2011年7月〜9月 継続的改善活動のご報告
各システムの要約
- ISO9001
-
ISO9001/ISO27001の統合継続審査の受審
- ISO27001
-
PCハードディスク暗号化ツールの導入
- JIS Q 15001
-
2年に一度のJISQ15001更新審査の受審
ISO9001(品質マネジメントシステム)
ISO9001/ISO27001の統合継続審査を受審
今回の継続審査はでは、マイナー不適合の指摘1件と観察事項23件をいただきました。
マイナー不適合の内容は、製品に対する品質目標が不明確であるということでした。この指摘に対しては、年度目標と整合性をとりながら事業分野ごとの目標を立てていくという是正計画を審査会社に提出し、承認をうけることができたため、認証の継続が認められました。また、その他の品質に関する指摘では、力量に関するものがいくつかありました。技術の進歩やトレンドの移り変わりが激しいWeb業界では、各職種に求められる力量も頻繁に更新されるため、力量の判断は難しい問題ではありますが、今後人事と協力をしながら対策を講じていきたいと考えています。
指摘事項では、昨年度の内部監査で指摘をうけたところがよく改善されているということで、GoodPoint!!の報告をうけました。改善活動がすすんでいることが認められ、大変うれしく思っています。
会社案内トレーニングの実施
4月に新入スタッフが多く入社したこともあり、昨年度より実施していますプレゼントレーニングの中から、2回目の会社案内トレーニングを実施しました。対象者は昨年度の実施で80点に満たなかったスタッフと、その後入社したスタッフです。昨年度は初めてのトレーニングとあって合格点は60点と少し低めに設定していましたが、2回目となる今年は70点に変更し行ないました。
2回目ということで慣れもあるのかもしれませんが、昨年度よりも点数が高い合格者が多く、1年間の成長を感じられました。新入スタッフも初めてのことで緊張していましたが、事前にセミナーを開き、ポイントを伝えていたこともあり、なかには一度で合格する人もいました。また、一度不合格になっても、二度目には合格していました。
トレーニングを始めて1年がたちますが、初めは内容がまとまらずうまく話せなかったスタッフが段々と要点をまとめた話し方ができるようになるのを目の当たりにし、トレーニングの効果を実感しています。案件の対応なのでなかなか実施できないこともありますが、継続して実施していきたいと考えています。
10月〜12月の予定
- 内部監査の実施
- 品質マネジメントシステム教育の実施
ISO27001(情報セキュリティマネジメントシステム)
PCハードディスク暗号化ツールの導入
9月にPCのハードディスク暗号化ツールを導入しました。
これまで当社ではBIOSパスワードとユーザーアカウント認証のみでPCのセキュリティを確保してきました。しかし、フロント業務を行なうスタッフの外出件数が増え、かつPC内にクライアントが所有するサーバー情報をどうしても格納せざるを得ないケースもあるため、PCの盗難・紛失に備えたさらなる対策としてハードディスク暗号化ツールを導入しました。
少し前のハードディスク暗号化といえば、データ読み書き速度低下やPC故障時にデータ復旧できないなど問題が多く、当社では可用性が担保できないため導入を見送ってきました。それが最新OSではハードディスク暗号化ツールが標準搭載となり、前述の問題もほぼ解消されています。
今回の暗号化ツールの導入により、システム面のセキュリティを向上させることができましたが、ツールの導入だけではセキュリティを維持することはできません。次のアクションとして11月に全社に対して情報セキュリティ教育を実施するので、そこでスタッフ一人一人のセキュリティに対する意識付けも十分に行ないたいと思います。
オープンソース(jQuery Mobile)の脆弱性発見に伴うクライアント通知
8月にオープンソースライブラリであるjQuery Mobileにクロスサイトスクリプティングの脆弱性が発見されました。
jQuery Mobileは少ないソースコードで簡単にスマートフォン向けのWebサイトを作成することができる、優れたフレームワークです。当社でもいくつかの案件でjQuery Mobileを使用しています。
今回jQuery Mobileに脆弱性が発見されたことに伴い、当社が制作したWebサイトのなかでjQuery Mobileが用いられた案件を特定し、脆弱性のない最新バージョンへアップデートしていただけるようクライアントへ通知を行ないました。
ApacheやRuby、MySQLをはじめとするオープンソースは優れた機能を実現できるツールである反面、ソースの記述形式によりどうしても脆弱性が生まれてしまうことがあります。セキュリティの脆弱性に関する情報はJPCERTやIPAのサイトから確認することができますので、定期的に情報を確認し、今後も必要に応じてクライアントへ通知するなどの対応を実施していきます。
10月〜12月の予定
- ファイルサーバーバックアップシステムの見直し
- リスクアセスメント手法の見直し
- 全社情報セキュリティ教育の実施
JIS Q 15001(プライバシーマーク)
Pマークの更新審査の受審
7月に2日にわたってPマークの更新審査があり、合計17件の指摘をうけました。
この指摘から、マニュアルや様式の見直し、社内の個人情報の洗い出し、また社内フローの改善などを、社内のプロジェクト管理ツールを利用しながら、ISO27001の担当者と連携してひとつひとつすすめています。
あらためてマニュアルを見直していると審査指摘箇所以外にも、新たな改善箇所が見つかったりしてうれしい効果もありました。10月末には全ての指摘事項への対応が完了する予定となっています。
外注委託先の評価を実施
外注委託先の評価を1年に一度行なうことになっていますが、今回の評価は審査での指摘を踏まえ、現在取引のあるパートナー企業および委託先へ、個人情報保護においての取り組み状況を漏れなく調査しました。パートナー企業の回答を基に、個人情報の委託が可能か判定を行ないました。委託先の評価リストはパートナーの管理を行なう部署と共有し、連携してメンテナンスしていく予定です。
10月〜12月の予定
- 審査指摘事項への対応
- 内部監査の実施
- 全社プライバシー教育の実施