2012年1月〜3月 継続的改善活動のご報告
各システムの要約
- ISO9001
-
社内セミナーの充実化
- ISO27001
-
経営層による見直しの実施
- JIS Q 15001
-
経営層による見直しの実施
ISO9001(品質マネジメントシステム)
経営層による見直しの実施
3月に「経営層による見直し」を行ないました。外部審査結果、内部監査結果、是正への対応状況、目標達成状況などを報告し、次年度に向けた活動の方針などのフィードバックを受けました。
2011年度の改善活動は、例年と比較して計画通りに進めることができませんでした。
東日本大震災の影響も少なからずありましたが、品質目標達成に向けた活動を進めていく中で、手段を何度か見直す必要が生じて、3歩進んで2歩後退のような状態が続いてしまったのも目標達成に至らなかった要因でした。
一方、2010年度に問題が多くあった外注管理のフローの見直しや、案件フローの改善はしっかりと行われ、改善に結びついたのは大きな成果でした。
別の問題として、品質目標がなかなか現場スタッフに浸透しないという問題もありました。
部門の目標と品質目標をすり合わせる努力が欠けていたと反省しています。
2012年度は、部門長と協力しながら品質目標を策定していきます。
社内セミナーの充実化
ミツエーリンクスには数多くのサービスが存在します。このサービスを理解するためにサービス理解のための勉強会を始めました。今までにSEOコンサルティング、アクセス解析サービスの勉強会を実施しましたが、自主的な参加を強調し、「やらされ感」を取り除いていること、出席できなくても動画で確認できるようにしたことによって好評を得ています。今後も月に1度の頻度で継続していく予定です。
また、中途入社者のための勉強会開催も予定しています。2012年度は社内教育の充実を目指していく予定です。
4月〜6月の予定
- 2012年度目標策定
- 内部監査の実施
ISO27001(情報セキュリティマネジメントシステム)
経営層による見直しの実施
3月に「経営層による見直し」を行ない、2011年度の審査結果と事務局の活動内容、2012年度に向けての課題等について経営層に対して報告を行ないました。
事務局の報告をうけて、経営層からは以下のコメントを頂きました。
- 「スタッフの稼働に影響を与えるシステムは問題が発生したら直ちに対応するように。少なくともいつ問題が解消するかを明確にし、関係者に対して告知を行うこと。」
- 「システム利用時に用いるアカウントの管理は人事部門と連携し、確実且つ迅速に対応を行うように。」
- 「11年間のISMSの運用を通してシステムが必要以上に複雑化している。そのために、スタッフにも多くの情報をインプットしなくてはいけない。あれもこれもではなく最も優れたシステムだけを残し、頑丈でシンプルな仕組みを作っていってもらいたい。」
社内システムの機密性は一定水準まで高まっていると思いますが、可用性は改善すべき点がいくつもあります。2012年度はシステムの簡素化と可用性の向上を目指し、スタッフがストレスなく使えるシステム作りを考えていきたいと思います。
情報資産のリスクアセスメントの実施
1月から2月にかけて情報資産のリスクアセスメントを行ないました。
「
2011年10月~12月 継続的改善活動のご報告
― 情報資産リスクスコアリング手法の見直し」の中でも述べましたが、2011年度のリスクアセスメントは新たな手法での実施です。
以前の手法はCIA(機密性、完全性、可用性)、「脅威」、「脆弱性」を一定の評価基準のもとスコアリングし、それら全てを乗算することでリスク値を算定するというものでしたが、結果としてリスクの大きさが漠然と評定されるだけで、次のアクションである施策の検討につなげにくいものでした。
そこで見直された新たな手法が、CIAの各要素それぞれに「脅威」と「脆弱性」を乗算し、CIAの各要素それぞれにリスク値を算定するというものです。この手法では、CIAの中でもどの要素にリスクが潜んでいるのかがはっきりと数値で分かり、施策を検討するうえでもよい指標となりました。
変更点だけ見るととてもシンプルな変更ではありますが、パワフルな効果を生んでいます。
リスクアセスメント全体の手順を見ると、まだまだ改善すべき箇所が多く見受けられますので、少しの変更で大きな効果が得られるポイントを探していきたいと思います。
4月〜6月の予定
- バックアップシステムの見直し
- 内部監査の実施
JIS Q 15001(プライバシーマーク)
経営層による見直しの実施
3月に「経営層による見直し」を行ない、2011年度の活動内容、目標達成状況などを報告しました。経営層からは次年度の活動指針などのコメントをいただきました。
「アンケートフォームの開発など、顧客が個人情報を収集するケースでは、当社がサーバのアクセス権を保有するのかどうかなど顧客側との取決めが必要だが、取決めがスムーズに進むように事務局側で工夫をするように。また当社がアクセス権を保有する場合には、実効性のある管理を行うように」
2012年度は経営層からのコメントに対応する形で目標を設定し、アクションプランを立てていこうと考えています。
4月〜6月の予定
- 内部監査の実施
- 2012年年度目標及びアクションプランの計画