ISMS / ISO・IEC 27001

ヘルスケア企業のための

ISMS(ISO/IEC 27001)認証取得支援サービス

はじめての認証取得を、6か月で。

Challenges

こんなお悩みはありませんか

医療・ヘルスケア領域は取り扱う情報の機微性が高く、取引先から情報セキュリティ体制の証明を求められる場面が増えています。一方で、はじめての認証取得には次のような不安がつきものです。

01

何から始めればいいか分からない

規格要求が抽象的で、自社で進め方を描けない。

02

リソースが足りない

専任者を置けず、通常業務と並行できるか不安。

03

文書づくりが重い

ゼロから規程・台帳・教材を作るのは現実的でない。

04

審査機関の選び方が不明

どこに・いくらで・どう依頼すればよいか不透明。

05

ヘルスケア特有の論点が不安

3省2ガイドラインなど業界固有の要請も気になる。

ポテックが、これらをすべて引き受けます。

雛形と進行管理を提供し、御社の負担を最小限に、約6か月での取得を目指します。

About ISMS

ISMSとは ― ヘルスケア企業に必要な理由

ISMS(ISO/IEC 27001)の概要

情報資産を適切に管理し、機密性・完全性・可用性を継続的に維持するための仕組みが ISMS(情報セキュリティマネジメントシステム)です。その国際規格が ISO/IEC 27001。

第三者の審査機関による認証を受けることで、情報セキュリティ体制が客観的に確立されていることを対外的に証明できます。

ヘルスケア企業に必要とされる理由

1

取引条件としての要請

医療機関・製薬企業・自治体との取引で、認証取得が前提条件となるケースが増加。

2

機微情報の取り扱い

患者データ・臨床情報・PHRなど、漏えい時の影響が大きい情報を扱うため体制の証明が信頼に直結。

3

ガバナンス強化

属人的な運用から、ルールに基づく継続的改善(PDCA)へ移行できる。

4

業界ガイドラインとの接続

3省2ガイドラインなどの要請も、ISMS文書を起点に効率よく対応可能。

Service

ポテックの支援サービス概要

認証取得に必要な工程を、設計から審査対応まで一気通貫で支援。御社は「決めること」に集中いただき、文書作成・進行管理・審査機関とのやり取りはポテックが主導します。

全体設計・計画
ポテックが行うこと: 適用範囲・体制・スケジュールの設計、年間計画の策定
御社にお願いすること: 経営層の合意、関係者の決定
文書整備
ポテックが行うこと: 雛形に基づく規程・台帳・宣言書類の作成支援
御社にお願いすること: 自社情報の確認・承認
リスクアセスメント
ポテックが行うこと: 情報資産の洗い出し・リスク評価・対応方針の整理支援
御社にお願いすること: 資産情報のご提供
社員教育
ポテックが行うこと: 役割別・全社員向け教材の作成と配信支援(費用込)
御社にお願いすること: 受講(達成率100%まで)
審査機関対応
ポテックが行うこと: 相見積取得・選定支援、審査の立会(オプション)
御社にお願いすること: 最終的な機関の選定
内部監査
ポテックが行うこと: 監査計画の策定・実施支援、是正処置の整理
御社にお願いすること: 監査結果の承認
POINT

従業者教育の教材はポテックで作成可能(費用込)。内部監査員の役割もポテックが担えるため、社内に専任者がいなくても進められます。

Process

取得までの流れ(標準6か月)

着手から約6か月での新規認証取得を基本に進めます(組織規模や現状の整備状況により前後します)。

1

目的の整理・計画

約2週間

適用範囲・体制・年間計画の決定、審査機関の選定着手

2

リスク分析

約1か月

情報資産の洗い出し、リスクアセスメント、対応方針の決定

3

ルール整備

約4か月

方針・目標、各種規程・適用宣言書、インシデント報告フローの整備

4

対策実施・社員教育

③と並行

技術的・運用的対策の実施、教材配信と受講(達成率100%)

5

内部監査・是正

約2週間

内部監査の実施、不適合の是正、マネジメントレビュー

6

審査(1次・2次)

約1か月

1次審査(1〜2日)→ 2次審査(2〜3日)→ 認証取得

2年目以降は「運用支援」

役割・適用範囲の見直し、リスクアセスメントの更新、内部監査、サーベイランス(維持)審査・更新審査への対応を継続サポートします。

Structure

プロジェクト体制と役割分担

ISMSの運用には、規格で求められる役割を社内で定めていただきます。各役割の意味と、ポテックが代替できる範囲をご案内します。

トップマネジメント
組織へのISMSの統合、リソース確保、リスク所有
経営層が担う
ISMS責任者
ISMSの構築・運用全般の統括
御社内で選任
ISMS担当者
各部門でのISMS運用の支援
御社内で選任
内部監査責任者
内部監査の計画・改善、結果の文書化と伝達
ポテックでも可
内部監査員
内部監査の実施
ポテックでも可

「専任者が置けない」を解消

内部監査責任者・内部監査員はポテックが担当可能。御社は経営層とISMS責任者・担当者の選任に集中いただけます。

Deliverables

主に整備する文書・成果物

ポテックが提供する雛形をベースに、御社の実態に合わせて整備します。 ゼロから作る必要はありません。

方針・計画・体制

  • 情報セキュリティ方針/目的管理表
  • 体制図(役割・責任・権限リスト)
  • 適用宣言書(組織の状況・適用範囲)

リスク管理・運用ルール

  • リスクアセスメント規定/情報資産リスクアセスメント表
  • 情報セキュリティ管理規定(社内ルール一式)
  • インシデント報告フロー・報告テンプレート
  • 関連法規制一覧/モニタリング対象の定義

