株式会社おいしい健康様 – 顧客事例 –

ISMSを構築すれば少なからず業務負担は増えるもの。その負担を最小限に抑えるため、ITベンチャーに強いLRMにサポートを依頼しました。

株式会社おいしい健康は、積極的に事業の幅を拡大する中、今後のさらなる飛躍に備えてISMS/ISO27001認証を取得しました。ISMS/ISO27001認証取得の意思決定に至る経緯から、認証取得にあたっての懸念、LRMにコンサルティングを依頼した決め手、さらに取り組みの成果を、執行役員・多和田りな氏、エンジニア・山下智樹氏のお二人に伺いました。

(株式会社おいしい健康について)

クックパッド株式会社のヘルスケア事業部が母体となって2016年に設立されたスタートアップ企業。「誰もがいつまでも、おいしく食べられるように」という理念のもと、生活者目線のヘルスケア事業を展開する。中核サービスは、管理栄養士監修のレシピ検索・献立作成サービス『おいしい健康』。ユーザーの年齢や体重、目的に合わせてパーソナライズされた献立を作成することが可能なオンリーワンサービスである。病気の予防・管理やダイエットなどに取り組む人々が抱える食事管理における悩みを解決する。また企業向けのサービスとして『健康社食アプリ』を提供。各自が入力した健康診断結果に応じて、社食を利用する際の推奨メニューをレコメンドしたり、夕食、間食での食事の摂り方を提案したりすることで、企業で働く社員の健康維持に繋げる。さらに、大学などの研究機関との共同研究にも積極的に取り組む。テクノロジーとビッグデータを活用し、病気、妊娠・育児や介護の最中であっても、毎日を笑顔で過ごせる社会の実現を目指している。
本社;東京都中央区。設立;2016年7月。従業員数;約50名(2020年7月現在)。

LRMへのご依頼内容;ISMS/ISO27001認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

株式会社おいしい健康は、2019年12月、LRMにISMS/ISO27001(以下、ISMS)認証新規取得コンサルティングを依頼しました。途中、新型コロナウィルス感染症拡大の影響もありましたが、当初の要望通り2020年4月中にISMS認証を取得することが出来ました。

事業規模とサービス領域の拡大に備えてISMS/ISO27001認証を取得

— ISMS認証を取得した理由をお話し下さい。

ユーザーに安心してサービスをご利用いただく上では、いずれISMSやプライバシーマーク(以下、Pマーク)などの情報セキュリティ系の認証を取得して、情報セキュリティポリシーを確立する必要があるという認識は、以前から持っていました。また、取引先からの要請もあり、これを良い機会と捉え、ISMS/ISO27001認証を取得することになりました。

— 取引先というのは企業向けサービスのお客様ですか。

はい。『健康社食アプリ』などのサービスを弊社と共同開発し、提供している一般企業です。弊社はそれらの取引先から、そこで働く従業員の健康診断結果を含め、センシティブな情報をお預かりすることもあります。もちろんお預かりした情報はきちんと管理していますが、取引先が増える中で情報セキュリティ系の認証取得に対する要望も大きくなってきました。

弊社としても、サービス領域の拡大を念頭に置いて事業を行っていますので、早期にしっかり体制を整備しておいた方が安心です。組織が拡大すればするほど、社員を巻き込んだ取り組みには手間がかかるようになります。
従業員数50名ぐらいのタイミングで、株式会社おいしい健康としての情報セキュリティポリシーを確立しておけば、
社員数が増えた際も、既存社員と新入社員のレベルを合わせることが容易になります。近年は新しいメンバーも増えてきたため、今のうちにおいしい健康としての文化、ポリシーを確立したいと考えました。

— Pマークもご検討されたのですか。

最初はISMSとPマークのどちらを取るか迷いました。検討には、認証に合わせて制度設計をするのか、会社の実態に合わせて制度設計をするのかという論点がありました。そのどちらにしても、ルールの明確化には多少なりとも業務負担が増えると考えていましたので、出来るだけ従業員の負担を減らせると考えてISMSを選びました。

