エーテンラボ株式会社様 – 顧客事例 –

エーテンラボ株式会社は、2022年5月にISO/IEC 27001:2013認証を取得されました。
認証取得の背景や当時の課題、ISMS取得後の運用方法や効果について、同社の取締役CTOを務める山口様、管理部の辻様、横山様にお話を伺いました。

お客様が抱える課題とISMS構築アプローチ

• 法人向けサービス本格化にあたり、取引先からより信頼を獲得する必要があった
• 個人の情報リテラシーに依存せず、組織全体でセキュリティ意識の底上げを図りたかった

• LRMのテンプレートをもとに、コンサルタントとすり合わせをしながら情報セキュリティポリシーを策定した
• 認証機関による外部審査の指摘を受け、セキュリオの情報資産管理台帳を利用し情報管理のアップデートを行った

LRMコンサルティングサービスへの感想

• エーテンラボの事業および組織フェーズを考慮した提案をしてくれた
• 事務局の窓口変更の際も、コンサルタントが丁寧に情報整理や運用のサポートをしてくれた

（エーテンラボ株式会社について）

食事制限や運動など生活習慣予防・勉強に関するユーザーの習慣化をサポートするアプリ「みんチャレ」の開発提供を行う。近年は自治体向け、企業・健保向けのサービスを展開するなど、ヘルスケア領域に注力している。
設立：2016年12月。本社：東京都中央区。従業員数36名。（2024年11月現在）

— 本プロジェクトの進め方は想定通りでしたか？

山口様）大前提として、LRMなしでISMS認証を取得することは難しかったと思います。情報セキュリティポリシーを策定するにしても、ゼロベースでは準備が大変です。LRMが持っているテンプレートを活用しながら整備でき、プロジェクトを効率的に進めることができました。

苦労したのは、認証取得の準備を始めたばかりのときですね。認証取得のために現状出来ていることと出来ていないことを整理し、差分を見極める必要がありました。ただ、その作業を丁寧に行えた分、以降の進行はスムーズになったと思います。

— 情報セキュリティポリシーを策定したことで、社内ルールの変更もあったかと思います。社内の負荷が増えた点についてお聞かせください。

山口様）ISMS運用の中心メンバーには、情報資産の棚卸しが多少の負荷になりましたが、組織全体としては情報セキュリティへの取り組みに理解があったので比較的スムーズだったのではないかと感じています。

ひとつ挙げるとすれば、当社が利用しているGoogle Driveの運用を厳格にしたことですね。共有範囲などの管理が個別で行われていたので、情報管理を徹底しました。新しいシステムへの移行を通じて、一人ひとりの意識が高まったのは良かったと思います。

— 内部監査や外部審査はいかがでしたか？

山口様）初めての内部監査のときは「何をするのだろう」、「どんなことを聞かれるのだろう」といった不安もありました。ですがLRMのサポートで良い準備ができていたので、内部監査は非常に有意義な時間になりましたね。

辻様）私は3回目以降の内部監査から対応しましたが、やはりどんな仕組みも時間が経つと、体制不備や施策の見落としが生じます。内部監査では当社に丁寧に寄り添っていただき、「審査までの期間で、どう改善につなげていけばいいか」と建設的な議論ができました。

山口様）外部審査も同様に、「これができていない」と指摘を受けるだけでなく、審査員の方々から気付きや改善の糸口を示してもらうことができました。

横山様）例えば、削除したデータの対応や記録に関する指摘がありました。内容を鑑みたところ、セキュリオの情報資産管理台帳を利用することで、より良い情報管理にアップデートできることが分かりました。内部監査や外部審査は、日々の業務の意味を再確認できる場なので、情報セキュリティ担当者として学びが多いと感じています。

— LRMのコンサルタントとのやりとりはスムーズでしたか？

山口様）多くの企業のコンサルティングをされている安心感もありましたが、何より当社の事業および組織フェーズなど、状況を踏まえた上で提案いただけたのが心強かったですね。

辻様）もともと最初の認証取得時は、開発部が窓口を担っていました。開発部のリソースをサービスに集中するため、情報セキュリティ事務局をコーポレート部門に引き継いだという事情があります。今だから言えるのですが、引き継ぎ当初はマニュアルを読み解くのに苦労していたんです。そのタイミングでコンサルタントの増元さんにサポートに入っていただいたことで、運用を回しやすくなったと感謝しています。

— ISMS認証取得後の効果はいかがでしたか？

山口様）経営陣も、ヘルスケア領域に注力する上で、「ISMSは今、認証取得を行うべき」という認識がありました。ISMS認証取得が“ゴール”ではないのですが、取引先からも一定の信頼を得ているという意味で、事業拡大にもプラスに働いています。

辻様）経理業務を担う私に限ってですが、事業活動の「流れ」に目を向けられるようになったのがメリットだと感じています。
どうしても経理担当者は、事業活動を「規程に沿っているか」といった目線でジャッジする傾向があります。ISMS認証取得によって事業理解が進み、事業担当者と同じ目線でコミュニケーションできるようになりました。

— 今後のセキュリティ対策として、強化していきたいポイントを教えてください。

辻様）情報セキュリティに限らずですが、コーポレート部門では「罪人（つみびと）をつくらない」ことを意識しています。
いくら優秀な人材でも、ヒューマンエラーを起こす可能性があります。

こうしたヒューマンエラーの多くは、社内の管理体制が整備されていないことによって発生します。引き続きセキュリティ対策を強化し、社員にとっても、安心して仕事に臨んでもらえるような環境をつくっていきたいですね。

— セキュリティ対策に力を入れている企業に向けて、メッセージをお願いします。

山口様）「みんチャレ」が幅広く利用されることによって、当社の事業は拡大し、さらには社員数も増えていくでしょう。
そのときに個別でセキュリティ対策が行われるのでなく、全社で取り組む体制をつくっていくのは必須だと考えています。

失敗例も含めた社内事例をコンテンツ化・共有した上で「かつてこんなことがあったけど、今後は絶対起こさないようにしよう」と社員全員で意識を高めていけるようにしたいと考えています。

エーテンラボ株式会社様、お忙しい中ありがとうございました。

※ エーテンラボ株式会社様のWEBサイト
※ 取材日時 2024年10月