない情報セキュリティのルール作りに苦慮。LRMがサポート

「楽しい雰囲気作りのおかげでリラックスして打ち合わせが出来ました」(取締役CFO・岩上好博氏)

「楽しい雰囲気作りのおかげで
リラックスして打ち合わせが
出来ました」
(取締役CFO・岩上好博氏)

— 特にご苦労だったことがございましたらお話し下さい。

Pマークの新規格に対応しつつ、ISMSのルールを作る作業は全体的に難易度の高い作業でした。やらなければいけないことはイメージ出来ても文章にしていくのが難しかったです。

そもそも情報セキュリティのルール作りには正解がありません。運用コストと労力的負担とリスクのバランスを取りながらどこまでやるかという問題だと思うのですが、現実的に今の規模で運用し続けられるルールでなければ却って事業に支障を来します。加えて、
審査を通るにはどこまでやるべきなのかがよくわかりません。その辺のバランスをどう取るかが非常に悩ましい問題でした。

— それを解消するためにLRMはどのようにサポートしてくれましたか。

リスクアセスメントをした後に叩き台を作っていただいて、それを各部署の代表者も交えて、大谷さんと一緒に読み合わせをしながら実務に合わせて修正するという作業を行いましたが、その中でわからないことがあった時は、1つ1つ質問してアドバイスを頂きました。また第1段階審査の後、審査で求められたことと弊社の状況を紐付ける作業に取り組む際もアドバイスを頂きました。

— 文書作成以外のサポートはいかがでしたか。

従業員教育と内部監査をサポートしていただきました。Pマークの更新審査とISMSの審査、両方でサポートしていただきました。従業員教育は先ほども少しお話ししました通り『Seculio』を利用しました。内部監査では内部監査員を代行していただきました。

— 『Seculio』の使い勝手はいかがでしたか。

使い易かったです。教材は一般従業員向けの他に、事務局向け、内部監査向けがあって、充実していました。
管理者にとっても周知したり、実施状況を確認したり、催促したりする機能が付いているので管理が便利でした。

特に弊社は全国の自治体様と取引をしている関係上、外出の多い社員が沢山います。営業職は週に1日しか社内にいないということもあります。そういう人達に紙のテキストや問題を配って提出するように求めるフローは現実的ではありません。Pマークを取った時はそういった回収作業が大変だったと思います。今回はインターネット上で実施出来ますので、弊社の状況に合っていました。

— 内部監査員代行のメリットをお話し下さい。

知識のある第三者の方にチェックしていただくメリットは大きいと考えています。社内の人間は無意識的にもバイアスがかかっている可能性は否めないため、第三者の方に監査をして頂く方が厳しい目でチェックできると考えます。

また、内部監査員を代行していただくことで審査の予行練習にもなりました。審査時に聞かれそうなことを意識した内部監査をしていただけたため、私達が留意すべきことを抑えられたことは有意義でした。社員にとっても、認証を取ることを認識することで、より情報セキュリティに対する意識が高まったと感じます。

— ISMSの審査はいかがでしたか。

ISMSの審査は、我々にとって必要なことや我々がどうやっているかということをきちんと理解してくれようとする審査だと感じました。用意されたルールを無理矢理はめ込もうとするのではなく、規格の背景を丁寧に説明してくれた上で、弊社にとってそれが必要なのかどうかという議論に導いていただきました。その中で得られた気付きもありましたので今後の取り組みに反映していきたいと考えています。

Pマークはどちらかというと、既定のルールをどの企業にも一律にはめ込もうとする審査ですね。そういう意味ではわかりやすいですし、やれば良いのかということになるのですが、それが形骸化しやすい理由の1つのような気がします。
それに対してISMSは運用することに重きが置かれますので、そのために弊社としてどうすべきかが問われ、掘り下げて考える必要があります。そのプロセスがあるからこそ中身が伴ったマネジメントシステムの構築に繋がります。

ISMSは中身が伴わなければ意味がない。より強固なセキュリティ体制作りが課題

— 情報セキュリティに関する今後の課題をお話し下さい。

まずはISMSとPマークのルールを改善し続けて、更新し続けることです。認証の維持はあくまでも運用の結果としてあるものだと考えています。認証を維持しても中身が伴わなければ意味がありませんので、より強固なセキュリティ体制を構築していきたいと考えています。

また、ITシステムのセキュリティ対策も継続的に強化していく必要があると考えています。

「事業内容の拡大に伴い、引き続きサポートしていただきたいと思っています」(右から;小林氏、岩上氏)※左は弊社 大谷

「事業内容の拡大に伴い、引き続きサポートしていただきたいと思っています」
(右から;小林氏、岩上氏)※左は弊社 大谷

未知なる領域に直面した際に備え『情報セキュリティ倶楽部』の契約を検討

— LRMのコンサルティングを受けられたご感想をお話し下さい。

「日本で一番身近なセキュリティ会社」というLRMの基本方針を実感するコンサルティングでした。例えば打ち合わせは、全体的に楽しそうな雰囲気で進行してくれました。そのため情報セキュリティのルール作りという性質上、真面目にやるとつまらない作業になると思うのですが、リラックスして取り組むことが出来ました。また、ルール作りにおけるアドバイスは、他の会社の事例やたとえ話を交えてご説明いただけたので非常にわかりやすかったですし、質問に対してもテキパキと回答していただけましたので、安心して相談出来ました。

打ち合わせはいつも大谷さんのノートPCをモニターにつないで、画面を見ながら進行するのですが、PCを立ち上げた最初の画面に出てくるのが「日本で一番身近なセキュリティ会社」という文字でした。弊社も経営理念や行動指針を見直していたところでしたので共感を覚えました。

— 今後、LRMへの御期待がございましたらお話し下さい。

弊社は今後もLRMのサポートは継続していきたいと考えており、現在、『情報セキュリティ倶楽部』と『Seculio』の契約について商談を進めています。

ISMSとPマークの運用は、現在の事業だけを継続することを想定するなら、私達だけでもやっていけるかも知れません。しかし弊社は今後も業容を拡大していくことを前提に事業を展開しています。今後は私達が経験したことだけではわからないことが出てくるはずです。情報セキュリティの専門家から助言をいただいて運用していくことはむしろマストであると考えています。

たまたまですが、弊社とLRMの事務所が近いことも安心して取り組める1つの要因でした。
「いつでも来ます」とおっしゃっていただいて、実際に緊急に呼び出したことはありませんが、少なくとも時間の調整はしやすかったです。何らかの形でサポート契約を結んでおけば心強いです。

株式会社キャンサースキャン様、お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。

株式会社キャンサースキャン様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

※ 株式会社キャンサースキャン様のWEBサイト
※ 取材日時 2019年11月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る