— 取得期限は予め決めておられたのですか。

2020年5月に日本糖尿病学会へ参加し、当社サービスの紹介を予定しておりましたので、それに間に合うようゴールデンウィーク前の取得を目指し、逆算してスケジュールを立てました。

— 糖尿病学会に合わせて、何か発表されるご予定がおありだったのですか。

弊社の提供する『ごはんカメラfor糖尿病』というアプリのバージョンアップを予定しており、日本糖尿病学会ではその紹介をしようと考えていました。今回はクラウドを活用した機能強化があったため、より高いセキュリティを求められることが予測されました。

新型コロナウィルス感染症拡大によって学会は延期になりましたが、アプリのバージョンアップは予定通り実施しましたので、この時期に取得出来て良かったです。

LRMに依頼した決め手は、ITベンチャーへの豊富なサポート実績

「“こうしたい”と思っていることを隠さず話すことが出来ました」(エンジニア・山下智樹氏)

「“こうしたい”と思っていることを隠さず話すことが出来ました」
(エンジニア・山下智樹氏)

— ISMS認証を取得する上で、外部のコンサルタントはやはり不可欠でしたか。

はい、不可欠でした。ISMS認証取得を意思決定したのは2019年12月で、取得期限の2020年5月から逆算すると、取り組み期間は実質約3ヶ月ですので、自力での取得は容易ではないと考えました。

— LRMを選定された経緯をお話し下さい。

何社か比較してLRMに依頼しました。もともと依頼先の候補にLRMを挙げたのは、弊社役員からの推薦があったからです。その役員は、過去に在籍した会社で、何度かLRMと一緒に仕事をした経験がありました。

最終的な決め手は実績です。どの会社も、実際にお会いして話をすれば、「スピード感を持って対応します」「何でも出来ます」とおっしゃいます。しかし、我々にとってはまず規格の実像を掴むことが難しいため、比較検討もままなりません。そこで実績を頼りに選定しました。

特にLRMはIT系の業界に強いと聞きました。弊社はAWSを使ってサービスを構築しています。クラウドサービスの利用に懸念を示すコンサルティング会社もありましたが、AWSはダメだと言われても、事業継続が出来なくなるだけです。
それに対してLRMは、弊社のようなスタイルでサービスを作って運用する業界に詳しく、各企業の実態に合わせたマネジメントシステムの構築を強みとしていると聞きました。自分達の現状や実態に合わせて設計が出来るというところは、コンサルティング会社を選定する際の重要な要因でした。

「ISMS認証がある」という事実が従業員の意識を向上させた

— ISMSのルールを決めたことで、業務負担は増えませんでしたか。

多少なりともやるべきことが規定されたので、負担が増えていないと言えば嘘になります。ただ初めから出来るだけ負担がかからないようにすることを意識してルールを作りましたし、結果として最低限の負担で済む設計は出来たと考えています。

— 例えばどのようなルールがありますか。

例えば入退室の記録があります。一般的に採用されるのは、ICカードで認証して自動的に記録を取る方法だと思います。私達もそうしたいと思っていましたが、入居しているビル側の制限とコスト面から、自動化は諦めて運用によって行うという判断をしました。現在は、最初に出社した人、最後に退社した人がそれぞれ解錠と施錠の際に記録を取っています。

— 紙で記録を取っているのですか。

紙ではなく『Googleフォーム』を使い、スマートフォンでQRコードを読み込んで記録を取る仕組みを作りました。

最初は紙で記録し始めたのですが、抜け漏れがあった時に確認する術がありませんし、記録した紙の管理方法や保管場所など、いくつか問題があることに気付き、自社で現在の仕組みを作りました。コストと手間とのバランスを取り、やらざるを得なかったことはいくつかありましたが、可能な限り自動化して運用を減らす工夫をしています。

このようなルールを明確に決めたことで、多少面倒なこともあったかも知れませんが、管理の面では良かったと思っています。新型コロナウィルス感染症拡大の影響から、フルリモートワークに移行してオフィスが長期間無人になった時期がありましたが、その期間にやむを得ず出社しなければいけない社員がいた際も、解錠、施錠の状況を把握することが出来ました。

