じぶんの健康を収納するアプリ「MeDaCa」や、医療機関と患者をつなぐコミュニケーションツール「MeDaCa PRO」を展開しているメディカルデータカード株式会社。
同社はISO27001(情報セキュリティマネジメントシステム/以下、ISMS)に加え、2022年8月にプライバシーに関する国際認証ISO27701(プライバシー情報マネジメントシステム/以下、PIMS)を取得しました。
今回、PIMS取得の経緯や、オプティマ・ソリューションズとの取り組みなどを管理本部 部長 布川 直人氏に伺いました。
――まず、ISMS取得の背景をお聞かせください。
ひとつは会社としての信頼度を高めるためです。やはりネットを通じて医療関係のサービスを展開する以上、患者様にも医療従事者の方にも安心してご利用いただきたいという当社の想いがあります。それを分かりやすくお伝えするため、ISMSを取得しました。
もうひとつは、中部電力株式会社の子会社になったことが挙げられます。中部電力グループの社会的信用や事業展開力を最大限に生かすには、情報セキュリティに関するガバナンスを強化する必要があると考えました。
――ISMSに加えてPIMSを取得した背景もお聞かせください。
MeDaCaは個人情報を扱うサービスです。ISMSで情報セキュリティを強化したことに加えて、組織として個人情報を正しく取り扱う体制があることを社内外に広くアピールしたいと考えて、プライバシーに関する国際認証であるPIMSを取得することしました。
――個人情報保護というと一般的にはプライバシーマーク(Pマーク)も選択肢に入るかと思いますが、御社がPIMSを選んだ理由をお聞かせください。
もちろん、Pマークも検討しました。しかし、以下の3つの理由で当社はPマークではなくPIMSを取得することにしました。
<国際規格の信頼感>
PIMSはまだ取得件数も少なく、知名度もPマークより低いと思います。ただし、PIMSは国際規格であり、国内限定のPマークよりも本来は上位の概念です。信頼感もPマークに劣るものではなく、自社の個人情報保護の取り組みをアピールするのに十分な効果があると考えました。
<ISMSのアドオン認証で取得しやすい>
当社は既にISMSを取得しています。PIMSはISMSのアドオン認証(ISMSの取得を前提として取得できる認証)ですので、一体運用も可能ですし、審査も同時に行えるので、好都合であると考えました。
<実効性はPマークと同等>
当社がPマークを取得するとなると、医療系ということになり、独自の審査基準で審査され、取得までに時間がかかると考えました。そういうことであれば、実効性がPマークと同等なPIMSの方が最適解なんじゃないかと考えるようになりました。
――コンサルティング会社への依頼は考えていらっしゃったのでしょうか。
私が前職で同様の認証に取り組んだ時にもコンサルティング会社に助けてもらいました。その時の経験から、今回もコンサルティング会社ありきで進めさせていただきました。
――オプティマ・ソリューションズに依頼した経緯をお聞かせください。
当社取締役CTOの西村が、元々オプティマ・ソリューションズと付き合いがあり、「きめ細やかな対応をしてくれる」とオプティマ・ソリューションズを紹介されたのでお願いすることにしました。
実際のところPIMSのコンサルティングの実績を持つところは少なく、実績のあるオプティマ・ソリューションズを選んで正解だったと思います。
――取得までのプロセスを教えてください。
2022年1月にオプティマ・ソリューションズにコンサルティングを依頼し、8月にPIMSを取得することができました。オプティマ・ソリューションズの生方さんと最初に作り上げたロードマップ通りに取得することができました。
――取得にあたって大変だったところはありましたか。
率直なところ、ISMSで守るべき対象に個人情報が含まれていましたから、その延長線上で比較的簡単に取得できたと思います。
ただ、PIMSは新しい制度ということもあり、審査の厳しさの相場観がまだ形成されていないのかなという印象を受けました。
PIMSもISMSと同様に仕組みを運用することが重要なので、毎年の審査で磨き上げて、改善を進めていきたいと思っています。
――PIMSを取得することで、社内に変化はありましたか?
今回、あらためて個人情報の洗い出しを行ったことで、個人情報の取り扱いに関するルールを明確にできたのはよかったと感じています。例えば、契約内容における個人情報の取り扱いの同意確認や、外注企業の評価を見直す頻度、システムのバックアップ方法や頻度、ログの適正な管理など、あらためて明確にして、社内に周知徹底することができました。社員数が少ないこともあって、みんなが協力的だったのもありがたかったですね。
――教育はどのように行っていく予定でしょうか。
審査に先立ち当社にコンサルタントの生方さんを招き、本社からリモートワークの各社員に向けてISMSとPIMSに関するレクチャーをライブ配信で行っていただきました。生方さんの話は分かりやすいと好評で、よい教育の場になったと思っています。これからも生方さんからアドバイスをいただきながら、教育面を充実させていきたいと考えています。
――情報セキュリティにおける今後の展開を教えてください。
ISMSの規格である「ISO27001」が久々に改訂されるとのこと。しかも、クラウドサービスを前提とした改訂があるとのことで、クラウドサービスを提供している当社も気になるところです。まずはISO 27001の改訂情報をキャッチアップし、適正に更新・運用していくのが当面の目標です。
――最後、オプティマ・ソリューションズへの期待をお願いします。
疑問やリクエストを投げることも多かったのですが、生方さんはいつも迅速に対応してくれました。ロードマップ通りに進めていくためにも、こういった対応は非常に助かりました。
PIMS自体はまだまだ取得されている企業は少ないですが、これから認知されていくと思います。オプティマ・ソリューションズからは、PIMSのコンサルティングを強化するというお話しを伺っていますから、微力ながら当社の事例もPIMSにおけるコンサルティング活動に役立ててもらえればうれしい限りです。引き続きよろしくお願いいたします。
