導入事例｜手厚いフォロー体制が導入のポイント／ライフログテクノロジー株式会社様

食事の写真を撮るだけでAIが画像を解析、栄養計算したものを記録できる健康管理アプリ『カロミル』を開発するライフログテクノロジー株式会社。『カロミル』は順調に利用者を伸ばし現在125万人を突破。医療機関や薬局、スポーツジムなど企業との協業も進んでいます。

同社では、大手企業との取引が増えてきた2020年ごろからPマークの取得を検討。マキナレコードのサービスをご利用しセキュリティ面の対策を進めてきました。この記事では、同社のプロジェクトマネージャーを務める松元佳紀様、サーバサイドエンジニアの青木秀智様に詳しい経緯や利用されての効果について聞きました。

手厚いフォロー体制が導入のポイントになった

――マキナレコードのサービスをご利用されることになったきっかけについて教えてください。

松元様：

会社の事業を進めていくうえで、大手企業との取引も増えてきて、Pマークを持っているかが問われるようになってきたのがきっかけです。

Pマークを取得するため、セキュリティ対策のご相談をする企業を探しました。複数社を検討する中で、マキナレコードさんは他社よりもフォローが手厚い内容でしたので、そこが大きなポイントになりました。2020年の夏ごろからサービスの利用を始めました。

現在は当初の目標であったPマークに関するご相談のほか、取引先から提出を求められるセキュリティシートへの対応などでも相談に乗ってもらっています。

――Pマークの取得にあたり、自社のどのようなところが課題だと感じていましたか？

松元様：

Pマークに関しては取得までにどういう対策が必要なのかがよく分からないという状況でした。

青木様：

テクノロジー面ではしっかり対策ができているという自負はありました。例えば、ユーザーデータの暗号化や、セキュリティエリアへの制限など一通りの対応はしていました。ただ、そういったテクノロジーではない部分、日々の仕事の仕方・進め方といったところでは何がどこまでできているのかが見えていなかったところもあったと思います。テクノロジーで守られていたために、運用側ではそこまでしっかりやりきれていない状況でした。

Pマークの取得に合わせて、そういったリスクを明るみに出し、情報セキュリティの対策をすることができれば一石二鳥だなと思っていました。

Pマークの取得を通じて社内の個人情報への意識も向上

――導入後、これまでにどのようなセキュリティ対策をされてきましたか？

青木様：

とにかくPマークを取ることが当初の目標で、それを取らないと先に進まないというのがありましたので、そこはしっかりやってきました。

ただ、せっかくPマークをとるのですから、この機会に社内全体で個人情報のスキル・知識を高めたいという思いもありました。ただ単にPマークをとるだけというやり方もできるとは思いますが、そこには行き過ぎないように意識していました。

今後はさらに、ISMSに関することなど、情報セキュリティの社内知識を底上げできたらとも考えています。

松元様：

マキナレコードさんにしっかりお手伝いいただいたので、どうしようかと対応に困るということはありませんでした。

今は社員数が増えて会社が次のステップに進んできました。それによって新たなセキュリティ面の課題も出てきています。ただ、そういった次に気を付けるべき課題まで事前に指摘してもらえていて、ここまでほとんどのことをうまく解決できていると思います。

――導入から1年余りを振り返って、手応えをここまでどう感じていますか？

松元様：

エンジニアなどプロダクトに近い人間だけでなく、カスタマーサクセスや事務的な業務が多い部署まで含めて、社内全体で個人情報やセキュリティへの意識が高くなったと感じます。

社内で質問されることも増えましたし、やりとりを見ていても以前より確実に意識が高まっていると感じます。

青木様：

対外的にも、取引先から個人情報について質問を受けたときに「しっかりと対策していますよ」と言えるようになりました。Pマークを取得しただけではなく、運用も日々改善していますから自信をもって回答できています。

今後は脆弱性診断やISMS認証への対応が課題

――今後、セキュリティ面で注力していきたいことはありますか？

松元様：

脆弱性診断への対策ですね。他社さんとの取引でセキュリティシートを入力する際に「診断をしていますか」と聞かれることがあります。当社として自社での対策はしているのですが、外部の診断を求められることがあるので、それもクリアできるように対策・強化していきたいですね。まだ一部手が回っていないサービスもありますので。

青木様：

私は2つありまして、1つはセキュリティのチェックシートの提出を求められる中で、個人情報のセキュリティのレベルを超えて、ISMSに準拠してないといけないような質問も結構くるのでその対策ですね。「質問されるから（ISMS認証を）取ろう」というのは少し飛躍しているとは思いつつ、判断が難しいです。準拠するだけでいいのか、しっかり取りにいくべきなのか、もう少し手前の段階なのか。いずれにしても対策を進めないといけないとは考えています。

もう1つは、大手の企業様ですと、オフィス内に施錠された空間があって、その場所でしかできないような環境があるかを求められることがあります。ただ、当社はフルリモートでオフィスがないので、いろいろ検討はしてはいるものの答えが出せていない状況です。そういった課題についてもアドバイスをもらいながらなんとかクリアしていきたいと考えています。

取材日：2021年11月24日