株式会社WellGo様 – 顧客事例 –

LRMのコンサルティングに無駄なことは何ひとつありません。目的を達成するための無駄のないパッケージでした

株式会社WellGoは2019年10月、ヘルスケア業界における本格的な事業展開を進めていくため、ISMS/ISO27001およびISO27017/ISMSクラウドセキュリティの新規認証取得の取り組みを開始しました。サポートを依頼する相手には迷わずLRMを選んだと語るのは代表取締役 Co-Founderの楠本拓矢氏です。堅牢なセキュリティ環境を有する大手金融機関で経験を積んだ楠本氏がサポートをLRMに依頼した理由や、両認証取得に取り組んだ成果などについてお話を伺いました。

お客様が抱える課題とISMS構築アプローチ
  • ヘルスケア業界での事業展開のため認証を取得したい
  • ISMS認証に加えて、クラウドセキュリティ認証も取得したい
  • 小規模なスタートアップベンチャーでも取得できるのか不安
  • コンサルタントと相談しつつ、自社ルールを落とし込みながら体制を構築
  • 取得に向けた作業はほとんど打合せ時に対応
  • BtoBビジネスのため、利用規約は作成せずクラウドセキュリティ認証を取得
LRMコンサルティングサービスへの感想
  • 認証取得のための無駄のないパッケージだった
  • コンサルティング内容に加えて、インターネットでのユーザーニーズにマッチした情報発信も良かった
  • 『セキュリオ』のeラーニング機能で、従業員教育について悩まずに実施できた
(株式会社WellGoについて)

コラボヘルスの実践を可能とする“クラウド健康経営プラットフォーム”『WellGo(ウェルゴ)』の企画・開発・運営・販売を行うベンチャー企業。同サービスは、AI(人工知能)やビッグデータによる解析を用いて、会社・従業員間の関係性や従業員の健康状態を多角的に把握・予測し、職場の生産性向上をサポート。2017年、野村ホールディングスと野村総合研究所のビジネスコンテストから誕生し、1年強の検証フェーズを経て2019年1月に独立。2年間で、大手企業約80社を含む約1,000社が導入している。導入企業における利用率は97.1%、アプリ内で設定された健康イベントへの参加率は92.8%と高い数値を数え、課題の把握~施策実行~効果検証のフロー継続が期待される。
“テクノロジーの力によって、人生100年時代に輝く未来の種を撒くこと。”をミッションに掲げ、ヘルスケア業界のリーディングカンパニーを目指し、挑戦を続けていく。
設立;2019年1月。本社;東京都中央区。従業員数;約20名(2021年1月)。

LRMへのご依頼内容;ISMS/ISO27001&ISO27017/ISMSクラウドセキュリティ認証新規取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

株式会社WellGoは、2019年10月、LRM株式会社に、ISMS/ISO27001(以下、ISMS)およびISO27001/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)の新規取得コンサルティングを依頼しました。
LRMの担当者・三崎さんと一緒に審査に向けた準備を進め、2020年5月、両認証を取得しました。

— ISMSクラウドセキュリティ認証は、提供者(Cloud Service Provider:CSP)と利用者(Cloud Service Customer:CSC)のどちらのお立場で取得されたのですか。

CSP、CSC、両方の立場で取得しました。CSPはクラウド健康経営プラットフォーム『WellGo』、CSCとしてはアマゾン・ウェブ・サービス(AWS)が対象です。

ヘルスケア業界でビジネス展開するための環境整備

コラボヘルスプラットフォーム『WellGO』のWebサイト。野村證券の社内ベンチャーとして生まれ、独立後2年で大小合わせて約1000社の企業が導入している。

コラボヘルスプラットフォーム『WellGO』のWebサイト。野村證券の社内ベンチャーとして生まれ、独立後2年で大小合わせて約1000社の企業が導入している。

— ISMS認証を取得した理由をお話し下さい。

本格に事業展開する上で、ISMS認証は最低限必要なものなので取得しました。
我々が事業を展開するヘルスケア業界は、ISMS認証がなければビジネスを行うことすら出来ない世界です。『WellGo』で扱う健康情報は、金融情報に匹敵するほどの機微情報です。そのため医療やヘルスケアの領域では、一般的なビジネスと比べ、より高度な情報セキュリティが要求されます。ISMSの基準は最低限遵守した上で、さらに堅牢な仕組みが構築出来ているかどうかが評価される業界です。業界標準を満たすためにISMS認証を取得しました。

