2009年10月〜12月 継続的改善活動のご報告

リスク評価の結果、当社の環境に影響を与える業者として2社を特定し、環境協力依頼へ同意していただきました。
依頼の内容として、下記の項目等に同意と返答をいただきました。

2社共に環境に関する意識は高く、共有していただいた内容を参考に、さらなる取り組みの可能性について検討していきたいと考えています。

4月にも1度実施した、電気機器老朽化・漏電による火災を予防するためのチェックを10月に実施しました。
主な作業として、下記事項を行ないました。

事前予防を行ない、安全に作業ができる環境を整えたいと考えています。

11月より、社内でパフォーマンス向上プロジェクトが動きだしました。このプロジェクトの目的は、制作現場であがってきた問題点を解決し、作業効率を向上させることです。問題点が1つではないため、いくつかのプロジェクトにわかれ、問題解決に向け動きだしています。例えば、ファイル管理の方法の統一化を目指すプロジェクトがあります。これは、現在ファイル管理の方法が案件ごとに異なり、案件ごとにルールを把握しなければならず効率的ではないという問題解決を図るためのプロジェクトです。

このように、社内にはまだまだ問題点があります。このパフォーマンス向上プロジェクトでは、半年をかけて問題点の解決を行ない、作業効率の向上を目指していきます。

10月より、ActionScriptLibraryの整備と、Flash案件フローの策定に向けて動きだしました。

1つ目のActionScriptLibrary整備の目的は、ActionScript（Flash）を書く人向けに、効率化のためにMJLのようなLibraryを整備することです。Libraryの整備により、今までスタッフ個人の力量に頼っていたスクリプト開発が社内標準化されるため、品質のバラツキや実装上の不具合などを減らすことが可能になります。

2つ目のFlash案件フロー策定の目的は、クライアントの要求事項を正確にFlash制作者に伝えるということです。現状決まったFlash案件のフローはなく、クライアントと制作者のやりとりはディレクターを通す方法しかありません。これではスムーズにコミュニケーションが取ることができず、伝え漏れや聞き漏れがあるたびに大幅な時間のロスが発生していました。

この問題解決のために、Flash作成の際に必要な仕様書のテンプレート化を行ないました。テンプレート化により、今までコミュニケーションに費やしていた時間を、よりクリエイティブな作業に費やすことが可能になります。

1月からは、いくつかの部門で試験導入を予定しています。この結果を見て全社への改善につなげていきます。

11月より2週間に1度、ディレクターリーダーによるミーティングを行なっています。このミーティングの目的は、ディレクションプロセスの見直しを行ない、より効率的に業務をすすめることです。また、プロセスの見直しによりディレクターの作業フローを共通化することで、制作担当者の作業効率の向上も狙っています。まだ始めたばかりなので問題点が山積みですが、ひとつひとつ解決を目指していきたいと考えています。

11月に全従業員を対象とした情報セキュリティ教育を実施しました。

この教育は、ISO27001の前身であるBS7799の認証を取得した当時から実施しているもので、今年で約10回目になります。例年は当社のセキュリティマニュアルの内容をまとめたテストと資料を配布し、そのテストで及第点を採れば合格としていたのですが、2009年度は新たに講義形式での教育を追加し、当社の情報セキュリティ組織体制から、実際に発生した情報セキュリティトラブルの事例、セキュリティを維持推進するための業務ルールまでの説明を行ないました。

今回の教育方法の変更の背景には、全スタッフに対して行なったマネジメントシステム運用についてのアンケートにて「もっと詳しくセキュリティについて話しを聞きたい」「より高いレベルの教育を行なって欲しい」といった意見が多数よせられたことが理由にあります。PCでの作業を必須とするWeb業界にあって、スタッフのセキュリティ意識が向上していることは大変喜ばしいことです。私たち事務局側もスタッフの要望に応えられるよう、価値ある教育を実施するために創意工夫を凝らしていきたいと思います。

当社には複数のサーバーがあり、サーバーそれぞれに異なる情報資産（データ）が格納されています。それらのサーバーには事業部とプロジェクトのマトリクスにそってアクセス権限が設定されていますが、人員変更や業務範囲の拡縮により、本来あるべきアクセス権と実際のアクセス権の間にかい離が生じていました。このようにして生じるかい離は、一時的な修正作業を行っても、再び発生することが目に見えています。

そこで10月から12月にかけて、即時性が高く且つ適切な権限を付与できるシステムを社内で実装することになりました。実装対象はファイルサーバーとグループウェアサーバーで、共に全社員が頻繁にアクセスするサーバーです。業務のスピード感を損なうことなくアクセス権を付与するために、特定の職務を担うスタッフであれば必要なアクセス権を変更できるようにしました。また、全社員が閲覧する社内ナレッジサイトと、一部スタッフのみが利用するサイトをカテゴリー分けし、階層構造を作り変えることで、グループウェアサイトのユーザビリティ向上を図りました。

実装作業は順調に行なわれ、作業完了後もトラブルは発生していません。この変更により、機密性だけでなく可用性の向上につなげることができました。ただし、今回の変更内容はシステム導入前の運用方法検討段階で想定できる範囲のものだとも考えられます。導入検討のツメの甘さへの反省も含めて、今後のよりよい運用につなげてまいります。

10月から11月にかけて、内部監査を行ないました。今回の内部監査は指摘事項（メジャー）10件、指摘事項（マイナー）4件、観察事項4件という結果でした。

主な指摘事項の1つに、「大規模天災発生時の対応フローが定義されていない」という指摘があります。当社では、災害発生により入居ビルが倒壊した場合に備え、基幹サーバーを複数拠点に分散して設置しています。しかしその復旧フローは、担当者の頭の中にあるだけでマニュアル等に明確に定義されていないため、指摘としてあげられました。年度内に本是正への対応は完了予定です。

そのほか、「ネックストラップの首下げとクリアデスクの実施について、PDCAのC（チェック）とA（アクション）に改善の余地がある」といった、セキュリティ手順の運用面に対する指摘などがあげられました。情報セキュリティに関するルールは、ルールとして規定することよりも、その遵守の確認に大きな労力がかかります。これまでは事務局がルールの策定からその遵守確認までを行なってきましたが、当社の人員増加と各スタッフのリテラシー向上に伴い、各事業部に社内セキュリティの維持の役割を割り当てていく時期に入ってきたと感じます。この点については、今後の当社の課題として検討していきます。

7月に行なわれたプライバシーマークの審査で、審査機関よりいくつかの指摘をいただいていました。その指摘対応が10月中にすべて完了し、無事に認証継続が決定いたしました。

今回の審査結果から、内部監査フローの変更や委託先の管理基準など、様々な改善を行ないました。また、今回が認証取得時の審査を含めて、4回目の審査になりますが、事務局側でも、定型化した運用に慣れ切っていたことを痛感するなど、良い意味で気付きの審査でもありました。

今後、改善した事項などを徹底的に運用することで、社内のセキュリティリスクの低減を図ってまいります。

11月に全役職者及び従業員向けの定期教育を実施しました。今回の教育では、 前回の報告 でも触れましたが、座学中心の教育を実施しました。

2009年も社外では個人情報の事故が絶えない年でした。そのため、社外で発生した事故を引き合いにだしながら、個人情報の運用で気を付けるべき点は何かなど、より運用に重点を置いた教育を行ないました。受講した従業員からも、「今まで曖昧だった運用時に気を付けるべき点が、明確になった。」など、うれしいコメントがありました。