若手ながら、社内では医療情報セキュリティの第一人者でもある木村 匠。彼は2020年に当社がリリースした「医療情報システムのセキュリティガイドライン準拠支援サービス」の開発にも携わっています。民間と公共をつなぐ懸け橋として奮闘する木村が、NRIセキュアでの仕事について語ります。
セキュリティへの純粋な興味を胸に抱え、NRIセキュアに応募
2022年2月現在、木村はコンサルティング事業本部 ストラテジーコンサルティング部 グローバル&リサーチグループに所属し、主に医療情報システムに関するルールの制定やガイドライン準拠支援などに関わっています。
大学では社会学を専攻していましたが、技術がはらむリスクにだんだんと興味を持つようになり、大学院では科学技術社会論という分野を学びました。
私は就職活動中あまり多くの企業を受けておらず、NRIセキュアを受けるきっかけも、実は他の企業に内定をいただいたときに偶然知って、興味が湧いてしまったというものでした。その時すでに、選考が締め切られてしまう直前だったため、短期間で一気に面接を受けさせてもらいました。
同期にはインターンを経験したり、NRIセキュアがずっと第1志望で企業研究に長い時間をかけたりしていた人もいるなか、セキュリティへの純粋な興味を武器に短期決戦で挑んだ私は、珍しいケースだったかもしれません。
2017年に入社した木村は、最初の2年間は現在とは別のコンサルティングの部署で主にPCI DSSというクレジットカードのセキュリティに関わる仕事に携わっていました。その後現在の部署に異動して、今は官公庁の案件から民間の企業様の案件まで、幅広く対応しています。
医療情報セキュリティの道に進んだきっかけ
木村が医療情報のセキュリティに関わるようになったきっかけは、2年目に挑戦した厚生労働省の医療情報に関する公募案件でした。
医療分野はこれからますます重要性が高まる分野であり、サイバーセキュリティの確保も非常に重要になるため、ぜひとも一助になりたいと思い、手を挙げました。同じ部のメンバーと一緒に入札から案件完了までやり切るなかで、日・米・英における医療情報の動向の調査等を行い、医療情報に関するセキュリティの知識をつけることができました。
また、これとは別に、当時「3省3ガイドライン」と呼ばれていた厚生労働省・経済産業省・総務省それぞれが定める医療情報に関するガイドラインのうち、経済産業省・総務省が発行する2つを統合するプロジェクトにも参加しました。
このプロジェクトでは、医療業界における有識者や大学の著名な先生方にヒアリングを行う等しながら検討会にも参画して、ガイドラインの統合を支援しました。
新サービスで準拠する対象であるガイドラインの策定自体に携わっていた木村。「医療情報システムのセキュリティガイドライン準拠支援サービス」を開発しようと考えた背景には、関係者として得たこのガイドラインへの知見を活かしたいという想いがありました。
これまで2つに分かれていたガイドラインが1つに統合され、内容も変わる。本来、事業者の皆様にとって便利になるはずだが、これまでと変わることで苦労もあるかもしれない。であれば、このガイドラインに最も深く関わったコンサルタントである私たちが準拠のお手伝いをすることで、ガイドライン統合に伴う対応のお役に立てるのではないかと考えました。
また、医療分野ではウェアラブル端末や医療ビッグデータの利活用などのイノベーションが近年急速に進んでおり、これらの新たなサービスが社会に浸透していく上で、私たちがそのセキュリティ面を支えることができるのではないかと思ったのです。
信頼できる仲間と一緒に成功に導いた新サービス開発
サービスの開発にあたっては、NRIセキュアの総合力が活かされたと語ります。
サービスとして提供するための開発には、ガイドライン統合に携わったメンバー以外にもたくさんの仲間に参加してもらいました。どうしたら民間の事業者の皆様向けにガイドラインを分かりやすいものにできるか等、チームでディスカッションを重ね、標準化したサービスを組み立てていきました。
例えば、ガイドラインのなかでは、リスクアセスメントをする役割の人はこういった脅威を想定しないといけないといった、代表的な10個の脅威を事例として挙げています。ガイドライン上で全てを列挙することはできないので10個に絞っていますが、これを私たちが解説する際には、この10個以外の脅威についても詳細に検討しお伝えすることができます。
私自身が遭遇したことのない事例に関しても、詳しい人が必ず社内にいるので、きちんと具体例と対策案をあげてご説明できるように準備を整えることができました。
木村の努力もあり、2020年8月にガイドライン(総務省と経済産業省によって2020年8月21日に『医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(第1版)』公表)が発表されたとほぼ同時に当社も「医療情報システムのセキュリティガイドライン準拠支援サービス」をリリースしました。周囲からの反響は、目に見えるものでした。
ガイドラインの公開の翌月には、このガイドライン策定の検討会に委員として参加されていた京都大学の黒田知宏先生にもご協力いただき、ガイドライン解説のための無料ウェビナーも開催し、500名を超える方からお申込みをいただきました。これまでNRIセキュアに関わることが少なかった医療機関等の皆様が、セキュリティ対策を実施する際にお声がけいただける機会が増えたと思います。
官公庁と民間企業のハブとなるような存在になっていきたい
木村が所属するストラテジーコンサルティング部について、風通しのよさを感じているといいます。
例えば、一緒にガイドライン統合の案件に携わった2人は公共系案件を得意とする会社からキャリアで来た方だったり、省庁のCSIRTで働いていた方だったり……。皆さんとてもユニークなバックグラウンドを持っています。もちろん、私のような新卒入社の社員もいます。
また、うちの部だけではないですが、まずNRIセキュアは社員の年齢層が低いです。あとはチャットのコミュニケーションが活発でテレワークでも変わらず仲がよいですね。出張に行けていたころは毎週同じメンバーでお客様先の神戸に行ったりしていて、移動時間もいろいろなお話ができて充実していました。先輩・後輩関係なく、言いたいことを言いあえる関係性を築けていると思います。締めるところではきっちり締めるけど、普段はお堅くない人が多いです。
いい仲間、すてきなお客様のもとで貴重な経験を積んでいる木村。今後目指していきたいコンサルタント像は、「ハブ」だといいます。
若手でもいろいろやらせて貰えるのが、NRIセキュアのおもしろいところだと思います。今も民間と公共の案件にバランスよく関わらせていただいていますし、これからも続けていきたいです。民間で困っていることを私がお聞きして、それを官公庁さんに生の声としてお伝えする役目もあるような気がします。
医療情報の案件で培った経験・スキル・人との繋がりなどを足掛かりに、社会全体に有益なルールメイキングのご支援をして、官と民のハブみたいな存在になっていきたいと考えています。
入社5年目にして、NRIセキュアのなかで医療情報システムガイドラインの第一人者となっている木村。今後も、さまざまな人・企業・官公庁の皆様と関わりながら、ハブとしてのポジションを確立し、その経験を社会へ還元できるよう挑み続けます。