お客様事例 Casestudy
お客様事例 株式会社アシックス WINTEC JAPAN株式会社 株式会社キューズ 株式会社キョーイク 株式会社シキボウ 株式会社美交工業 株式会社マスコール モリテックスチール株式会社 株式会社山善 セミナー情報

ミネルヴァベリタスでは、リスクマネジメントに関する各種セミナーを開催しております。 直近のセミナー情報をご案内致します。

「事業継続計画(BCP)策定支援制度のご紹介〜地震や風水害に負けない組織作り〜」

開催日

2017年6月8日(木)

開催時間

10:20-11:20

開催場所

インテックス大阪 セミナー会場3

定員

80名

セミナーの詳細はこちら
企業情報

ミネルヴァベリタスロゴ ミネルヴァベリタス株式会社
〒541-0048
大阪市中央区瓦町4丁目6-15
瓦町浪速ビル4F
TEL.06-4706-3355
FAX.06-4706-3356

レジリエンス認証 認証・登録番号0000007 お問い合わせはこちら
採用情報

お客様事例:WINTEC JAPAN株式会社

ウィンテックジャパン株式会社

ウィンテックジャパン株式会社
お客様情報
商号 WINTEC JAPAN株式会社
資本金 10百万円
従業員 61人
事業内容 医療情報システムの運用管理
支援内容 ISO/IEC 27001認証取得コンサルティング

電子カルテなどの医療情報システムを運用・管理するWINTEC JAPAN様。2013年に国際規格であるISO/IEC 27001(情報セキュリティマネジメントシステム:ISMS)認証を取得されました。認証取得までの取り組みやISO認証取得の効果について、中野健太郎管理部長にお聞きしました。

取引先からの要請でISO認証取得の取り組みを開始

当社の主な仕事は、電子カルテシステムが導入されている病院において、そのシステムが安定稼働するようメーカーに代わって運用管理をすることです。エンジニアが病院に常駐し、サーバ管理や障害対応・セキュリティ管理などを行っています。

病院には患者さんの個人情報をはじめとする機密性の高い情報が集まります。こうした情報が飛び交うシステムの運用管理を当社が担っていることから、メーカーから“プライバシーマーク”か“ISMS”を取得するよう、前々から要請されていました。

そこで、当社は2012年に社内推進体制を整え、ISO認証取得に向けての取り組みをスタートすることになりました。プライバシーマークとISMSのどちらを取得するか検討を重ねましたが、プライバシーマークが個人情報に特化しているのに比べ、ISMSは個人情報を含む情報資産全体をカバーできるため、その国際規格であるISO/IEC 27001認証取得にチャレンジすることにしました。

ページトップ▲

難しいからこそ相談しやすさを重視

中野健太郎管理部長

今回の取り組みを開始する以前より、当社の有志が情報セキュリティ委員会を発足し、情報セキュリティの重要性を社内に啓蒙していました。そうした基盤はあったのですが、「ISO認証取得までの道程はかなりハードだよ」と他社から事前に聞いていたので、これは自力での認証取得は難しいと考え、当初からコンサルタントを起用するつもりでした。

そこで、2社のコンサルティング会社に相談し、結果的にミネルヴァベリタス社を選びました。選定理由は「人柄」です。コンサルタントと言うと、どこか上から目線の先生というイメージがありましたが、ミネルヴァベリタス社のコンサルタントは大変人当たりが良かった。他社からは「コンサルタントの先生には相当気を遣わなければならない」とも聞いていましたが、その心配は無さそうでした。ただでさえ困難な認証取得に挑戦するわけですから、何でも気兼ねなく相談できるコンサルタントでなければ、上手くいかないだろうとの考えもありました。

ページトップ▲

漠然とした要求事項を分かりやすく解説

1年後のISO認証取得を目指し、年間スケジュールを組んで作業を進めることになりました。ファーストステップは“情報資産の洗い出し”。紙・データなどの媒体種別を問わず、どのような情報資産を保有しているかを綿密に調べ、管理すべき情報資産を台帳化して把握します。それが終わったら、“リスクアセスメント”などを実施し、その結果に応じた当社独自の情報セキュリティマニュアルを作成しました。ミネルヴァベリタス社のコンサルティングによって必要な要件を明確にしながら、当社の事業内容や組織規模にマッチしたマネジメントシステムを構築することができました。

ISO認証を取得するには、国際規格の要求事項を満たす必要があります。ところが、国際規格の要求事項はどれも漠然としていて解釈が非常に難しく、当社が実際に取り組んでいる情報セキュリティと、国際規格の要求事項が合致しているかどうかも判断できないほどです。しかし、ミネルヴァベリタス社が当社の実情に沿って要求事項を分かりやすく解説してくれたおかげで、作業を確実に一歩一歩進めることができました。また、ISMSの構築だけでなく、その後の運用方法にいたるまで、様々なノウハウを提供していただけたので、当社の負担がかなり軽減されました。

ページトップ▲

病院が違ってもセキュリティレベルを維持できる

ISO27001を取得

現在、15の医療機関に当社のエンジニアが常駐していますが、病院によって規模も導入している電子カルテシステムも違います。しかし、ISO認証を取得することで、統一した情報セキュリティ体制を現場に適用することができました。

当社の場合は、自社内だけではなく、お客様である病院内部で情報セキュリティの取り組みを運用していかなければなりません。こちらが厳格な情報セキュリティの取り組みをしたくても、病院側の事情でできないこともあります。しかし、まずはシステム管理者である我々が最大限のことを行うのが重要との観点から、病院側にはできる範囲のことから一緒に取り組んでいただいています。

ISO審査を受けたとき、審査員からは「ISOで求められているレベルの情報セキュリティの取り組みが現場に浸透するまで、最低3年はかかる」と言われましたが、実際にそれくらいの年数は必要なのだと思います。

ページトップ▲

今後はBCPにも取り組んでみたい

当社のISMSには、方針・規程・運用手順の主要3文書があります。この全てを一度に社員に理解してもらうのは不可能ですから、定期的な情報セキュリティに関する周知活動だけでなく、年一回の教育実施時に理解度テストなども行いながら、段階的に理解を深めています。

ISO認証の維持には毎年の維持審査と3年毎の更新審査を受ける必要があります。加えて、2013年にはISO/IEC 27001が改定され、国際規格の内容がかなり変わりました。当社もこれに対応するために、ISMSを見直さなければならないのですが、この点についても、継続してミネルヴァベリタス社のコンサルティングを受けているので心強く思っています。

今後は、ISO/IEC 27001の“情報セキュリティ継続”の要求事項に関する取り組みをさらに発展させて、“事業継続計画(BCP)の策定”にも取り組みたいと考えています。

医療の現場は命に関わる職場です。私たちが医療行為を行うことはありませんが、電子カルテシステムの向こうには患者さんがいることを常に意識していたいと考えています。当社は昨年、会社設立10周年を迎えました。これを機にもう一度原点に立ち返り、命の現場を情報セキュリティの面から下支えしていることを、全社員で再認識したいですね。


ページトップ▲
ページトップ
Copyright (C) 2011-2015 Minerva Veritas Co., Ltd. All Rights Reserved.