— 金融情報と同様に機敏な情報であるとおっしゃいましたが、御社は野村證券様からスピンアウトして設立された企業ですので、非常に高いセキュリティレベルを保たれているのではないですか。

そうですね。弊社は野村証券を母体としていることもあり、金融機関のセキュリティ水準が当たり前ですし、経営方針としてもそのレベルは死守したいと考えています。『WellGo』も野村證券の中で開発し、同社内での検証を経てリリースされましたので、野村證券のセキュリティ水準は引き継いでいます。競合他社と比べても非常に堅牢なセキュリティ水準を保っている自負はございます。昨年度、個人情報保護法が改正されて仮名加工情報の概念が導入されましたが、我々のシステムは、それに先駆けて仮名化した情報を扱っていました。このように先取りして対策を取っているところは、特徴的だと思います。

— 独立する前もISMSの規格には準拠していたのですか。

いいえ。当時はFISC安全対策基準という金融機関向けの基準に準拠していました。FISCは自己管理だけで、認証制度は存在しません。チェックリストを参照しているというぐらいなので、対外的に満たしていると言ってもアピールにはなりません。だからこそ、独立してビジネスを展開していくためには、第三者の認証機関に認証してもらって、信用を担保することが必須でした。

— 野村證券様の基準でセキュリティ対策を取っているというだけでは信用の担保にはならないですか。

そうですね。野村證券のイメージに助けられた部分はありますが、競合他社がISMS認証を取っていますので、弊社だけ取らずにやっていくことは無理だと思います。取引先の中には、何らかのセキュリティ認証を受けていないクラウドサービスを使用してはいけないという社内ルールを持っている企業もあります。そういう意味でも、ISMS認証取得は、満たすべき最低条件ではあります。

— 同時にISMSクラウドセキュリティ認証も取ってしまおうということだったのですね。

はい。弊社はクラウドサービスを提供する会社なので、ISMSだけでは弱いと考えました。「クラウドセキュリティ」とついているものは押さえておかなければいけないと考えました。

従業員数が増えても管理を徹底出来る環境整備が出来た

— ISMS認証取得に際して、ご懸念はありませんでしたか。

小規模なスタートアップベンチャーでも取得出来るのかどうかという不安はありました。我々はセキュリティ認証について詳しくありませんので、ある一定の規模がないと認証されないのではないかという懸念はありました。

— ISMSを構築することで、これまでとは違った対策を取らなければいけないのではないかといったご懸念はございませんでしたか。

弊社が提供する『WellGo』は、競合他社のどこよりも堅牢なものだと思っていますので、そういった不安はありませんでした。独立時点で『WellGo』のシステムはそのまま引き継ぎ、その後、クラウド基盤のセキュリティ機能を追加するなど、セキュリティ面はむしろ強化していますので、システム的な不備があるとは考えていませんでした。

— 業務環境は、独立前と独立後では変わっていないのですか。

業務環境は大きく変わりました。
独立前は、開発環境はAWSを利用していましたが、それ以外の業務は、完全にオンプレミスで固められた社内システムで行っていました。ドキュメント管理は社内のファイルサーバーで行っていましたし、PCはモバイルノートではなく、デスクトップの据え置き型を使用していました。また、メールの添付ファイルの暗号化、パスワード管理なども、人為的ミスが起こらないよう、システムで徹底管理されていました。逆に言うと、システムで防御しているので、社員一人一人は意識しなくてもセキュリティが担保出来ている状況でした。

独立後は、デスクトップではなくノートPCを使っていますし、業務システムは、Googleの『G Suite』や『GoogleDrive』などクラウドサービスを使っています。加えて社内システムによる防御はなくなりました。その分、セキュリティを意識せざるを得ない状況は生まれましたので、我々なりに必要だと思われる対策は講じてきました。
代表的なものがノートPCの扱いです。社員にノートパソコンを渡す時は、プライバシーフィルターを一緒に渡していますし、パスワードも複雑な文字列を設定しています。また、顧客情報を初めとする機微情報はローカル環境に保存せずクラウド上に保管すること、メールに添付ファイルをつける際はZIP化してパスワードを付けることなど、個々に気をつけるよう周知しています。ペーパーレスもより意識するようになりました。

これらのルールが遵守出来ているかどうかは、従業員数が少ない今の段階では、時折口頭で確認するぐらいで済んでいますが、今後、組織が拡大すれば徹底することが難しくなって行きます。今回のISMSおよびISMSクラウドセキュリティの認証取得は、こういったルールを明文化したことに加え、従業員数が増えても管理を徹底出来る環境を整備する良い機会になりました。また、それによって会社として、「きちんと管理が出来ている」という自信も持てるようになりました。

— ルールを明文化したことで、業務がしづらくなる、管理が煩雑になるといったマイナス要素はございませんでしたか。

全くありません。以前からやっていたプライバシーフィルターをつけることも、今や当たり前になっていますし、何か不便になったということは特にありません。逆にきっちりやった方が良いという認識は全社的に共通出来ています。

ニーズにマッチした情報発信に好感。専門会社としての実績も読み取れた

LRMはコンサルティングだけではなく、情報発信も上手いと感じます

LRMはコンサルティングだけではなく情報発信も上手いと感じます
(代表取締役 Co-Founder
楠本拓矢氏)

— ISMS認証を取得しようとすれば、コンサルティング会社のサポートは必須ですか。

専門家のサポートなしに、取得出来るとは思いませんでした。我々自身、規格文書を読み解くだけの時間もありませんでしたし、どうやって文書化すれば良いのか、そのためのルールを全く把握していませんでした。
そういう意味では、LRMの三崎さんには助けていただきました。まさにおんぶに抱っこの状態で、打ち合わせをしながら文書作成をサポートしていただきました。

— コンサルティング会社の選定は難しくなかったですか。

それは一目瞭然でした。迷わずLRMに依頼しました。まず、インターネット検索では検索結果の最上位にLRMが出てきましたし、サイトの内容を拝見して、信頼できる会社だという印象を持ちました。

— 他社との違いはどのようなところにありましたか。

競合他社を見つけることが出来なかったので、他社との比較はしていません。私はインターネット検索は慣れていますが、同じレベルの競合他社は全く見つかりませんでした。それだけLRMの存在感が大きかったので、選択肢としては1社しかありませんでした。

— それは出している情報が違うということですか。

いや、文字通り見つけられなかったということです。SEOの違いですかね。ちょっとわかりませんが、LRM以外にしっかりとした情報を見つけることは出来ませんでした。競合他社がもしあるとしても、私が探したタイミングでは見つかりませんでした。
LRMはコンサルティングの内容も良かったですが、インターネットの情報発信も本当にうまいと思います。

— 情報の中身は精査されましたか。

もちろん、中身は拝読しました。「ISMS認証を取るならLRMを使って下さい」というメッセージがストレートに表現されていました。我々のニーズにマッチした情報を発信しているところは、非常に好感が持てましたし、そこから専門会社としての実績の豊富さを読み取ることも出来ました。手広い事業を展開している企業は持っている情報が薄いのではないでしょうか。LRMはユーザーの目的を理解して、それにマッチする情報を提供出来るだけの実績がありますし、それを的確に発信するスキルも持っているのだと感じます。

