ヘルスケア企業のための
ISMS(ISO/IEC 27001)認証取得支援サービス
Challenges
こんなお悩みはありませんか
医療・ヘルスケア領域は取り扱う情報の機微性が高く、取引先から情報セキュリティ体制の証明を求められる場面が増えています。一方で、はじめての認証取得には次のような不安がつきものです。
何から始めればいいか分からない
規格要求が抽象的で、自社で進め方を描けない。
リソースが足りない
専任者を置けず、通常業務と並行できるか不安。
文書づくりが重い
ゼロから規程・台帳・教材を作るのは現実的でない。
審査機関の選び方が不明
どこに・いくらで・どう依頼すればよいか不透明。
ヘルスケア特有の論点が不安
3省2ガイドラインなど業界固有の要請も気になる。
ポテックが、これらをすべて引き受けます。
雛形と進行管理を提供し、御社の負担を最小限に、約6か月での取得を目指します。
About ISMS
ISMSとは ― ヘルスケア企業に必要な理由
ISMS(ISO/IEC 27001)の概要
情報資産を適切に管理し、機密性・完全性・可用性を継続的に維持するための仕組みが ISMS(情報セキュリティマネジメントシステム)です。その国際規格が ISO/IEC 27001。
第三者の審査機関による認証を受けることで、情報セキュリティ体制が客観的に確立されていることを対外的に証明できます。
ヘルスケア企業に必要とされる理由
取引条件としての要請
医療機関・製薬企業・自治体との取引で、認証取得が前提条件となるケースが増加。
機微情報の取り扱い
患者データ・臨床情報・PHRなど、漏えい時の影響が大きい情報を扱うため体制の証明が信頼に直結。
ガバナンス強化
属人的な運用から、ルールに基づく継続的改善(PDCA)へ移行できる。
業界ガイドラインとの接続
3省2ガイドラインなどの要請も、ISMS文書を起点に効率よく対応可能。
Service
ポテックの支援サービス概要
認証取得に必要な工程を、設計から審査対応まで一気通貫で支援。御社は「決めること」に集中いただき、文書作成・進行管理・審査機関とのやり取りはポテックが主導します。
従業者教育の教材はポテックで作成可能(費用込)。内部監査員の役割もポテックが担えるため、社内に専任者がいなくても進められます。
Process
取得までの流れ(標準6か月)
着手から約6か月での新規認証取得を基本に進めます(組織規模や現状の整備状況により前後します)。
目的の整理・計画
約2週間適用範囲・体制・年間計画の決定、審査機関の選定着手
リスク分析
約1か月情報資産の洗い出し、リスクアセスメント、対応方針の決定
ルール整備
約4か月方針・目標、各種規程・適用宣言書、インシデント報告フローの整備
対策実施・社員教育
③と並行技術的・運用的対策の実施、教材配信と受講(達成率100%)
内部監査・是正
約2週間内部監査の実施、不適合の是正、マネジメントレビュー
審査(1次・2次)
約1か月1次審査(1〜2日)→ 2次審査(2〜3日)→ 認証取得
2年目以降は「運用支援」
役割・適用範囲の見直し、リスクアセスメントの更新、内部監査、サーベイランス(維持)審査・更新審査への対応を継続サポートします。
Structure
プロジェクト体制と役割分担
ISMSの運用には、規格で求められる役割を社内で定めていただきます。各役割の意味と、ポテックが代替できる範囲をご案内します。
「専任者が置けない」を解消
内部監査責任者・内部監査員はポテックが担当可能。御社は経営層とISMS責任者・担当者の選任に集中いただけます。
Deliverables
主に整備する文書・成果物
ポテックが提供する雛形をベースに、御社の実態に合わせて整備します。 ゼロから作る必要はありません。
方針・計画・体制
- ›情報セキュリティ方針/目的管理表
- ›体制図(役割・責任・権限リスト)
- ›適用宣言書(組織の状況・適用範囲)
リスク管理・運用ルール