— 独自の情報セキュリティポリシー作りという目的が達成された実感はございますか。

はい。特に新しく入った社員への周知がしやすくなりました。最も重要だと思うのがデータの取り扱いです。これまで以上に、どのようなデータが重要かを意識するようになりました。取り組み前は漠然とした意識でしたが、現在は、厳密に守らなければいけないという意識を持つようになったと思います。

— そういった意識を芽生えさせるためにどのような取り組みをされたのですか。

ルール作りは事務局だけではなく、各部署から情報セキュリティ委員を選任し、現場も巻き込んで行いました。
また、ルールが浸透するよう、毎週少しずつ周知するなどの工夫をしました。

ただ、そういった取り組み以前に、「ISMS認証がある」という事実自体に効果があると感じます。実際、お客様や提携先へ参考データを開示したい際には、社員が自分一人で判断せず、身近にいる情報セキュリティ委員に一旦相談して行動するようになりました。全員のセキュリティ意識が向上したことで、インシデントが起こりにくい環境になりました。

台帳類の整備に苦慮するも、LRMのテンプレート類で大幅に手間をスキップ

「話が伝わらなくて前に進まないということがほとんどありませんでした」(ディレクター/執行役員・多和田りな氏)

「話が伝わらなくて前に進まないということがほとんどありませんでした」
(ディレクター/執行役員・
多和田りな氏)

— 取り組みを振り返られて、ご苦労されたことがございましたらお話し下さい。

情報セキュリティ委員会のメンバーをとりまとめて、社内の棚卸しをしていく作業が大変でした。

LRMとの打ち合わせにはISMS事務局として山下、多和田の2名が参加し、その打ち合わせで決まった施策は、各部署で選任された情報セキュリティ委員へ周知して実施してもらいました。各委員は協力的に動いてくれましたが、誰もが通常業務の合間を縫ってやらなければいけないので、時間の確保や、事務局側で集約していく作業は苦労しました。

特に大変だったのが、情報資産管理台帳と委託先管理台帳の作成です。情報資産管理台帳に関しては、洗い出してみたらとにかく数が多く、それらを1つ1つ評価しなければいけませんでした。

委託先管理台帳に関しては、全社でどのような会社と付き合いがあるのか契約書をもとに洗い出し、それぞれ契約書の内容や情報セキュリティに関する取り決めの確認が必要で大変でした。

— 委託先にはどういうところがあるのですか。

弊社の委託先にはフリーランスや開発会社などさまざまありますが、委託先によっては細かい取り決めをしないことがスタンダードとなっているところもありました。そのこと自体にすごく驚きもしましたが、契約を結び直すことにより、情報セキュリティに関してお互いに認識できるいい機会となりました。

— スケジュール自体は当初のご予定通りに進まれたのですね。

はい。審査までスケジュール通りに進めることが出来ました。最初にLRMが大まかなスケジュールを引いて、どのタイミングでどのような文書が必要かという説明もうけたので、それに基づいて、自分達でコントロールしながら作業していきました。

— スケジュール以外ではどのようなサポートがありましたか。

情報資産台帳や委託先管理台帳などの文書作成に関しては、ドキュメント類のテンプレートがありました。それによって様々な手間をスキップすることが出来ました。

また、それらのテンプレートを、自社の実態に合わせてカスタマイズする必要もありましたので、LRMへ相談しながら決めました。ルール構築では、出来るだけ社内の業務負担を減らせるよう意識しつつ、ISMSの規格の要求事項は満たせるように、LRMに助言していただいて準備を進めました。

— 従業員教育に関してはいかがでしたか。

従業員教育では、LRMのセキュリティ教育クラウド『セキュリオ』のeラーニング機能を活用しました。ISMSの運用では従業員教育の実施が必須です。そのためのシステムを提供して下さったということは、すごく手間が省けて助かりました。特に教材を用意する必要がないところが便利でした。今も使い続けています。

また、ルールを社内に周知し、浸透させるには、eラーニングだけでは足りない部分がありますので、毎週行われる全体会議で、その週に決めたルールを周知するようにしました。

このような新しい取り組みをする際には、一気に浸透させようとすると無理が生じます。少しずつ現場に周知していかないと理解は進みません。決まったことを全て周知するのではなく、少しずつ確実に浸透させていくことを意識しました。

