2010年1月〜3月 継続的改善活動のご報告

1月に全従業員を対象とした、マネジメントシステムに関するアンケートを実施しました。

次年度の目標や優先して取り組まなくてはならない事項、事務局では気が付かなかった問題など、改善活動の参考にする目的で行なっているアンケートですが、この試みも3年目となりました。

2009年度の回答では、業務の標準化やスムーズな引き継ぎを望む声が多く聞かれました。2010年度は、この意見を元に改善活動を進めていきたいと思っています。

3月に「経営層による見直し」を行ないました。

内部監査結果、是正への対応状況、外部監査結果、目標達成状況などの報告に加え、現在動いているプロジェクトの進捗状況について報告しました。2009年度は例年になく各方面で自主的にプロジェクトが始まった年でした。

特に各工程のワークフローの標準化を目的としたプロジェクトが多くありました。ワークフローの標準化は、品質にも大きく影響を及ぼします。このことから、今後もプロジェクトの動きを継続して追跡するようにと経営層から指示がありました。プロジェクトのゴールがぶれないよう、またプロジェクトがとまってしまわないように、2010年度以降も積極的にプロジェクトに参加していく予定です。

近年、スタッフの入社や退社に伴い、残念なことですが個人による能力差などのバラツキがみられるようになりました。そこで、業務技術の向上や基礎技術の底上げなど、社内の教育システムを充実化するために2月にトレーニングチームが発足しました。

トレーニングチームは反復的に実施することで技能が定着するようなトレーニングを全社的に強化することを目的とし、その技能習得に必要なトレーニングの実施および管理を行なっていきます。第一弾としてプレゼンテーション能力の向上をテーマにトレーニングを行なう予定です。技術を標準化することで今まで以上の顧客満足を得られるよう努めていきます。

1月に全スタッフを対象としたマネジメントシステム運用についての意見を募るアンケートを実施しました。

完全匿名で行なわれるこのアンケートは、スタッフの生の声を聞ける数少ない機会の一つで、事務局にとっては「なるほど」と思わせてくれるアイデアの宝庫です。今回のアンケートでも、プリントアウトの規制案や教育方法の提案など、当社で実施しているセキュリティ施策についてたくさんの指摘や改善のための提案の声を聞くことができました。

2010年度の目標はこのアンケートから生まれた案を柔軟に取り入れながら策定していきます。

2月から3月にかけて、情報資産のリスクアセスメントを行ないました。

2009年度も例年と同様、事務局が主体となって各部署の情報資産の棚卸しを行ない、当社独自に策定したリスクスコアリング手法によって重要度とリスクの評価を行ないました。

2009年度のリスクアセスメント結果は、当社の事業内容に変更がなかったこともあり、2008年度と比べてほぼ変更点はありませんでした。しかし、今回のリスクアセスメントを通して現状のリスクアセスメント手法の問題点を2点発見することができました。

1点目は、業務フローとひもづいたリスク評価が行なわれていないという点です。当社のリスクアセスメントでは、すべての情報資産の評価を事務局員が行ないます。そのため、業務フローへの理解が浅い事務局員が作業にあたると、リスクが適切に洗い出されず、事実とそぐわない評価結果が評定されてしまいます。この点は、各部門で情報資産の棚卸しとスコアリングを実施するなどの改善が必要だと考えています。

2点目は、「脅威」と「脆弱性」の評価が、現在のリスクアセスメント手法では算定しきれないという点です。当社は4段階で「脅威」と「脆弱性」を評価しています。現在の4段階の評価基準では、既にある程度のセキュリティ対策（例えばアクセス権限設定など）が施されている場合、そこに新たなセキュリティ対策を施したとしても評価が変わらないケースがあります。その様なケースが昨今では多くみられるようになってきたため、基準の変更または4段階を8段階にするなどの見直しを実施する予定です。

3月に経営層による見直しを行ないました。経営層による見直しでは、2009年度の活動報告のほか、内部監査および維持審査の結果やその後のフォローアップの進捗状況、来年度の課題について報告を行ないました。

それらの報告に対して経営層からは「システムは壊れている箇所があるに違いないという目で見つめれば、より可用性の高いシステムを作れるのではないか」といったコメントや、当社代表からは「簡素化（シンプリシティ）に重きをおくことで、全スタッフが理解でき、行動しやすい仕組み作りを目指してもらいたい」という、来年度のISO27001の運用方針となるコメントをいただきました。

日頃事務局から配信しているセキュリティ啓蒙メールや、当社のセキュリティ関連マニュアルは全スタッフにわかりやすいよう噛み砕いた文言で記載しているつもりでしたが、読み返してみると内容が回りくどかったり、説明が長かったりという文言がいくつか見受けられました。2010年度からの情報配信においては「軽く読んでみよう」という気持ちで読み切ることができ、且つ理解できる情報配信に努めていきます。

2009年度は、更新審査で点検方法を大幅に変更しました。ほかのマニュアルと同期を図ることを目的に、個人情報管理マニュアルを全体的に見直しました。これにより、個人情報を扱う上での役割や責任などが現場に伝えきれていないという問題点が明らかになりました。

今後は、マニュアルを整備することで手順の浸透を図り、スタッフ一人一人に役割や責任を再認識させていきたいと考えています。

2009年度から新しくリスク点検の運用を開始しました。社内の個人情報リストを基に、定期的にリスク点検を行なっています。1月から3月の点検では、55件中8件に是正を求めています。

今回、運用状況の確認をわかりやすくするために、記録の様式を変更しました。このため改善を要する部署が一目で判別できるようになり、2010年度からはさらに効率的に運用ができるようになり、改善が期待できると思います。

現在弊社と取引のある企業から、2008年度よりも多くの個人情報管理に関するアンケートや依頼書をいただきました。いただいたアンケートや依頼の多くが、過去に回答した内容の進捗状況などの定期監査でした。

個人情報保護法が施行されてから、2010年4月1日でちょうど5年目になります。個人情報保護法の中にある「委託先の監督責任」の項目を遵守するために、2005年から2006年にかけて、多くの企業で委託先の監督方法の見直しが行なわれたことが想定されます。アンケート等を通じての監査方法がようやく定着し一巡したことで、監査方法が定形化され、依頼する側にとっても、依頼される側にとっても運用が波に乗ってきたように感じています。

当社の場合は、アンケートは「改善の機会」と捉え、対応できていない項目は優先的に改善を行なってきました。その結果として、多くの企業からいただく内容については、ほぼ対策が完了し、運用フェーズに入っています。今後はこれらの対策について、さらなる啓蒙を行なうことで、徹底を図っていきます。