- ›リスクアセスメント規定/情報資産リスクアセスメント表
- ›情報セキュリティ管理規定(社内ルール一式)
- ›インシデント報告フロー・報告テンプレート
- ›関連法規制一覧/モニタリング対象の定義
外部委託・事業継続
- ›外部事業者一覧/チェックシート
- ›事業継続計画・SLA
教育・監査・改善
- ›情報セキュリティ教材(運営/一般社員向け)
- ›内部監査計画・チェックリスト・結果
- ›是正処置報告書/マネジメントレビュー議事録
Audit Body
審査機関の選定支援
認証は第三者の審査機関による審査を経て取得します。ポテックが複数機関から相見積を取得し、御社の規模・方針に合った機関選びをご支援します(費用は人数等に応じて変動)。
※ 上記は一例です。日科技連、JSA-SOL、ICMS など他機関からの見積取得・比較も可能です。
Pricing
料金プラン
いずれも税抜価格。最大50名ほどまでの組織規模・弊社提供の雛形通りのドキュメント類での実施を想定しています。
① 新規取得支援(はじめての認証取得)
ISMS新規取得支援
弊社提供の雛形通りのドキュメント類での実施。最大50名規模を想定。
- (オプション)1次審査 立会 ― 1次審査1日分の終日同席10万円
- (オプション)2次審査 立会 ― 2次審査2日分の終日同席20万円
② 運用支援(2年目以降)
ISMS運用支援
役割・適用範囲の見直し、リスクアセスメント更新、内部監査、維持・更新審査への対応を継続支援。
そのほかのオプション
※ 審査機関への支払い(審査費用)は料金に含まれません。相見積を取得してご案内します。
Why Pottech
ポテックが選ばれる理由 ― ヘルスケア特化の実績
ヘルスケア特化の知見
オンライン診療・PHR・SaMD・治験ePRO・病院向けSaaSなど、医療現場の業務とデータ特性を理解。
業界ガイドラインへの接続
3省2ガイドラインなど業界固有の要請を、ISMS文書と連携させ最小工数で対応。
技術と運用の両面支援
文書整備だけでなく、製品の設計・開発を含む技術的対策まで相談可能。
主な支援実績(抜粋)
Option
オプション:3省2ガイドライン対応
医療機関へシステム・サービスを提供する場合、「医療情報システムの安全管理に関するガイドライン(3省2ガイドライン)」への対応を求められることがあります。ポテックはISMSと統合した効率的な対応を支援します。
よくあるお悩み
- ›ガイドラインが複雑で、どこまで取り組めば「対応した」と言えるのか分からない
- ›ISMSと3省2ガイドラインを別々に対応すると、社内文書・管理が煩雑で運用できない
ポテックの対応方針
- 御社の製品・体制に合わせ、最小工数で最適な対応方法をご案内
- 用意する文書は最小限にし、求められる技術的対策はISMSとリンクさせて対応
- 導入時の医療機関とのコミュニケーション(議事録作成)、開示文書・リスク対応一覧の作成まで支援
進め方の目安:着手から約4か月(リスク分析 ▶ 技術的対応要件の策定 ▶ 文書整備・運用)
FAQ
よくあるご質問
どのくらいの期間で取得できますか?
標準で約6か月での新規取得を想定。規模・現状により前後し、短期取得はオプションで対応します。
専任のセキュリティ担当者がいなくても大丈夫ですか?
問題ありません。文書作成・進行管理はポテックが主導し、内部監査責任者・監査員も代替可能です。
費用は何名規模まで一律ですか?
最大50名ほどまでを想定。超える場合や特殊要件はお見積りにて個別にご案内します。
審査機関への支払いは料金に含まれますか?
含まれません。審査費用は別途必要で、相見積を取得してご案内します。
既に一部のセキュリティ対策を進めています。活かせますか?
はい。既存の取り組み・文書を確認し、活かせる部分は活用しながら不足を補います。
3省2ガイドライン対応も同時に依頼できますか?
可能です。ISMS文書と統合することで管理の煩雑さを抑えられます。