AIを活用した医療サービス開発、健診予約代行、健康管理システムなどのヘルスケア事業を展開中の株式会社Personal Health Tech。同社は個人情報の管理体制を確立するため、2023年12月にプライバシーマーク（以下、Pマーク）を取得しました。今回、そのPマーク取得の背景と社内での継続した活動を通じた成果などについて、管理部部長の志岐 享哉様にお話を伺いました。

弊社は、2022年に設立された会社で、主に、健診予約代行、健康管理システム、検査ログ、AIを活用した医療サービス開発などヘルスケア事業を行っております。

海外展開も積極的で、シンガポールにアジア本社を設立し、タイに法人を設立するなどアジア市場にも進出しています。

サービスとしては、個人や法人、病院向けにパーソナルヘルスレコードの収集・AI予測、商品提案に焦点を当てております。現在、300社以上の企業が導入し、大手企業や大学との共同研究も進めているところです。

低価格にて健康管理システムと健診アウトソーシングを提供し、DXによるデータ化支援、健康相談やオンライン診療ツールの提供、IT導入補助金対象ツールとしての認定も受けています。

最近では、通訳サービスや災害時の安否確認システム、オンラインフィットネスなどの新サービス開発にも取り組んでおり、医療ツーリズムや医療機関向けシステムサービスの提供を計画しています。

はい。取得に取り組み始めた頃はB2Bの営業のみでしたが、その頃から海外展開も開始し、さらには病院、個人向けサービスも展開しております。

弊社には約10名前後の従業員がおり、ほとんどの業務は事業法人ごとに分かれ、業務委託の形で行っています。ただし、弊社は、Next Future Holdingsというグループの一部でしてグループ全体の従業員数は約50〜60名です。

Next Future Holdingsはサブスクリプションサービスの企画開発から運用までを一貫して支援するコンサルタント会社です。サービスはサブスクスタジオ、サブスクマーケット、サブスクセールスパターン、サブスクBPOにわたり、事業開発からカスタマーサポートや事業運営のBPOまで幅広くカバーしています。

クライアント様から地方自治体や公的機関に販路があるので、Pマークを取得してほしいと言われたのがきっかけです。健康診断の結果など要配慮個人情報を取り扱う業務なので、クライアント様からもPマークはあった方がいいと言われておりました。

グループ会社でもISMSを取得しており、弊社としても規格に準じて運用しているのですが、ただIPOを目指している状態なのでそのうち弊社もISMSも取得しなければと思っております。

そうですね。要配慮個人情報ですからね。クライアントからも取得してからでないと契約は難しいと言われこともありました。それから、どうしても個人情報の委託先として審査されることがあり、そこでPマークを持っていないと様々な質問をされるのですが、「Pマークを持っています」と言ったらそれだけで済むということもあったので、取得をすることにしました。

すごかったですね。細かいことをご指摘いただき、そのやり取りにとても時間がかかりました。

例えば規程変更の報告をすると、どこの何条の何をどうして、どう変えたのかなど、具体的な報告書の提出を要求されました。

はい、実はそれが思ったよりも早く終わりホッとしておりました。しかし、その後の指摘事項の是正報告が大変でした（苦笑）是正報告してもなかなか通りませんでした。それならば、現地審査の時に適切に指摘してくださった方が良かったのではないかと、正直思いました。

2023年の8月です。現地審査の後、指摘事項があり、それを是正して、12月の審査会に上げていただき、やっと2024年1月に取得することができました。

そうです。メールを送ってはいけない規定になっているので全て電話でやり取りしました
。そこが大変でした。実をいうと、指摘事項は1箇所しかないのですが、その1箇所の中でのやり取りに時間がかかったのです。

審査前はリスクの洗い出しが大変でした。基本的に業務とそれに対し何をしているかというのを出せば、あとは神野さんがサポートをしてくれたので大変助かりました。しかしこちらが抜けてしまうと、神野さんの方でも分からないので、そんなことがないように気を付けました。

あとは先ほどもお話しましたが、審査後の指摘事項の対応ですね。メディスの場合は普通のPマークと違い要配慮個人情報を取り扱っているため、リスク分析についてよく見られます。ネットワークに接続していない端末でデータを管理するようにと言われますので、その対策については大きく悩みました。

なかったですね。今のお話を聞いてわかる通り、コンサルがいないと出来ないですよね。正直なところ、何をやってよいのかわからないですし、神野さんには助けられました。

はい。決め手になったのは、御社営業の相野さんがとても丁寧に説明してくださったこと
です。社内で検討する際にも、御社はしっかりしているので良いのではないかという話が出ましたし、料金も他と比較して安い方だと思いました。一番説得力あったのが「取得するだけでなく、自分たちで実際に運用できるように対応してくれる」という点でした。取得する側としては、コンサルさんに全てお任せした方が楽だとは思いましたが、やるならきちんとやらないと意味がないとも思いました。そんな風におっしゃってくださり、信頼できると感じました。

基本的に私が中心になり取り組みました。当時、私が商品開発の部門からバックヤードの運営の方に回っていたので、一番現場のことも開発のコンセプトも理解していました。同じくらいに知っている人が他にいなかったので、私が中心になり取り組みました。

健康診断結果の受け渡しや管理、保管については、更に気を使うようになったと思います。以前よりもきちんと片付け、整理整頓するようになりました。

そうですね。ちょっとした心がけをするようになりました。

少しずつですね。まだまだだと思いますが、今後少しずつ変化が見られてくると思います。

最初はE-Learningで行いました。あとは、テキスト配布の自習で理解度テストを実施しました。

そうですね。でも、当たり前のことをちゃんとやらなければいけないと思いますし、このようなテストがあるということで、個人情報の取り扱いについての意識が共有されていくと思います。

お願いし過ぎました（笑）神野さんには細かいところまでやっていただき、本当に助かりました！わからないことを聞くと、丁寧に教えてくださいました。実践だけじゃなくて、「クライアントからこんな要求があるのですが、どうしたらいいのですか?」といった質問にもお答えいただけて、非常にありがたく思っております。

とても早くてびっくりしました。夜に質問をしてもあっという間に回答してくださり、本当に助かりました。

まだ全然実感ないです。これからだと思います。

クライアント様の、特に申込時の信頼度が変わるだろうと思います。今まで委託先として認証がない状態だったので、様々な質問をされていました。クライアント様が上場企業の場合、稟議を取るためにPマークが必要というところもありますので、今後は取引もスムーズにいくと思います。

はい。「しっかりやってます」とPマークを見せるだけで言えると思います。

頑張ってください（笑）やはり審査機関の医療情報システム開発センター(MEDIS-DC)の
対策をとにかく頑張ってください！

コンサルは必要だと思います。何をしたらいいか明確なこと、それが一番だと思います。自力で取り組むとして、個人情報保護規程を読んで何ができるのかわかりません。正直、審査に何が必要なのかもわからないですし。その点、コンサルがいれば、何をしたらいいか的確に教えてくれます。自力だとしたらスケジュールも立てられないし、このPマークは業務に絶対に必要か言われたら別になくてもやっていけるので、後回しになると思います。そうなった時に重要度は高いけど優先度が下がり、後回しになり、そのうち忘れられるというと思うのです。

大変でしたけれども、取得できてほっとしました。もともと何も知らなかったのですが、完全に「空間自体を分離しなくてはいけない」と聞いて最初は出来るのかなと思いました。しかし制度と仕組みで何とかできるものだと感じました。