アメリエフ株式会社様 – 顧客事例 –

ISMSを効果的に運用するには従業員の協力が不可欠。そのためには企業文化を損なわないルール作りが重要です。ITに強いLRMを選んで正解でした。

成長著しいバイオインフォマティクス領域で独自のポジションを築いているアメリエフ株式会社は、今後の事業拡大を見据えてISMS/ISO27001認証を取得しました。自社の文化を維持できるルール作りを目指して選んだコンサルティング会社がLRMです。ISMS/ISO27001認証取得に至るまでの経緯と成果、今後の課題などについて、代表取締役社長・山口昌雄氏、取締役COO・金景順氏、管理部門・山本友美氏にお話を伺いました。

(アメリエフ株式会社について)

膨大な量の生命情報をコンピューター解析するバイオインフォマティクス領域で事業を展開するベンチャー企業。遺伝子解析技術をコアスキルとし、研究機関や医療機関を対象に、遺伝子情報の受託解析、遺伝子情報を解析するためのソフトウェアやシステムの開発、さらに遺伝子解析に関するトレーニングなどを行っている。健康事業市場やヘルスケア市場が拡大する中、遺伝子解析の基礎研究分野からスタートし、そこで蓄積した技術をもとに医療分野へと領域を拡大している企業は国内でも珍しく、貴重な存在である。2016年には「リアルテックベンチャー・オブ・ザ・イヤー 2016」を受賞。遺伝子解析技術の活用で、1人ひとりの遺伝子特性に合わせた高い治療効果や副作用の抑制が期待できる治療法・薬剤の選択を可能とするとともに、新薬開発などに貢献することで、より豊かで健康な人類社会の実現を目指す。
設立;2010年3月。本社;東京都。従業員数;約20名。

LRMにISMS/ISO27001認証取得コンサルティングを依頼

— LRMへのご依頼内容をお話し下さい。

弊社は2018年6月、LRMにISMS/ISO27001(以下、ISMS)認証取得コンサルティングを依頼しました。担当者は大谷さんです。11月に第2段階審査を終え、12月に認証書が届きました。

また、認証取得後は、ISMSの運用改善サポート『情報セキュリティ倶楽部』と、セキュリティ教育クラウド『セキュリオ』を契約しました。

医療分野における市場拡大を目指してISMS/ISO27001認証を取得

— 御社がISMS認証を取得した理由をお話し下さい。

弊社がISMS認証を取得した理由は、お客様に安心してデータをお預けいただける体制を構築するためです。

弊社は生命科学データを扱う会社です。もともとは基礎研究の領域で事業を行っていましたが、2016年以降は医療分野に注力し、大学病院を主な顧客として、患者様の遺伝子データや診療データ、もしくは比較対象としての健康な方の遺伝子データや生体データをお預かりするようになりました。大学病院は倫理審査委員会(IRB)を通して、患者様にインフォームドコンセントをした上で情報を預かり、外部機関である弊社にデータ解析を委託するという同意書を取っています。それだけクリティカルなデータをお預かりしているため、弊社には大きな責任が伴います。より高いレベルでの情報セキュリティマネジメント体制が必要であると考えて、全社を認証範囲とするISMS認証取得を決断しました。

また、お客様によるセキュリティ監査を受ける機会も増えてきましたし、競合である海外企業が先行してISMS認証を取得しておりましたので、今後、ビジネスを拡大していく上でISMS認証取得は必須条件であると考えました。

スピード感を大事にする自社の文化に合ったコンサルティング会社を選定

「ISMSの効果的な運用を実現できるコンサルティング会社を選定しました」(取締役COO・金景順氏)

「ISMSの効果的な運用を実現できるコンサルティング会社を選定しました」
(取締役COO・金景順氏)

— ISMS認証を取得することを決めた時期はいつ頃ですか。

2018年に入ってから検討を始め、年度末の忙しさが落ち着き始める3月末ぐらいからコンサルティング会社の選定に着手しました。

— コンサルティング会社の選定要件をお話し下さい。

弊社が求めたのはITに理解があり、柔軟に対応していただけるコンサルティング会社です。ISMSを効果的に運用するには、従業員の協力を得られるかどうかが重要です。
それについて最も懸念していたのがクラウドツールの活用についてでした。
弊社は、社内におけるコミュニケーションやファイル共有に、チャットやストレージなどのクラウドサービスを活用しています。こういったクラウドサービスの活用が制限されてしまうと、業務のスピード感は損なわれ、従業員の協力は得られなくなる可能性があります。クラウドツールの利用に必要以上の制限をかけずに、従来通りの業務スピードを維持するには、ITに対する理解があるコンサルティング会社のサポートが必要でした。