— 『セキュリオ』は、現在はどのような使い方をされているのですか。

現在は、新入社員の研修に使用しています。ルール上、新入社員が入社したタイミングでISMSの教育を受けることになっています。また次回の維持審査を受ける前に、全従業員への教育を実施する必要がありますので、今後も定期的に使用することになるものと考えています。

— 内部監査員代行はいかがでしたか。

我々にとって、ISMS認証の内部監査自体が初めての経験です。勝手がわかりませんので、自分達でやっていたらあまり意味のないものになっていたのではないかと思います。

— そのような取り組みを経て受審した審査はいかがでしたか。

内部監査が審査の予行演習になりましたが、初めてだったので緊張しました。結果として、2箇所ほど指摘を受けて運用面を見直しましたが、その他に致命的な指摘はなく、予定通り、ISMS認証を取得できました。

働き方の変化に合わせた対応が課題

— 今後の展望がございましたらお話し下さい。

今すぐ求められることは、新しい働き方に対応した環境整備です。審査の際、今後の改善案として受けた事項もございますので、本来は次の維持審査に向けて改善活動に注力すべきですが、新型コロナウィルス感染症拡大の影響で事情が変わりました。

取得時点では、全員が毎日出社することを前提としてルールを構築しました。しかし審査後、緊急事態宣言が発令され、弊社も4月、5月は全従業員フルリモートで働くことになりました。6月以降は週2日で出社しています。
このような状況では、出社とリモートワークの併用がスタンダードとなっていますので、ルールを見直す必要があります。目下、重点課題として注力しているところです。

— 最初に構築したルールには、リモートワークの規定は入れていなかったのですか。

入れていましたが、今のような状況を前提にしたルールではありませんでした。1つ例を挙げると、例えばサービスに新しい機能を追加しようと検討している際、パソコンで設計しているUIを紙に印刷するというシーンがあります。紙でチェックするとモニターでは見えなかったことが見えてくることがあるためです。
従来そのような印刷を伴う作業は会社で行うことが前提となっていましたが、昨今の状況では自宅で印刷せざるをえません。このような状況の変化に合わせたルール構築が早急に必要になっています。

「組織が拡大する前においしい健康としてのポリシーが確立出来ました」(右から;山下氏、多和田氏)

「組織が拡大する前においしい健康としてのポリシーが確立出来ました」(右から;山下氏、多和田氏)

本音で話せる、話が通じるコンサルタント

— LRMのコンサルティングを受けられたご感想を伺います。LRMのコンサルティングは話しやすかったですか。

我々が「こうしたい」と思っていることを本音で話すことが出来ました。

— LRMに依頼する際の決め手であった「ITベンチャーに強い」という要素を実感されたことはありましたか。

もちろん弊社におけるシステムの使い方や業務のあり方は説明してご理解いただく必要はありましたが、「この話が通じなくて前に進まない」ということはありませんでした。LRMはお打ち合わせの中で話が通じなかったり、弊社の方針そのものを否定されたりすることはありませんでした。もしそこでぶつかっていたら、スケジュール通りに進めることは難しかったと思います。

— 『セキュリオ』を継続利用されているとおっしゃいましたが、運用サポートの契約もされたのでしょうか。

はい。ISMSの運用改善サポート『情報セキュリティ倶楽部』を契約しました。年2回の訪問相談を受けられるコースです。

— 御期待をお話し下さい。

ISMSを運用し始めて1年目ですしまだまだ手探りの状態です。運用で困った時に相談出来ればと考えています。
もちろん自分達だけで完結した方が話は早いので、まずは自力でやってみて、その上でわからないことが出てきたら相談したいと考えています。

株式会社おいしい健康様、お忙しい中ご対応いただきありがとうございました。今後ともよろしくお願いいたします。

株式会社おいしい健康様、お忙しい中ご対応いただきありがとうございました。
今後ともよろしくお願いいたします。

※ 株式会社おいしい健康様のWEBサイト
※ 取材日時 2020年7月

  • サービス開発・提供
  • 医療・ヘルスケア
  • 担当者の負担軽減
  • 50~199名
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら