プライバシーマーク・ISMSの取得コンサルを行い、使いやすく有効活用可能なルールにするオプティマ・ソリューションズ

学会放送様(ISMS取得、動画制作・動画配信のプラットフォーム)

医学会などの講演やセミナー、教材の動画制作と動画配信のプラットフォームを提供している学会放送株式会社。新型コロナウイルス感染症の影響で、以前にもまして各種学会の動画配信ニーズが高まり、顧客情報を扱う機会も増加したため、ISO27001(情報セキュリティマネジメントシステム/以下、ISMS)認証の取得に至りました。そのISMS認証の取得にあたり、オプティマ・ソリューションズのコンサルティングを利用した経緯およびISMS取得前後の比較などについて、同社のディレクター 石橋 綾氏に詳しく伺いました。(写真左側は代表取締役 岸 勝久氏)

――ISMSを取得するに至ったきっかけをお聞かせください。
新型コロナウイルス感染症の影響で、当社のサービスの傾向が大きく変化したのがきっかけです。もともと当社は、主に医学会の講演やセミナーの様子をビデオに収録・編集し、講演を見逃した方向けに会場で動画を流したり、当社のプラットフォームによる動画配信をサービスとして展開したりしていました。

ところが、新型コロナウイルス感染症対策として3密回避が重要視されるようになると、そのときの感染状況にもよりますが、多くの人がリアル会場に集まる講演やセミナーの開催は難しくなりました。これにより、医学会の講演やセミナーも当社のプラットフォームを経由したWebでの配信が大部分を占めるようになりました。

Web配信への移行により、何らかの不便な状況に陥ったかというと、まったくそうではありませんでした。リアルな講演の場合、医療従事者は診察などの医療行為を休まなければならず、医療機関側も出張費を捻出する必要が出てくるため、知識や情報を得る場として講演やセミナーは貴重な機会ではあるものの、どんどん参加できるというわけではありませんでした。しかし、Web配信となれば会場に足を運ぶ必要がなく、診察の合間など、いつでも好きなときに視聴できるので、医療従事者にとっては歓迎すべき状況になったと言えます。

おかげさまで、医学会の講演やセミナーの様子をリアルタイムもしくはオンデマンドで簡単にWeb配信できる当社のプラットフォームは大変な盛況をいただいております。2020年度(2020年4月~2021年3月)は100以上の学会のWeb講演をサポートさせていただきました。

ただ、Web配信が増えれば増えるほど、登録して視聴される医療従事者の個人情報も増えていきます。昨今、個人情報の管理は重要なミッションですから、当社代表の岸をはじめ、医学会の方々、医療従事者、講演やセミナーを企画・運営するコンベンション会社などからの強い要望を受け、ISMS認証の取得を目指すことになりました。

――ISMS取得にあたり、オプティマ・ソリューションズをコンサルティング会社に選定した背景をお聞かせください。
もともと十年ぐらい前、動画制作に関連してオプティマ・ソリューションズとお付き合いがありました。そこで、今回はオプティマ・ソリューションズにお声掛けし、コンサルティングをお願いさせていただきました。

――なぜISMSを選択されたのでしょうか。
オプティマ・ソリューションズと打ち合わせを行うなかでISMSを選択しました。プライバシーマークの場合には法人全体での取得が求められますが、私たちが重視したかったのは、まずはWeb配信のプラットフォームのところなので、それなら部署限定で認証を取得できるISMSの方が効率的と考えました。

――ISMS取得にあたっての体制を教えてください。
私とシステム管理責任者の二人でISMS取得を担当することになりました。とはいえ、ISMS取得に関する知識はほぼなかったため、まずはオプティマ・ソリューションズのオンラインセミナーに2回ほど参加させていただきました。それでも、私たちにできるのかという不安は拭えませんでした。

――進捗状況を教えてください。
2021年3月、オプティマ・ソリューションズにコンサルティングを依頼しました。4月からISMS取得の取り組みが始まり、半年後の10月に取得することができました。

――取得の取り組みで苦労したことはありますか。
オプティマ・ソリューションズのコンサルタント戸倉さんからいただいた、まとめなければならない資料のリストを見て、険しい道のりを実感しました。代表の岸だけが知る書類、ほかの企業にはあるのに当社にはない書類など、それらをすべて洗い出してどのレベルで保管するのかを決めなければならず、これが本当に大変でした。

一例としては、すでに退職している社員の書類が残っていませんでした。もともと退職した社員自体が少ないのですが、今後もし社員が退職した場合、書類はいつまで保管しておくのか、いつ廃棄するのかといったルールを設ける必要がありました。

また、オプティマ・ソリューションズにコンサルティングを依頼したときには本社移転が決まっていたため、引っ越し準備との平行作業でかなり混乱していました。ただ、これはシステム管理責任者側から見ると、サーバーやネットワークなどのインフラのセキュリティレベルを、ISMSが求める基準に合わせてゼロベースから見直せるという意味で良かった面もありました。

――ISMSの取得前後でシステム部分および、社員のマインド部分で変わったところはありますか。Before & Afterでお聞かせください。

—システム部分—
<プラットフォームのアカウント>
・Before
プラットフォームであるAWS(Amazon Web Services)のアカウントの一部で共用しているものがありました。しかも、外部のシステム開発会社にも同じアカウントを開示していたことが判明しました。

・After
システム管理責任者が利用者一人一人にアカウントを設定し直しました。もちろん、システム開発会社には専用のアカウントを別に用意しました。また、アカウントを別にするだけではなく、業務を考慮したうえでアクセス権限も利用者ごとに設定しました。

<データの保管規定>
・Before
動画データには、お客様もしくは当社が撮影したオリジナルデータと、オリジナルデータに手を加えた編集データ、最終的にエンコードしてプラットフォームに掲載する配信データの3種類があります。以前は社員のローカルのハードディスクから、保管用のファイルサーバーにアップすることになっていましたが、あまり徹底されておらず、また10年以上保存された動画データがあるなど曖昧な状況でした。

・After
保管場所と保管期間を規定しました。まず大前提として「ローカルのハードディスクに置かないこと」を決めて、保管先はクラウドのファイルサーバーに限定しました。もちろん編集の際にはローカルで行う必要がありますが、編集が終わったらファイルサーバーにアップし、ローカルの編集データはすぐに削除するという規定にしました。公開する際は、ファイルサーバーに保管されている配信データをプラットフォームにアップします。また、万が一のためにバックアップ用サーバーにもデータ保存されるようにしました。

<SSL認証>
・Before
もちろんWebサーバーにはSSLを設定はしていましたが、詳細な確認はしていませんでした。

・After
しっかり見直しました。既存のサーバーはもちろん、新しく構築するサーバーすべての通信が暗号化されるようにSSLを設定および確認しています。相手先の通信までは関与できませんが、少なくとも当社のサーバーのSSL認証は自信を持っています。

—マインド部分—
<クリアデスク>
・Before
デスク上に書類の出しっぱなしが常態化していました。セキュリティの意識が高い大手企業に在籍していたこともある私からすると、すぐに改善を図りたいところでしたが、なかなか社内の協力は得られていませんでした。

・After
帰宅する際、書類はキャビネットもしくはロッカーに入れ、鍵をかけることを規定。デスクの上に、持ち去られて困るようなものは置かないことを徹底させました。ISMSの規定のもと、私も随時抜き打ちチェック、そして帰り際チェックを行っています。社員は戦々恐々としているかもしれませんが、セキュリティの意識を根付かせるため、これからも実施させていただきます。

<パソコンのパスワード>
・Before
パソコン起動時のログイン認証について、以前は多くの社員が数字4~6桁のパスワードを使用しているという状況でした。

・After
英数字混在で6文字以上(管理者のみ8文字以上)のパスワードという規定にしました。パソコンの起動から一日が始まると言っても過言ではありませんから、ここのパスワードが高度化すれば、自ずとマインドも変わってくるのではないかと期待しています。

<SDカードの管理>
・Before
ビデオカメラで撮影する際に、SDカードに動画を保存します。このSDカードの管理が十分にはできていませんでした。過去に一度、紛失騒ぎがありました。その際はビデオカメラに残っており、事なきを得ましたが、もっとしっかりと管理しなければならないと痛感しました。

・After
SDカード一枚ずつに番号をつけて、保管庫に鍵をかけて管理するようにしました。鍵は私が所有しており、持ち出しおよび返却の際は必ず私に申告していただくことを義務付けました。「いつ」「誰が」「何のために」が明確になったため、万が一、紛失してもすぐに追跡することができます。

――コンサルタントの印象をお聞かせください。
コンサルタント戸倉さんは、フランクで相談しやすい雰囲気がすごくありますね。問い合わせに対してはその日中、もしくは次の営業日にはかならず返信があります。何よりも私の不安な気持ちを察し、それを全部吸収してくれるような対応に感謝しています。

――最後、今後の展開をお聞かせください。
ISMSのオプションのひとつ、クラウドセキュリティ認証 ISO27017の取得を検討しています。そもそも今回、同時に取得する話もあったのですが、ライブ配信やオンデマンド配信が主流になり、以前とはサーバーの費用感などが変わってきたため、いったん見送ることになりました。また、クラウドの運用を見直してベンダーの比較・検討しているところもありますから、取得するにしても少し先になるかと思っています。
どちらにしても、ISMSの運用や更新についてはオプティマ・ソリューションズのサポートは欠かせません。これからも手厚いサポートを期待しています。引き続きよろしくお願いいたします。

――学会放送株式会社/プロフィール
医療従事者を中心とした医学会が発信する講演やセミナーの様子を動画としてコンテンツ化し、自社のプラットフォームでライブ配信もしくはオンデマンド配信するサービスを展開。医療従事者がいつでもどこでも見て学べる環境を提供している。会場での動画収録からオンデマンド配信までワンストップで提供できるほか、主催者が専用管理画面にアクセスし必要事項を記入して講演動画を投稿するだけでWeb開催サイトをオープンできるセルフサービスのパッケージも用意。ほか、e-ラーニングのシステム開発や各種コンテンツ制作も手掛けている。

所在地 〒101-0047 東京都千代田区内神田3-15-1 UD内神田三丁目ビル5F
資本金 1,000万円
主な事業内容 学術大会・講習会・セミナーのWeb開催、企業プライベートセミナーのライブ配信、各種e-learningシステムの開発・運用、各種コンテンツの企画・制作
URL http://www.gakkaitv.net/

  • 東京都港区西新橋1-18-6
    クロスオフィス内幸町5階
  • 大阪市北区梅田1-11-4-923
    大阪駅前第4ビル9階
  • 愛知県名古屋市中区
    栄5丁目26-39 GS栄ビル3階
  • メール問い合わせ
  • Pマーク
  • ISMS