コンサルティング会社の選定では5社ほどピックアップして、それぞれお会いして話をしましたが、従来の実績や実際にお会いした際の説明から判断してLRMに依頼しました。

— 比較された会社はどのようなコンサルティング会社でしたか。

他社は、歴史が長く、その分考え方も古いという印象の会社ばかりでした。弊社は新しい市場で事業を行っていますので、新しい潮流に柔軟に対応していただけるコンサルティング会社の方が文化的にも合うと思いました。
LRM自体が若い会社ということも選定する上で重要なポイントとなりました。

さらに、コンサルタントの仕事は「話を聞いて提案する」ことだと思いますが、そういう意味でもLRMには期待が持てました。選定段階でお会いしたのは営業の方でしたが、とても話がわかりやすく、営業担当者がこれだけ話が出来るならコンサルタントも大丈夫だろうと思えるほどでした。最後にコンサルティングを担当される大谷さんともお会いして、そういった印象が崩れることはなかったため、正式に契約を結びました。

情報の種類ごとに責任者と管理手順を決め、従業員教育のルールを構築

— ISMS認証取得に向けた社内体制を教えて下さい。

代表の山口が管理責任者を務め、情報セキュリティ管理者の金、山本の2名がISMS事務局として、LRMとの打ち合わせや情報資産台帳の洗い出し、ルール作りなど実質的な作業を担いました。途中からシステム管理者、システム担当者の2名も加わりました。また具体的なルールの構築では、各部門長をはじめ社員全員が協力してくれました。そのような全社的な取り組みによって、業務スピードを落とさないルールが構築出来ました。

— 御社が扱う機密情報にはどのようなものがありますか。

弊社が扱う情報資産で特に重要なものは医療機関などから預かるゲノムデータの他に、名刺を含めた顧客情報、社内で開発しているソフトウェアの開発データなどです。

これまでもこういった機密情報の取り扱いが非常に重要であることは認識していました。しかし具体的な方法については個々に任せていました。しかし近年、社員数が10名を超え、アルバイトやインターンも在籍するようになってきたため、統一ルールを設ける必要性は感じていました。

— 今回整備されたルールにはどのようなものがありましたか。

情報の種類ごとに管理責任者を決め、管理手順を決めました。例えば名刺の場合、電子化して原本は処分するというルールにしました。

また決めたルールを浸透させるために、従業員教育のルールも明文化しました。特に新入社員に対しては、入社後すぐに研修を行うことを明文化しました。従来は状況によって実施できない場合もあり、粒度の濃淡がありました。
同じルールでトレーニングが出来るようになったことで意識の共有が図れるようになりましたし、若い従業員にとってはちゃんとした会社だなという安心感にもつながるという副次的な効果もありました。

— クラウドツールの利用に関して、制限は設けましたか。

クラウドツールの利用に関してはほぼ従来通りですが、使用するツールは一通り見直しました。有料化するべきものは有料化し、使っていないものは使わないなどの整理をして行きました。チャットはSlack、ストレージはMicrosoft OneDrive、Google Drive、DropBox、Boxのいずれかを利用し、それ以外のツールは原則禁止としました。

— その他に現場の従業員の方々に影響を及ぼすルールにはどのようなものがありますか。

具体例としては、私物の携帯電話にウイルス対策ソフトをインストールするというルールがあります。弊社では従業員が何らかの事情で出勤が遅れるといった場合の連絡にもチャットアプリを使用しています。その際、端末は社員の携帯電話を使いますが、その前提として、各自ウイルス対策ソフトをインストールするルールにしました。他にはパスワードポリシーなどもともとあったルールを明文化したものもあります。

こういったルールに関しては、各自が気をつけるだけではなく、部門単位で部門長がチェックすることにしています。今回の新規取得においては第2段階審査を迎える前に、これらのルールを改めて浸透させる場を設け、チェックリストを使用して各自ルールが守れているかどうかをチェックした上で、各部門の部門長に確認してもらうという作業を行いました。それが「全員でISMSを取りに行こう」という雰囲気を生む機会になりました。

自分達で考えて解決出来ない問題は、まずLRMに相談

「LRMに相談すれば具体例を交えてわかりやすくアドバイスしてくれました」(管理部門・山本友美氏)

「LRMに相談すれば具体例を交えてわかりやすくアドバイスしてくれました」
(管理部門・山本友美氏)