外部委託・事業継続

  • 外部事業者一覧/チェックシート
  • 事業継続計画・SLA

教育・監査・改善

  • 情報セキュリティ教材(運営/一般社員向け)
  • 内部監査計画・チェックリスト・結果
  • 是正処置報告書/マネジメントレビュー議事録

Audit Body

審査機関の選定支援

認証は第三者の審査機関による審査を経て取得します。ポテックが複数機関から相見積を取得し、御社の規模・方針に合った機関選びをご支援します(費用は人数等に応じて変動)。

BSIグループジャパン
ISMS-AC & ANAB
世界最古の国家規格協会。ISO27001原案の策定元で実績豊富。
日本品質保証機構(JQA)
ISMS-AC & UKAS
国内大手。100名以下の組織の登録が7割超でスタートアップに知見。
ビューローベリタスジャパン
ISMS-AC
紹介企業に特別価格。短期間取得・日程調整に柔軟。
SGSジャパン
ISMS-AC
約140年の歴史。スタートアップ中心に規模を問わず実績。
DQSジャパン
ISMS-AC
現役ITエンジニア審査員。現場の流れを重視した審査。

※ 上記は一例です。日科技連、JSA-SOL、ICMS など他機関からの見積取得・比較も可能です。

Pricing

料金プラン

いずれも税抜価格。最大50名ほどまでの組織規模・弊社提供の雛形通りのドキュメント類での実施を想定しています。

① 新規取得支援(はじめての認証取得)

ISMS新規取得支援

弊社提供の雛形通りのドキュメント類での実施。最大50名規模を想定。

120万円/年〜
  • (オプション)1次審査 立会 ― 1次審査1日分の終日同席10万円
  • (オプション)2次審査 立会 ― 2次審査2日分の終日同席20万円

② 運用支援(2年目以降)

ISMS運用支援

役割・適用範囲の見直し、リスクアセスメント更新、内部監査、維持・更新審査への対応を継続支援。

80万円/年〜

そのほかのオプション

3省2ガイドライン対応
150万円〜
ISMSドキュメントと3省2ガイドライン対応文書の統合(詳細は下記)
セキュリティに考慮したPM支援
40万円
取り組みの中でプロジェクトマネジメントのプロセスを支援
品質管理プロセス構築支援
40万円
取り組みの中で品質管理プロセスの構築も併せて実施
短期対応
30万円
通常より短い期間での取得をご希望の場合
技術的対応支援
要相談
御社製品への設計・開発を含めた技術面の支援

※ 審査機関への支払い(審査費用)は料金に含まれません。相見積を取得してご案内します。

Why Pottech

ポテックが選ばれる理由 ― ヘルスケア特化の実績

ヘルスケア特化の知見

オンライン診療・PHR・SaMD・治験ePRO・病院向けSaaSなど、医療現場の業務とデータ特性を理解。

業界ガイドラインへの接続

3省2ガイドラインなど業界固有の要請を、ISMS文書と連携させ最小工数で対応。

技術と運用の両面支援

文書整備だけでなく、製品の設計・開発を含む技術的対策まで相談可能。

主な支援実績(抜粋)

2021
PHR事業者のプラットフォーム構築における事業・プロダクト企画支援
製薬・ヘルスケア/PMO
2021
治験領域におけるePROシステムの開発支援
製薬企業/PMO
2022
COPD治療管理アプリプロジェクト
製薬企業/PMO
2023
医療機器メーカーのQMSのデジタル化
医療機器/コンサル・開発
2024
臨床研究利用のためのePRO/eConsent構築
研究機関・大学病院/設計・開発

Option

オプション:3省2ガイドライン対応

医療機関へシステム・サービスを提供する場合、「医療情報システムの安全管理に関するガイドライン(3省2ガイドライン)」への対応を求められることがあります。ポテックはISMSと統合した効率的な対応を支援します。

よくあるお悩み

  • ガイドラインが複雑で、どこまで取り組めば「対応した」と言えるのか分からない
  • ISMSと3省2ガイドラインを別々に対応すると、社内文書・管理が煩雑で運用できない

ポテックの対応方針

  • 御社の製品・体制に合わせ、最小工数で最適な対応方法をご案内
  • 用意する文書は最小限にし、求められる技術的対策はISMSとリンクさせて対応
  • 導入時の医療機関とのコミュニケーション(議事録作成)、開示文書・リスク対応一覧の作成まで支援

進め方の目安:着手から約4か月(リスク分析 ▶ 技術的対応要件の策定 ▶ 文書整備・運用)

FAQ

よくあるご質問

Q

どのくらいの期間で取得できますか?

A

標準で約6か月での新規取得を想定。規模・現状により前後し、短期取得はオプションで対応します。

Q

専任のセキュリティ担当者がいなくても大丈夫ですか?

A

問題ありません。文書作成・進行管理はポテックが主導し、内部監査責任者・監査員も代替可能です。

Q

費用は何名規模まで一律ですか?

A

最大50名ほどまでを想定。超える場合や特殊要件はお見積りにて個別にご案内します。

Q

審査機関への支払いは料金に含まれますか?

A

含まれません。審査費用は別途必要で、相見積を取得してご案内します。

Q

既に一部のセキュリティ対策を進めています。活かせますか?

A

はい。既存の取り組み・文書を確認し、活かせる部分は活用しながら不足を補います。

Q

3省2ガイドライン対応も同時に依頼できますか?

A

可能です。ISMS文書と統合することで管理の煩雑さを抑えられます。

社会システムの開発・セキュリティ対応、ご相談ください

AIネイティブな医療情報システムの設計から、ISMS認証取得、3省2ガイドライン対応まで。社会基盤づくりの経験豊富な専門家がサポートします。