2008年10月〜12月 継続的改善活動のご報告

2008年度の定期教育テストは、経営層・部門長と一般スタッフのテスト内容に相違を持たせて実施しました。これは、2007年度のISO9001/ISO14001統合審査にて「各職務レベルに応じた教育をさらに検討することにおいて改善の余地があります。」という指摘事項への対応として、2008年度の年間教育計画にて決定しました。

教育を別に行なうことは、指摘への対応としてだけではなく、組織が大きくなるにつれて経営層・部門長などの役職者への要求が変化してきたことへの必然的な対応でした。特に経営層・部門長に対して、各自の役割や、スタッフへの周知や啓蒙活動を率先して行なう必要性を認識する機会として、このようなかたちで教育を行なえたことに意味があったのではないかと思います。

一般スタッフへのテストでは、日常的な手順や環境マネジメントについて再確認を実施しました。再確認ということで、テスト提出者全員がおおむね問題なく終了しました。また、両テストともに未提出者などへの補習も実施し、全従業員への教育が完了しています。

今回はテスト形式で教育を行ないましたが、未提出やテスト実施時の不正への対応など、いくつかの課題が出てきました。2009年度の教育計画の際に教育方法の検討を提案する予定です。

第3四半期も第2四半期に引き続き「エコキャップ推進委員会」にエコキャップを寄付いたしました。トータルでキャップ14,320個、ワクチン17.9人分となりました。ゴミとして焼却処分すると、キャップ400個で3,150gのCO2が発生するということですので、112,770gのCO2を削減したことになります。毎日少しずつエコキャップの回収BOXが増えていく様子を見て、スタッフの取り組みと優しさに感心させられています。

2008年度の目標の一つに検品結果のレポートを納品物の一つに組み込むというものがあります。検品結果のレポート化により、検品の品質を維持・向上させ、今まで以上にクライアントの信頼を深めることがねらいです。

開発リソースが足りず、年度始めに立てた予定よりスタートが遅れてしまいましたが、9月に改めてスケジュールを策定し、同時にプロジェクトをスタートしました。現在はシステムの開発中です。レポート作成に当たっては、極力システム化をすることによって検品漏れをなくし、レポート品質の均一化を図っていきます。

今後の予定としては、システム開発完了後に実際の案件にてテストを実施。テスト結果をもとに修正を行ない、5月には実際に案件に適用し、クライアントにレポートを提供する予定です。

10月から11月にかけて、全スタッフを対象とした情報セキュリティ教育が実施されました。2008年度の教育はテスト形式で行なわれ、各スタッフは配布された問題用紙の問いに対し、ISO27001の推進体制や業務上のセキュリティ手順が書かれた資料を確認しながら解答を行ないました。その結果、95％のスタッフが及第点を採り、未提出等の理由で不合格となった5％スタッフについては、管理副責任者による補習が行なわれました。

テストや補習を通じて、部門長がより一層セキュリティ意識を持って情報の取扱いを行なう必要があると感じました。次年度以降の教育の課題として検討していきたいと思います。

11月から12月にかけてISO27001の内部監査が行なわれました。内部監査結果はメジャー不適合12件、マイナー不適合3件、観察事項9件でした。主な指摘事項としては「マニュアルとは異なる手順で相互監査が行なわれている」「特定ファイルサーバーの使用ルールがマニュアルに明記されていない」など、スタッフの業務手順を規定したマニュアルへの指摘が多くみられました。

現在、社内では職務別に管理責任者向け・システム管理者向け・一般スタッフ向けのマニュアルが作成されているのですが、前回のマニュアルの見直しから半年以上経過しているため、現状の運用との乖離が発生しているようです。内部監査で指摘された事項を踏まえ、今年度中にマニュアルの全面的な見直しを行ないます。

12月にメール誤送信を予防するためのツールを全社的に導入しました。これは、11月にメール誤送信によるトラブルが発生し、同様の事象を発生させないために行なった対策です。現在は定期的な注意喚起を行なうと共に、メーラーにアドインを導入し、[送信]ボタン押下後に宛先確認ダイアログが表示されるよう設定が行なわれています。この対策によりメール誤送信のリスクが抑えられました。

1月からはリスクアセスメントが始まります。2007年度の反省点を踏まえ、より効率的で実効性の高いリスクアセスメントを実施するため、現在実施手順の見直しを行なっています。

10月から11月にかけて2008年度の内部監査を実施しました。2006年に規格改訂されたJISQ15001:2006に対応後、初めての内部監査となり、マニュアルや運用上の問題点を具体的にピックアップすることができました。指摘事項の内訳はメジャー指摘事項3件、マイナー指摘事項3件、観察事項2件の計8件にまとめられています。12月から1月にかけて、個人情報管理事務局を中心に運用体制の見直し作業に入っています。

一例を挙げると、部門によって目的の異なる個人情報を取り扱う現状を考慮し、個別の研修を強化すべきではないかとの指摘がありました。直近の対策として、個別の研修プログラムを準備し、1月に2部門へ臨時の研修を行なう予定です。

10月から社内へのメルマガ配信を開始しました。月に1〜2回の頻度で、ルール周知と事故防止が主な目的となります。個人情報のルールに触れる上でのかたくるしさや抵抗感を減らすため、例え話やQ&A形式など読みやすさに配慮して配信を続けています。

11月には、全スタッフを対象とした教育が実施されました。2008年度の教育計画に基づき、テスト形式にて実施、80点以上を合格としました。全スタッフの約5％が不合格となりましたが、個人情報管理事務局による補習を行ない、社内ルールの理解に努めました。また先に挙げました通り、内部監査にて個別研修の必要性が指摘されています。2008年度の教育結果を踏まえ、来年度の教育計画へ改善策を盛り込んでいけるよう検討を進めます。

12月にはリスク対策の一環として、これまでクライアントからお預かりした個人情報のリスク評価に取り組みました。リスク評価のスコアリング作業自体のコストを考慮して、シンプルなチェック表を作成し個人情報管理事務局で運用しています。