取締役 兼 管理統括 CFO
吉岡 哲俊 様

吉岡：「世界の患者を救う、内視鏡AIでがん見逃しゼロへ」をミッションに、2017年に創業しました。内視鏡医療は世界最高水準にある日本ですが、それでも約2割の早期がんが見逃されているといわれています。国外に目を向ければさらに深刻で、経験豊富な内視鏡医は圧倒的に不足しており、進行がんになってから大半が発見されるという現状があります。

当社では100を超える医療施設と提携し、膨大な内視鏡画像を使って、AIによる内視鏡診断支援システムの開発に取り組んでいます。現在、医療機器製造販売承認の申請中です。承認されれば、内視鏡医の診断をサポートするソフトウエアとして医療機関向けに提供していきます。

―今回のプロジェクトに取り組むことになった経緯についてお聞かせください。

執行役員　製品開発・製造部門長
髙橋 英成 様

髙橋：私たちは医療情報を扱う企業ですから、内視鏡AIの研究開発を進めるとともに、組織として万全なセキュリティ体制の構築をしていかなければいけません。AIを育てていくには大量の内視鏡画像データを用いる必要がありますし、販売後には顧客情報を適切に管理する責任も生じます。

これから3省2ガイドライン（※）へ準拠していくのはもちろんですが、私たちは創業当初から海外展開を視野に入れています。日本でも医療機器に対するサイバーセキュリティ規制の運用が本格化しつつありますが、より厳格である国際的な様々なガイドラインに基づいたリスク管理体制をつくっていくのは自社では難しい。専門家の知見を借りて、本格的に取り組んでいこうということになったのです。

※厚生労働省、経済産業省、総務省の３省が定めた、医療情報の保護に関する２つのガイドラインの総称

―ニュートン・コンサルティングをご利用いただいた理由は何でしたか。

髙橋：やはり、海外市場向けに国際的な基準で体制を整えていきたいと思ったからです。数社にご提案いただきましたが、ニュートンさんは英国発のコンサルティング会社ということもあり、海外事業に関する実績も多く、実際的なリスクヘッジの支援をいただけそうだと感じました。また、コンサルティング料が良心的だったというのもあります（笑）。

当社ではすでに米国とシンガポールに現地法人も設立しています。海外で求められるセキュリティ基準を満たし、各種規制に対応していかなければなりません。当初お問い合わせをした段階ではGDPRへの対応を検討していたのですが、もっと幅広く情報セキュリティ体制の見直しを進めるためにはNIST CSF対応が近道である、とご提案を頂きました。海外進出が前提の当社にとっては米国の先進的な基準への適応は妥当だと考え、ご支援をお願いすることにしました。

―プロジェクトの概要を教えてください。

髙橋：2022年２月から約１年半にわたって、大きく３つのフェーズでプロジェクトを推進してきました。具体的には①NIST CSF（Cyber Security Framework）を用いた全社的セキュリティ評価、②全社的なリスクアセスメント、③全社的なセキュリティ対応体制であるCSIRTの構築となります。

①の評価には、前述のとおり全社的なセキュリティグローバルのデファクトスタンダートであるNIST CSFをご提案いただきました。"予防"の観点と被害発生時の"対応"の観点、その２軸で評価を実施し、改善点の抽出を行いました。評価の結果を踏まえて②、③のフェーズについて対応方針を決定しました。

②では対応すべきリスク抽出の目的でリスクアセスメントを実施しました。各部署へのヒアリングをベースに、想定されるいくつかの脅威について、考えられる事象をリスクシナリオとして落とし込みました。

最後に③で全社的なセキュリティ対応チームであるCSIRTを構築しました。佐川をリーダーとする10名ほどのCSIRTメンバーが一堂に会してワークショップ形式で議論を進め、ルールや体制を整備しました。CSIRTメンバーによる週１回の定例会については、ニュートンさんのご支援終了後も継続していますよ。

―NIST CSFのセキュリティ評価はいかがでしたか。

品質保証グループ　リーダー
今井 里実 様

今井：すでに対応を始めていたISO27001で規定されていない範囲の支援、具体的には復旧までをフレームワークで対策しておきたい、というのが実施の目的でした。また、スタートアップ企業なので社員一人ひとりのキャリアが大きく異なり、リスク管理能力に関しても個人差が激しいという課題もありました。ワークショップには各部門から必ず参加者を出してもらい、部門独自の情報を共有し合うなど、リスクの洗い出しもしました。

今回のプロジェクトを通してリスク管理意識の醸成ができ、新たな施策を導入する前にCSIRTにも問い合わせなどが入るようになりました。バラつきのあった社員のリスク管理能力ですが、だいぶ底上げができたと感じています。

―セキュリティ評価の実施後、CSIRT構築に進まれたわけですね？

情シスグループ
佐川 幸宏 様

佐川：セキュリティ評価を実施した結果、専門人材が不足しているとニュートンさんからご指摘を受けたとのことで、昨年12月に情シス担当として入社し、CSIRTの構築に参加してきました。スタートアップ企業なので整備はほぼこれからだろうと覚悟してきましたが、すでに108項目もあるNIST CSFにも対応を進めていると聞き、驚きました。

プロジェクトの中盤以降からの参加でしたのでキャッチアップできるか不安もありましたが、資料がわかりやすく整備されており、問題はありませんでした。すでに課題は洗い出されていたので、特に検知や防御のしくみを強化するなどセキュリティ体制のさらなる整備を急いでいます。

―ニュートンのコンサルティングはいかがでしたか。

吉岡：すでに海外拠点まであるといっても、内視鏡AIはリリース前ですから、ガイドラインへの準拠やリスク管理について事前にどこまで対応すべきなのか、という迷いはありました。大企業のような人的リソースはありませんから、開発のスケジュールと並行して整えていくのは容易ではありません。正直に申し上げると、いやいや、発売してから整備すればいいでしょ、という意見もあるわけです（笑）。

そんな中ニュートンさんは当社の現状を踏まえつつ、最先端のガイドラインに身の丈にあった形で準拠していくにはどうすれば良いか、豊富なご経験をもとに適切にご指導くださったと感じています。

髙橋：丁寧なヒアリングがあったので、こちらの要望を網羅したワークショップを、しかもスピーディに企画していただきました。創業間もなく、様々なバックグラウンドを持った社員が集まっているため、様々なことについての共通理解が薄い状態です。そもそも何がリスクで、なぜリスク管理が必要なのか、ワークショップをすることの意義などから理解してもらわないといけなかったりするわけですから、苦労されたと思います。

ニュートンさんならではの経験やこれまでの事例からリアリティのあるシナリオを作成くださったので、プロジェクト開始前と比べたら、リスクに対する社員の意識は格段に向上したと感じています。セキュリティ評価の実施で抽出したリスクについて、システム面では佐川が着実に強化していますので、社員のマインドについてもさらに引き上げていきたいと考えています。

―今後の計画を教えてください。

吉岡：NIST CSF やGDPRなど、医療機器のスタートアップ企業としてここまで対応できているのは当社だけだと自負しています。また、国内の基準も３省２ガイドラインなど整備が進んできていますので、順次対応していく予定です。

これからサービスの提供が本格化していく中では、常に最先端の基準に対応していきたいと考えていますが、引き続き会社の体力に見合うレベルを模索するというのは今後も課題として残ると思います。

―本日は誠にありがとうございました。