— 先ほどおっしゃっていた、「小規模でも取れるかどうか」というご心配は解消された上で契約されたのですか。

最初に営業に来ていただいた際に確認しました。ISMSは1人でも2人でも問題なく取得出来ると伺い、懸念は払拭した上で契約しました。

LRMとの打ち合わせだけで、ほぼ全ての準備が完了

— 文書作成などの作業を進める中でのご苦労はございませんでしたか。

先ほども少し触れましたが、文書作成に関しては、三崎さんと相談しながら作成しましたので、苦労はほとんどありませんでした。テンプレートに弊社のルールを上手く落とし込んでいただいたということに尽きます。我々はどうやって文書を作ろうかという悩みは全く抱え込まずに済みました。
あの作業を自分で一からやっていたら、相当な時間がかかったと思います。非常に助かりました。

— しかし情報資産管理台帳やリスク管理台帳の作成など、持ち帰って作業をしたこともあられたのではないですか。

いいえ。台帳類もRMと一緒に打ち合わせをしながら作成しました。ISMSクラウドセキュリティ認証に必要なホワイトペーパーも同様です。

— それではISMS認証の取得に向けて費やした時間は、LRMとの打ち合わせの時間だけですか。

ほとんどそうです。月に1回か2回ご訪問いただいて、1回あたり2時間の打ち合わせをして、文章作成まで行いました。私がそれ以外に割いた時間は、ネットワーク図やシステム構成図、施錠ルールの管理表など、テンプレート化出来ない文書の作成だけです。その他は、三崎さんと相談しながら作成していただきました。

— ISMSクラウドセキュリティ認証では、サービスの利用規約を作成する必要もありますよね。

利用規約に関しては我々は持っていません。我々はBtoBビジネスなので、個人向けの利用規約はなく、プライバシーポリシーだけです。プライバシーポリシーに関しては、すでに作成し、弁護士にも確認していただいたものが存在しています。また、業務委託の契約書なども既に存在したものがそのまま使えましたので改めて作業は発生しませんでした。AWSの利用規約もLRMが用意したものをご提供いただきました。

— BtoBは利用規約はいらないんですか。

利用規約というものは、個人がそのサイトを利用する際の契約書として扱われるものです。BtoBビジネスは、利用規約がない代わりに契約書を交わします。『WellGo』は完全に企業向けのサービスですので、利用規約は公表する必要がありません。契約書に書かれたことが法的な拘束力となります。

— 文書作成に向けた打ち合わせは全部で何回実施されたのですか。

正確な数字は覚えていませんが、7回か8回ぐらいです。10回もやっていません。

内部監査員代行と審査直前の打ち合わせで準備万端

— 従業員教育は、セキュリティ教育クラウド『セキュリオ』のeラーニング機能をご利用になられたのですか。

そうです。これに関しても、どのような教育を実施すべきか、悩まなくて済む分、楽は出来ました。
もちろん個人情報保護法の改正や、情報セキュリティにまつわるニュースなどビジネスを行う上で知っておくべき情報は、適切に共有をしてきましたが、教材として最適化されたコンテンツは持っていません。そういう意味で、eラーニングシステムは楽ですし、適切な情報を配信できるところは便利だと思いました。

— eラーニングを受講したことによる変化はありますか。

受講したことによって何か変化するというよりも、知ってることの再確認という意味合いの方が強いです。我々はクラウドサービスの会社なので、情報セキュリティに対する意識は高いという自負は持っています。その上で、抜けているところはないかを再確認する機会にはなったと思っています。

— 内部監査は、内部監査員代行を使われたのでしょうか。

はい。三崎さんに内部監査員を務めていただきました。いつものコンサルティングの延長線上で、それまでにコンサルティングをしていただいた内容に漏れがないか確認していただきました。この時点で、審査に必要な書類が揃っているかどうかをチェックし、不足部分を補っていきました。

