2013年1月〜3月 継続的改善活動のご報告
各システムの要約
- ISO9001
-
内部監査の実施
- ISO27001
-
経営層による見直しの実施
- JIS Q 15001
-
プライバシーマークの認証更新申請
ISO9001(品質マネジメントシステム)
内部監査の実施
2月から3月にかけて、ISO9001、ISO27001、JIS Q 15001の統合内部監査が実施されました。
統合内部監査の結果、メジャー不適合0件、マイナー不適合0件、観察事項(オブザベーション)9件(うちGood Point!! 3件)となり、そのうちISO9001に関係する指摘事項は、観察事項(オブザベーション)2件でした。
今回の監査で「周知徹底不足」について認識の見直しが望ましいという改善要望を受けました。
今まで、内部監査を実施するたびに「周知徹底不足です」をいう指摘を受けてきました。
そのたびにメールや、ミーティングなどで該当するものにつき再度告知をし、周知を行なってきましたが、あまり効果が見られませんでした。
今回の指摘は本当に周知徹底しなければならない事項は何なのか?という根本的な部分への指摘ですが、従業員に理解してもらわなければならない最重要事項は何なのかということを初心に戻り明確にしていくことで、社内でのISO9001への理解度、協力度の向上につなげていければと考えています。
経営層による見直し
3月に経営層による見直しが実施されました。
2012年度の報告を経営層に行なったのですが、経営層からはバランススコアカードの視点を取り入れて、より一層、経営の視点で品質の向上を目指してほしいとの意見をいただきました。
まずは2013年度の目標策定にバランススコアカードの視点を取り入れ、どのように達成を目指すかを検討していこうと考えています。
また、経営的な視点からルールの重要度をあらためて考慮したうえで、定着したルールのプロセスチェックの運用を軽くするなど、効率的なマネジメントシステムの運用を目指します。
4月〜6月の予定
- 2013年度目標策定
- 継続審査
ISO27001(情報セキュリティマネジメントシステム)
情報資産のリスクアセスメントの実施
1月から2月にかけて、当社が保有している情報資産の棚卸と、棚卸により特定された情報資産に対するセキュリティリスクの評価(リスクアセスメント)を行ないました。
棚卸により発見された情報資産は、事務局がその管理責任者と現在の管理状況を確認し、妥当な管理方法でなければ管理方法の改善を担当部門へ依頼します。2012年度の棚卸では新たに営業支援のための集計データなどが確認されましたが、担当スタッフがセキュリティ面にも配慮した適切な管理を行なっていましたので、事務局からの改善依頼は必要なく、現状を確認するのみとなりました。
この一連の確認手順を全社が保有する全ての情報資産に対して行なうことで、当社が保有する情報資産のセキュリティは維持されています。対象となる情報資産が多く、事務局も相当の稼働をかけて行なう作業ですが、翌年度の活動内容を検討するうえでベースとなる資料にもなりますので、抜け漏れなくスケジュール通りに実施されます。
ただし、現在のリスクアセスメント作業はあまりにも手間がかかるため、実効性を保ったままより効率的に行なう方法を継続して探求していきます。
経営層による見直しの実施
3月に経営層による見直しを行ないました。経営層による見直しは、1年間の活動内容と来年度に向けた課題を経営層に報告する、年間の活動を締めくくるイベントです。
事務局からの活動報告を受けて、経営層からは次の様なコメントをいただきました。
1. 内部監査を行ない、子会社のセキュリティ対策を強化すること。
これは2013年2月に当社の子会社となった企業へのアプローチ方法に関する指摘です。子会社化に伴い、業務情報のやりとりが活発に行なわれることが想定されるため、今後はセキュリティ管理体制についても当社と同レベルの水準まで引き上げるためのアプローチを行なっていきます。
2. 社内から寄せられるセキュリティに対する意見には、放置すると事故につながる恐れがあるものもあれば、自己やチームの便益のために寄せられる意見もある。ひとつひとつの意見の根拠と妥当性をしっかり確認したうえで判断し、対応していってもらいたい。
当社ではセキュリティ運用に関してスタッフの生の声を集める機会を設け、そこであがった意見を実際の運用と手順作りに生かしています。
毎回多くのスタッフが知恵を絞って意見を出してくれます。理想的だと思われる運用案も多数いただくのですが、やはりそこはコストとの兼ね合いで、その仕組みの導入に多額の費用を要するとか、事務局のリソースを超えた負荷がかかるといった部分で導入が難しい意見もあります。セキュリティに関する手順で重要なことは、セキュリティ施策の有効性とコストのバランスがとれていることですので、経営層の意向に沿えるよううまく意見を取捨選択しながら運用に生かしていきたいと考えています。
4月〜6月の予定
- 2013年度目標策定
- 基幹サーバーのリプレイス
- 認証更新審査に向けた準備
JIS Q 15001(プライバシーマーク)
プライバシーマーク認証更新申請
2013年度はプライバシーマークの認証更新審査の受審を予定しています。
1月から3月にかけ、申請に必要な提出書類の準備やドキュメントの再確認、あらためてフローの見直しを実施しました。3月末には無事申請書類を提出し、後は審査日の連絡を待つのみです。
2013年度、問題なくプライバシーマークの認証更新ができるよう、日々の運用をしっかり行なっていきたいと考えています。
内部監査の実施
2月から3月にかけて、ISO9001、ISO27001、JIS Q 15001の統合内部監査が実施されました。
内部監査の結果、各マネジメントに共通で二つの観察事項が出されました。
指摘の概要は以下の通りです。
- 周知徹底を行なうべき事項の検討および実施不足への指摘
- 責任者変更に伴う引継不足への指摘
まずは、事務局内にて対応計画の策定を行ないます。
経営層による見直しの実施
3月に「経営層による見直し」を行ない、2012年度の事務局の活動内容や2013年度に取り組むべき課題、マネジメントに影響のある事項について報告を行ないました。
活動内容や課題の報告に対しては、セキュリティに関連した内容が主で、特に管理体制の見直し検討などの指示をいただきました。
2013年度はISO27001と連携しながら検討および対応を進めてまいります。
4月〜6月の予定
- 2013年度目標策定
- 外部審査準備
- 専門業務部門への個別教育実施