2013年4月〜6月 継続的改善活動のご報告
各システムの要約
- ISO9001
-
認証更新審査の受審
- ISO27001
-
認証更新審査の受審
- JIS Q 15001
-
プライバシーマーク更新審査の受審
ISO9001(品質マネジメントシステム)
2013年度目標策定
2013年度の品質目標を策定しました。
2012年度の継続審査で各業務に合わせた目標を策定することが望ましいという観察事項をいただいていたこともあり、2013年度は経理、人事などの間接業務を行なう部門を含め、業務ごと(部署ごと)に目標と、目標達成に向けたスケジュールを策定しました。
各部門の目標達成に向け事務局も精一杯協力していきたいと考えています。
再認証審査の受審
5月にISO9001認証更新審査を受審しました。2013年度もISO27001と統合で行なわれました。
結果としてメジャー、マイナーともに不適合はなく、観察事項(改善を検討 またはGoodPoint!)を9001で20件、共通で6件いただきました。
観察事項の一つとして、品質目標の未達成や実施スケジュールからの遅れについて、原因の特定と以後のコントロールをするようにと指摘を受けました。これについては以前からの課題でありましたので適宜スケジュールの見直しや目標自体の見直しを図っていく必要があると感じています。
7月〜9月の予定
- 法規制登録簿の見直し
- 経営層への教育
- 内部監査の実施
ISO27001(情報セキュリティマネジメントシステム)
認証更新審査の受審
5月に認証更新審査を受審しました。審査結果は軽微な不適合1件、観察事項20件(うち2件はGood Point!)となり、認証の更新が決まりました。
今回の審査で指摘された1件の軽微な不適合は、「メールにファイルを添付してお客様に送る際は、情報の重要度に関係なく全ての添付ファイルをパスワード保護するルールとしているが、パスワード保護がなされていない事例が一部みられる」という内容の指摘でした。
当社では上述の通りのセキュリティ手順を定め、日常的な啓蒙と教育を実施しているのですが、業務上メールにファイルを添付してのやりとりが非常に多いため、忙しくなるとついついパスワード保護をかけ忘れてしまうという事象が発生しがちで、これまでもリスクとして認識していました。
今回の指摘を受けて、まずはすぐに行なうことのできるアクションとして再啓蒙を行ないましたが、それだけでは根本的な解決にならないため、コストと発生頻度を鑑みて妥当な対応策を引き続き検討していきたいと考えています。
グループ会社に対するセキュリティ監査の実施
6月にグループ会社である株式会社24-7に対するセキュリティ監査を実施しました。
当社ではお客様から受託した業務の一部をグループ会社に委託し、グループ会社と連携しながら業務を進めることがあります。業務の委託にあたっては、グループ会社も当社と同水準のセキュリティが維持されていることが求められるため、当社主導でグループ会社に対するセキュリティ監査を定期的に実施しています。
6月に実施した監査では、セキュリティ手順の文書化や、メール誤送信に備えた仕組みに関するアドバイスなど、企業規模に見合った比較的対応しやすい部分について改善要望をだしました。今後、グループ会社の規模の拡大も想定されますので、上手く連携しながらセキュリティの維持・向上のためアプローチを行なっていきます。
7月〜9月の予定
- 役職者向けセキュリティ教育の実施
- 内部監査の実施
JIS Q 15001(プライバシーマーク)
プライバシーマーク更新審査受審(文書審査)
プライバシーマークの取得事業者は、2年に一度更新審査を受審する必要があります。
今年は、2年に一度の更新審査受審に当たる年です。
2年前の更新審査から現在まで、個人情報保護マネジメントシステムに沿った体制構築や運用を行なってきたことを審査機関にお伝えする必要があります。
審査は「文書審査」と「現地審査」の受審があり、まずは「文書審査」が行われます。
2年間対応してきたことを必要書類にまとめ提出し、文書審査は大きな問題はなく、適合しているとの結果を5月に受領いたしました。
プライバシーマーク更新審査受審(現地審査)
「文書審査」にて適合の結果を受領してから、現地審査(審査機関から外部審査員の方が訪問し、実際に個人情報マネジメントシステムのPDCAサイクルに沿った運用がなされているかを確認する審査)が行なわれます。
現地審査は6月中旬に実施され、概ね問題なくマネジメントシステムの運用がされているとの評価をいただきましたが、記録への軽微な記載漏れや個人情報事務局で認識していなかった箇所(来訪者へ監視カメラ撮影実施中の公表やサイトへ“開示対象個人情報”という表記を記載することの必要性)について、いくつか指摘をいただきました。
いただいた指摘については、現地審査受審から3カ月以内に改善報告書を作成し、審査機関に提出しなければいけません。また、この指摘への対応をクリアできないとプライバシーマークの更新が認められません。
早急に必要な改善を行ない、プライバシーマークの更新が無事できるよう対応を進めていきます。
7月〜9月の予定
- 役職者向けのマネジメント教育
- 内部監査
- 定期点検(個人情報取扱い案件の状況確認および新規取扱い案件の有無確認)