2011年1月〜3月 継続的改善活動のご報告
各システムの要約
- ISO9001
-
経営層による見直しと間接部門向けExcel教育
- ISO27001
-
経営層による見直しと情報資産のリスクアセスメントの実施
- JIS Q 15001
-
経営層による見直しと人事担当者への教育
ISO9001(品質マネジメントシステム)
経営層による見直しの実施
2月に「経営層による見直し」を行ない、外部審査結果、内部監査結果、是正への対応状況、目標達成状況などの報告に加え、現在動いているプロジェクトの進捗状況についての報告を行ないました。
活動としては、2009年度から活発に改善活動が行なわれていますが、2010年度も引き続き多くの改善活動が行なわれました。スケジュール表の標準化やヒアリングシートの整備など、特にディレクション関連の業務の平準化が進んだ1年でした。
また、事務局はプロジェクト間の調整役である、という役割が明確になった年でした。各プロジェクトのミーティングに品質面のオブザーバーとして参加。このことにより、各プロジェクトの活動内容を把握でき、重複した活動がないように目を配ることができました。無駄な活動を事前に察知して省くことで効率化に貢献できたと考えています。今後も、社内の活動に目を配り、効率的に改善活動を行なっていきたいと考えています。
間接部門向けトレーニングの実施
3月に間接部門向けにExcelの機能であるピボットテーブルのトレーニングを実施しました。
このトレーニングの目的は、業務の効率化です。大量のデータを扱うことが多い間接部門スタッフが簡単にデータ分析を行なえるようになれば、効率化が期待できます。
本来は参加者がPC操作を行ないながら説明を聞いてもらう形式がわかりやすいのですが、場所も余分なPCもありませんのでセミナー形式をとりました。ただし、聞いているだけでは身につかないと考え宿題というかたちでの実践もとりいれました。このトレーニングを通じてExcelの機能に興味をもち、業務効率向上を目指してもらえればよいと考えています。
4月〜6月の予定
- 2011年度目標策定
- 外部審査準備
- 各種マニュアル見直し
ISO27001(情報セキュリティマネジメントシステム)
情報資産のリスクアセスメントの実施
1月から2月にかけて情報資産のリスクアセスメントを行ないました。
情報資産のリスクアセスメントは、年度末時点での情報資産の管理状況を把握し、来年度の活動の足掛かりとするためのISO27001の活動の中でも特に重要なプロセスです。今回は当社で実施している情報資産のリスクアセスメントについて簡単にご紹介したいと思います。
当社の情報資産のリスクアセスメントは、保有している「情報資産の棚卸」と、棚卸によって確認された「情報資産の評価」という2つのプロセスを通して行なわれます。
まず「情報資産の棚卸」では、当社が保有している全ての情報資産を洗い出します。このとき新しく追加された情報資産をどのように見つけるかが重要になります。当社ではこの洗い出しの精度を高めるため、事務局がランダムに指名したスタッフの席に赴き、机、引き出し、PC、部門キャビネット、部門サーバー等、情報資産の保管場所として考えうるあらゆる場所を棚卸するというかたちをとっています。
指名されたスタッフは、「どこを調査しても構いません」という気持ちで、みなさん快く協力してくださいます。毎年漏れのない棚卸が行なえるのは、こうしたスタッフの協力による成果といえます。
次に「情報資産の評価」では、CIA(機密性、完全性、可用性)の観点から、当社が独自に策定した評価基準に基づきリスクと重要度を算定します。こうして算定された値によって情報資産に対する新たなセキュリティ施策を検討していくという流れになります。
当社のこのリスクアセスメント手法により、これまで一定の成果をあげることができていたので、ここ数年間は手順の見直しを行なっていませんでした。しかし、他社では専用のソフトウェアを用いてリスクアセスメントを実施するなどの事例もあるようですので、効率化と実効性の向上という面から、ISO27001の運用について最新の情報を収集し、必要に応じて手順の見直しを行なうべきだと感じています。
経営層による見直しの実施