— 実際の審査は万全な状態で臨むことが出来ましたか。

はい。三崎さんに審査直前まで準備に付き合っていただいたため、ドキュメントの構成を頭に定着させた状態で審査当日を迎えることが出来ました。審査は三崎さんにもご同席いただいていましたが、最後まで頼らずに乗り切ることが出来ました。

— ISMSの審査はコンサルタントが同席しても良いのですか。

ISMSの場合、審査を外部に業務委託することが認められています。業務委託する相手は、コンサルタントでも差し支えありません。三崎さんに全て対応していただくことも出来たはずです。しかし、今後の運用を考えれば、極力自分で対応した方が良いと思って頑張りました。

人の行動を管理することの大切さを改めて認識

— ISMSおよびISMSクラウドセキュリティ認証取得の取り組みを振り返ったご感想をお話し下さい。

システムセキュリティと、情報セキュリティマネジメントシステムは、似て非なる物だということが、非常によくわかりました。システム屋の観点からすると、システムセキュリティさえ完璧にしていれば大丈夫だろうと思いがちです。もちろん、情報セキュリティマネジメントシステムに関してはこれまでも常識的なことは理解していましたが、人の行動を管理することの大切さが改めて認識出来ました。それは大きな収穫だったと考えています。

— 認証取得から約1年が経ちました。現在はどのような取り組みをされていますか。

ISMSおよびISMSクラウドセキュリティ認証を取得した後、従業員が増えました。そこで構築したルールを浸透させるため、セキュリティハンドブックの内容を定期的に全員で確認しています。その上で、そのルールが日常業務の中で定着しているかどうかチェックして、気付いたことがあれば指摘して改善するよう指導しています。また、定期的に事業環境を見直して、構築したルールと照らし合わせる作業は行っています。

目的を達成するための無駄のないパッケージ

— LRMのコンサルティングはいかがでしたか。

本当に助かりました。LRMなくしてISMSおよびISMSクラウドセキュリティの両認証は取れませんでした。両認証を取得するまでの手順に無駄なことは何一つなかったと感じます。目的を達成するための無駄のないパッケージでした。

ISO27701認証取得のサポートにも期待

— 情報セキュリティに関する今後の展望をお話し下さい。

今後に向けては、ISO27701認証の取得を検討しています。ISO27701認証はプライバシー保護を目的としたISMSのアドオン認証です。
実は今回の取り組みをスタートする際、ISO27018認証の同時取得も検討していました。ただ、ISO27018が、あまり認知が進んでいなかったことに加え、ISO27701認証の準備が進められていると聞いて保留にした経緯があります。
プライバシー保護につながる個人情報の管理に関しても、我々は徹底していますので心配はありませんが、会社としての信用度を上げていくために必要な認証であれば取得したいと考えています。

— 現在、LRMとは何らかのお取り引きはございますか。

はい。ISMSの運用改善サポート『情報セキュリティ倶楽部』と『セキュリオ』を契約しています。『情報セキュリティ倶楽部』では、維持審査に向けて2回のミーティングをしていただくことになっています。

— 『セキュリオ』はeラーニング以外の機能はご利用ですか。

法令管理と委託先管理は使っています。それ以外の機能は使っていませんが、今後、情報資産台帳など台帳類を一元管理出来る機能が追加されると伺っています。ISMS関連のドキュメント類が『セキュリオ』上で一元管理出来れば便利になると思います。

— LRMへの御期待をお話し下さい。

情報セキュリティコンサルティングのビジネスをやめないで欲しいですね。ISO27701認証や、その後のメンテナンスも継続してサポートしていただきたいと考えていますので、やめられると辛いです。たまに事業転換して、サービスをやめてしまう会社もありますが、LRMにはしっかり事業を継続してサポートし続けていただくことを望みます。

株式会社WellGoの楠本様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

※株式会社WellGo様のWEBサイト
※取材日時 2021年1月

  • クラウドサービス(SaaS)開発・提供
  • 医療・ヘルスケア
  • 認証知識を基礎から学ぶ
  • 50名未満
  • 東京
  • 1拠点

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら