2008年7月〜9月 継続的改善活動のご報告
各システムの要約
- ISO14001
-
社会貢献活動の実施と統合審査への対応
- ISO9001
-
スクリプト開発の標準化
- ISO27001
-
教育の実施
- JIS Q 15001
-
新規メンバー加入、内部監査スタート
ISO14001(環境マネジメントシステム)
環境への貢献活動、また、外部へのコミュニケーションの一環として、9月に下記の活動を行ないました。
1つ目の活動は、2008年度に取り組みを始めたエコキャップ運動です。エコキャップ運動については前回の活動報告でも記載しましたが、第2四半期に実際に集まったペットボトルのキャップを「エコキャップ推進委員会」に送付し受領書をいただきました。累計約6,000個のキャップが集まって、ワクチン7.5人分になりました。現在もキャップの収集を継続して行なっています。
2つ目の活動は、傘の貸し出しを行なっているボランティア団体への傘の寄付活動です。傘は一昨年度から1年に1度「沼袋アンブレラハウスの会」という団体に寄付しています。会社に放置されたままのまだ十分に使える傘65本を寄付しました。本団体からは受領証や活動内容の報告を送っていただきました。今回送った傘も、有効に活用されることと思います。
7月中旬にISO9001とISO14001の統合維持審査が行なわれました。環境への観察事項は次の3点です。
- 法規制登録簿の更新方法に工夫の余地がある。
- プラス側面の洗い出し方法に工夫の余地がある。
- 環境への著しい側面を決定するプロセスの表現を工夫することが望まれる。
すべて、現状のものに工夫の余地があるというものでしたので、審査での指摘を生かして随時対応し、結果を報告していきたいと思います。
10月〜12月の予定
- 定期教育テスト
ISO9001(品質マネジメントシステム)
2008年7月中旬にISO14001・9001の統合維持審査が行なわれました。結果はマイナー1件の不適合と、観察事項が8件でした。この不適合の内容は「外注を管理する部門で、定められたルールを遵守するためのシステムが構築されていないため、要求事項を満たしていない」とのことでした。この指摘に対して、対象部門は是正計画をたて、8月にシステムの構築を行ないました。今後はこのシステムを運用し改善を図っていきます。
2008年8月にMJL(MITSUE-LINKS JavaScript Library)の従業員向け説明会を行ないました。MJLとは、ミツエーリンクス標準の JavaScript ライブラリです。MJLは、社内でよく使用されるスクリプトを、統一された設計思想、利便性の向上を念頭において設計・開発することで、よりクオリティの高い成果物を、効率よくお客様へ提供することを目的に作成された当社独自のJavaScriptライブラリです。
MJLの開発により、今まで製作スタッフ個人の力量に頼っていたスクリプト開発が社内標準化されるため、品質のバラツキや実装上の不具合などを減らすことが可能になります。また、今回のプロジェクトでは、MJLを使用しない際のスクリプトの品質も維持するために、MJL以外のスクリプトを使用する際は、仕様書の提出と検品を実施することを義務づけました。このルールを従業員に徹底させることで、成果物を今まで以上の品質でクライアントに納品することができると考えています。MJLは10月1日より実際の案件に使用しています。
10月〜12月の予定
- 教育の実施(一般スタッフ向け)
ISO27001(情報セキュリティマネジメントシステム)
7月にISO27001の継続審査が行なわれました。審査結果としては、指摘事項(メジャー)0件、指摘事項(マイナー)0件、観察事項5件で、認証の継続が決まりました。 指摘を受けた観察事項のうち1件はグッドポイントでした。その評価は、「社内のサーバーが停止した場合、社内業務にどのような影響を与えるか」という自社で行なった分析の内容や分析手法などに対してのものでした。これは現在策定中の事業継続計画において分析管理の必要性が出てきたため開始したものです。「情報システム管理の改善をさらに強固に推し進めている」との評価をいただきました。 それ以外の観察事項として、事務局で策定中の事業継続計画のひとつでもある「サーバーが停止した際の復旧手順」のテストを行なう際、リスク評価をした上で行なうことが望まれるとの指摘を受けました。
この監査でも触れられている「事業継続計画の実装」は2008年度の目標として設定されています。社内では基幹サーバーの移転計画の推進およびサーバートラブル発生時の対応手順のマニュアル化が進められています。現在は基幹サーバーのバックアップが取得され、それぞれのサーバー管理担当者が、個別に持つナレッジでトラブル対応を行なうフローになっています。しかし、サーバー移転後は対象となるサーバーが遠隔地にあることから、すぐに動けるシステム担当者が限られてしまいます。そのため、KVMや巡回プロセスの実装のほか、システム担当者間での管理手順の共有やトラブル対応時のマニュアル化が今後の課題となっています。
9月に1件のトラブルが発生しました。トラブルの内容としては、部門サーバーの管理者が設定を誤り、社内ネットワークの一部で障害が発生しました。今まで社内の9割以上を占めるWindows端末については、管理を厳重に行なってきましたが、MacintoshやLinux端末などは管理が不十分な面がありました。また、このトラブルへの対応に予想以上に時間がかかってしまったことが反省点としてあります。
上記のトラブルを受けて、再発防止策として、今までWindowsのマシンだけを対象に行なってきた、資産管理ツールによるインベントリの収集をMacintoshやLinuxにまで広げ、ネットワーク管理者が、社内に存在するすべてのマシンの挙動を素早く把握できる体制を整えました。これにより、スタッフの設定ミスなどによって社内ネットワークに影響が与えられた際に、そのトラブルを引き起こしているマシンを素早く特定し、短時間で問題を解決できるようになりました。
10月には社内全スタッフを対象にした情報セキュリティ教育が行なわれる予定です。今後もシステム面の整備だけではなく、スタッフのリテラシー向上にも努めていきます。
10月〜12月の予定
- ISO27001の教育の実施
- 情報セキュリティ啓発メールの送信
- クライアントマシン使用におけるTipsの社内共有
JIS Q 15001(プライバシーマーク)
7月に、個人情報管理の事務局に新たなメンバーが加入しました。新メンバーにはさっそく、当社のマニュアル・申請書類のテンプレートなどの更新作業、個人情報漏えい関連のトピックス収集・分析、お客様企業からのアンケート対応、社内教育用の資料作成を担当してもらっています。
9月には内部監査がスタートいたしました。これまではISO27001との合同監査を行なってきましたが、今年度よりJIS Q 15001単独での内部監査を行なうことになりました。これは近年増大する個人情報のリスクや運用コストを考慮した結果、別に監査することが実効的であるとの判断によるものです。10月中にはすべての監査を終了する予定です。
10月〜12月には、内部監査の結果を踏まえて、マニュアルの見直しを予定しています。今年度新たに増加した要件や従来の手順を再定義することで、より一層の個人情報管理の徹底を目指します。
10月〜12月の予定
- 内部監査
- 内部監査指摘事項の対応
- 全社向け定期教育
- メルマガ配信
- マニュアルの見直し