3月に「経営層による見直し」を行ない、2010年度の審査結果と事務局の活動内容、来年度の課題等について報告を行ないました。
事務局からの報告に対して経営層からは2つのトピックスについてコメントがありました。
1つ目はシステム運用についてです。2月に基幹サーバーがダウンし、社内で利用しているいくつかのサービスが利用不能になるという事象がありました。それに関して「サーバーのトラブル発生時にリアルタイムの復旧を求める必要はない。サービスの重要度との兼ね合いから復旧目標時間を定め、現状の環境とリソースの中でできる最大限を行なえばよい」というコメントをいただきました。サーバー管理者は基幹とされるサーバーがダウンしたとき、直ちに復旧させようと焦って対応を行なう傾向があります。しかし、こうした対応は設定のミスを招き、後々のトラブルの原因にもつながります。2011年度は基幹サービスに対して許容停止時間を定めると共に、復旧試験を通して想定復旧所要時間を把握することを目標にしたいと思います。
2つ目はセキュリティ全体の取り組みについてです。2010年度はクリアデスクや施錠の徹底、メール誤送信防止策の導入など日常的なセキュリティ対策に力を入れてきました。それに関して「機密性と可用性はパラドックス。バランスをとりながら運用してもらいたい」というコメントをいただきました。セキュリティの視点ばかり見てしまうと、ビジネスの効率を阻害してしまうことにもなりかねませんので、2011年度のセキュリティの施策を考えるにあたっては、このコメントを念頭におくようにいたします。
計画停電に備えた基幹サーバーの可用性維持
2011年夏の電力不足に伴う計画停電の実施に備え、一部の基幹サーバーに対してUPS(無停電電源装置)の設置を進めています。
4月〜6月の予定
- 基幹サーバーバックアップシステムの見直し
- 2011年度目標策定
- 外部審査準備
JIS Q 15001(プライバシーマーク)
経営層による見直しの実施
2月末に「経営層の見直し」を行ないました。
2010年度の見直しでは、部署ごとに個人情報のリスク点検を行なった結果に基づき、外注委託先管理上の問題点、昨今の個人情報の社会状況の変化などに重きをおいて報告しました。
プロセスの有効性については、スタッフへの個人情報管理体制の啓発などを良い点として評価いただきました。一方で、プロセスの有効性を測る基準をさらに明確にし、定点観測を行なうべきという指摘をいただきました。
この指摘を受け、2011年度は、個人情報を取り扱う案件をより正確に把握するための施策を目標に加えました。また、個人情報の取り扱い方を定めた「個人情報の取り扱いに対する合意書」の取り交わし率を100%にすることを目標としました。
また、2010年度は個人情報をインターネット上に開示するSNS「Facebook」が日本でも流行し、個人情報保護を取り巻く社会情勢に変化が見えた1年でした。日本では、個人情報の漏えいや意図しない利用を避けるために個人情報は極力開示しない傾向にありましたが、Facebookの流行により情報主体の個人情報の活用に関する意識が変化する可能性も出てきました。経営層からは、「情報主体は個人情報を保護するよりも、利便性を高めるために個人情報を積極的に開示する時代がきている。お客様も今以上に積極的に個人情報の収集と活用を行なうようになるので、そのサポートをする当社としては、よりわかりやすく、シンプルな手続き方法を開発し運用するように」と指示を受けました。
2011年度は、経営層のこうした意向を踏まえ、シンプルな運用と個人情報管理の継続的改善を図ってまいります。
個別教育の実施
2010年度末に人事担当者への個別教育を行ないました。個人情報を大量に扱う部門への個別教育は2010年度目標の一環でした。当社では一般スタッフの案件と人事部では個人情報の取得から手順が異なります。今回は、人事部の個人情報の取り扱いの手順に焦点をあて、法令と絡めて説明することを心掛けました。実際のフローに即しているのかを確認することで、人事部門の個人情報管理状況を変更することも可能なため今後も引き続き行なっていきたいと考えています。
4月〜6月の予定
- 外部審査準備
- 2011年度目標策定
- 年間スケジュールの策定