— LRMとの打ち合わせはどのぐらいのペースで何回ぐらい行いましたか。

2週間に1回のペースで、計10回ぐらい行いました。 その中で9月頭にはルールの大枠が固まり、その後、運用しながら改善していきました。

— 御社内で担った作業をお話し下さい。

情報資産の洗い出し、各種記録用の様式類の作成などは、社内で行いました。
マニュアル類はリスクアセスメントに基づいてLRMにひな形を作っていただき、打ち合わせの際に読み合わせをしながら、弊社の運用に合わせて修正していきました。

— 全体を通してご苦労はございましたか。

まず大変だなと思ったのが情報資産の洗い出しです。一通りリストアップした後も、増えたり減ったりするものなので、どのタイミングで切っても完璧に揃ったという状態にはなりませんし、現場の責任者すら把握していなかったものが見つかることもありました。それらをいかに整理して管理出来る状態にするかは難しいと思いました。

また、細かいルールの構築や書式類の作成などの宿題は、普段の業務と並行して作業していましたので、両立させる大変さもありました。

— そういった中でLRMはどのようなサポートをしましたか。

情報資産の洗い出しに関しては、一旦、我々自身でまとめたものをLRMにチェックしてもらい、アドバイスを受けながら整理していきました。

日常業務との両立に関しては、自分達で考えても判断出来ないことがあった時は、LRMに相談してアドバイスをいただきました。例えばLRMと一緒にマニュアルを読み合わせしながら構築したルールは、決まったものから社内に周知し、運用して行きましたが、実際に運用してみると実態とは異なっていることもありましたので、実際の手順に則ったルールに変更するためにどうしたら良いかという相談をしました。

特に判断に迷ったのがレベル感です。例えば個人のスマートフォンにウィルスセキュリティソフトを入れるというルールを検討する際には、iPhoneはどうしたら良いか迷いました。この場合「iOSには入れなくても良いのでは?」というご意見をいただきました。その他のケースでも、「そこまではやらなくても良い」「審査は通るが、できればここまで対策しておいた方が良い」「ここまで対策しなければISMSの要求は満たせない」といったアドバイスをいただき、それを元に検討してルールを決めました。

自分達で考えてもわからないことは、大谷さんに聞けば、他社の事例なども交えて、具体的なアドバイスをいただけるので、無駄に考える時間を費やさずに済みます。そういった点でも頼りにさせていただきました。

— 従業員教育はLRMが提供するセキュリティ教育クラウド『セキュリオ』のeラーニング機能を使われたのですね。

そうです。夏までには全員テストを受け終わりました。教材は、弊社独自のルールではなく、情報セキュリティマネジメントシステムの基本とインシデント事例といった一般的な内容でしたので、各自空いた時間を見つけて実施してもらいました。

「セキュリティ教育クラウド『セキュリオ』のインシデント事例は、従業員の意識改革にもつながりました」

— 『セキュリオ』を使用されたご感想をお話し下さい。

インシデントの事例は特に従業員の意識改革に役立ちました。また管理者にとっては、テストの成績を一覧で確認できるのが便利でした。誤答の多い設問も一目瞭然ですので、なぜその項目が間違えやすいのか、周知の仕方が悪かったのかなど振り返る材料にもなりました。さらに、アルバイトの中には数名リモートで勤めている方がいます。そういう方が同じ条件で受講できる点も便利です。

— ISMS認証取得後、継続契約をされたとおっしゃいましたが、理由をお話し下さい。

まず、従業員教育の教材が随時追加される点に魅力を感じました。また従業員教育のコンテンツだけではなく、関連法令の最新情報も配信されます。ISMSの運用では、関連法令の最新情報を整理して把握しておくことも求められます。弊社には法務部がなく管理部門が兼務している状況ですので、省力化につながるメリットがあります。
これらの理由から、今後もISMS運用の中で適宜活用したいと考えて継続契約しました。

— 内部監査はどのように実施しましたか。

第1段階審査の後、LRMに審査員を代行していただいて実施しました。審査の予行演習を兼ねて、実際にオフィスやサーバールームにも入っていただいてチェックしていただきました。改めて現場を見ていただいて、ルール化出来ていなかった箇所などをご指摘いただきました。あえて厳しめにチェックしていただいたことで、現場の従業員達の緊張感にもつながり、しっかりと審査に備えることが出来ました。

ISMS/ISO27001認証取得をきっかけに、開発体制の見直しにも着手

「ルールを構築し、チェック、改善し続ける仕組み作りの重要性を実感しました」(代表取締役社長・山口昌雄氏)

「ルールを構築し、チェック、改善し続ける仕組み作りの重要性を実感しました」
(代表取締役社長・山口昌雄氏)

— 今回のISMS認証取得の取り組み成果をお話し下さい。

最大の成果は、内外に向けて明確に「これがアメリエフの情報セキュリティマネジメントシステムです」と言えるものが出来たことです。新規の取引先からの監査も安心して迎えることが出来ました。既存のお客様に対してもISMS認証を取得した旨をアナウンスしましたところ、多数の応援のコメントをいただきました。それは狙い通りです。国内で競合となり得る企業の中には品質系の認証を取られているところはありますが、情報系の認証に関しては前例がありませんので、率先して取得出来て良かったと思っています。

— 一連の取り組みを通して、改めて気づいたことなどがございましたら教えて下さい。

今回体系化したルールのほとんどは、従来からやっていたことがベースになっています。そのことから、これまでも自己流ながら、比較的正しい手順で情報を扱うことは出来ていたということは確認することができました。しかしやはり体系化は出来ていませんでしたし、抜け漏れもありました。体系的なルールを作り、チェック、改善し続ける仕組み作りの重要性を実感しました。

— ISMSを構築したことで、作業の効率化やサービスの品質向上につながる要素はありましたでしょうか。

今ちょうど開発体制の見直しが進んでいるところです。システム管理者を勤めているCTOの旗振りのもと、より良い体制作りをしていこうとグループを立ち上げ動き始めています。ISMS認証取得をきっかけに、開発体制が整備され、品質としても高いものをという向上心も生まれました。

プロに聞くのが一番の近道。約半年間でISMS/ISO27001認証取得へ

— LRMのコンサルティングに対するご評価をお話し下さい。

専門家としてしっかりサポートしていただけたと思っています。先ほども申しましたが、プロに聞くのが一番の近道です。このプロジェクトも初夏にスタートし、年内に認証書が届きました。それはLRMのサポートがあってこそのスピード感だったと感じています。

またインターネットで情報セキュリティに関する調べ物をすると、必ずと言って良いほどLRMのブログが上位に表示されるのもすごいと感じました。しっかり情報を出していることは信頼につながります。

— コンサルティング会社を選定する際のご期待には応えることが出来ましたか。

「ITに強い」という条件に関しては、マニュアル類のチェックなども紙ベースではなく、データでやりとりしていましたので、効率良くプロジェクトを進行することが出来たと実感しています。実際に構築したルールも、従来の業務スピードを損なわずに済みました。

またルールを社内で運用した際におかしいと思った箇所は、すぐに社内の意見を集めて修正していくという作業を行っていました。そういう時にLRMに相談した際には、柔軟に対応して下さいました。もともと弊社は、一度決めたルールは絶対に変えないという会社ではありません。そういった文化が合致していた点も期待通りでした。

「規模が拡大すればするほど管理が煩雑になります。新しいルール作りの指南役を期待して運用改善サポートを契約しました」(右から;山口氏、金氏、山本氏)※左は弊社・大谷

「規模が拡大すればするほど管理が煩雑になります。新しいルール作りの指南役を期待して運用改善サポートを契約しました」
(右から;山口氏、金氏、山本氏)※左は弊社・大谷

新しい課題に向き合う際の指南役を期待して『情報セキュリティ倶楽部』を契約

— 今後の課題をお話し下さい。

ISMS認証を取得したことで会社を大きくしていくための下地作りは出来ました。今後は運用フェーズに入って行きますが、事業を進めて行けば、人、物、情報、全てが増えます。特に情報は量だけではなく、種類も増えます。事業が拡大すればするほど、管理は煩雑になりますので、さらに新たなルール作りが必要となるでしょう。また、そういった中でもインシデントを起こさないよう教育をしっかりしなければいけません。さらに万が一インシデントが起きた場合には、迅速に対応する必要があります。そのためにも事務局の体制をしっかり維持していきたいと考えています。

— LRMの『情報セキュリティ倶楽部』を契約されました。改めて、ご期待をお話しいただけますか。

実際にISMSを運用してみると、社内はどんどん新しいことに取り組んでおり、その都度、新しい課題が発生してくるということがわかりました。そういった課題に対する適正なルールを構築する一方で、効率的に業務を回していく文化は堅持したいと考えています。LRMには、この矛盾し兼ねない要素を両立させるためのアドバイスをしていただきたいと考え、年3回の訪問つきのサポートを依頼しました。『セキュリオ』と併せて、これからもよろしくお願いいたします。

アメリエフ株式会社様、お忙しい中、有り難うございました。今後ともどうぞよろしくお願いいたします。

アメリエフ株式会社様、お忙しい中、有り難うございました。
今後ともどうぞよろしくお願いいたします。

アメリエフ株式会社様のWEBサイト
※ 取材日時 2019年2月

  • システム開発・運用
  • 情報処理サービス
  • 医療・ヘルスケア
  • 50名未満
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら