2010年4月〜6月 継続的改善活動のご報告
各システムの要約
- ISO9001
-
ISO9001/ISO27001の統合審査の受審
- ISO27001
-
携帯電話端末のセキュリティ強化
- JIS Q 15001
-
経営層の見直しの実施
ISO9001(品質マネジメントシステム)
ISO9001/ISO27001の統合審査の受審
5月にISO9001/ISO27001の統合審査を受審しました。
2009年度末よりISO9001とISO27001の統合に向けマネジメントシステムの見直しを行なってきました。この統合の目的は、品質の業務フローとそれに関連する情報セキュリティのリスクを結びつけ対策を講じることで、より効率的かつ効果的にセキュリティを強化することにあります。
今回の更新審査は統合後初めての審査となりました。その結果、マイナー指摘1件と観察事項15件をいただきました。指摘事項の中には統合についてのコメントは特になかったこともあり、統合したマネジメントシステムがうまく運用されていると判断しています。ただし、各マネジメントシステムの担当者が、担当ではないマネジメントシステムの知識が乏しいなどいくつかの課題が見えましたので、今後はその課題を解決することで、より効果的に統合したマネジメントシステムを運用していきたいと考えています。
また、マイナー指摘については既に是正計画が終わり、無事に認証を更新しています。
プレゼンテーショントレーニングの実施
全フロントスタッフを対象に、5月よりトレーニングチームによるプレゼンテーションのトレーニングを開始しています。社内で策定したプレゼンテーションガイドラインにもとづき評価軸と合格ラインを決め、聴講者が評価を行なっています。
ロールプレイング形式であるということ、ビデオ撮影を行なっているということ、撮影した動画が社内のイントラネットで公開されるということで緊張するスタッフが多いのですが、自分がプレゼンテーションをしている姿を客観的に見ることで気づく点が多いようです。トレーニングを受けたスタッフからも、自分の話すときの癖などを把握するのによいと好評を得ています。
今後はこのトレーニングを定期的に継続できる仕組みを策定し、実施していきたいと考えています。
7月〜9月の予定
- 内部監査の実施
- 教育の実施
ISO27001(情報セキュリティマネジメントシステム)
更新審査の受審
5月に更新審査を受審しました。今回は当社にとって初めてISO9001(品質)とISO27001(情報セキュリティ)の統合形式で審査が行なわれました。審査結果は観察事項15件(うち4件はGood Point!)、不適合(マイナー)1件でした。不適合についても、対応計画を策定し、審査機関の承認が得られましたので、無事に認証の更新が決まりました。
現在当社では、審査だけでなく運用面についてもこのふたつのマネジメントシステムの統合を進めています。この統合の背景には大きくふたつの狙いがあります。
まずひとつが「マニュアルを一本化することによる現場の理解度向上」です。既存の当社のマニュアルは、ISO9001(品質)とISO27001(情報セキュリティ)で個別に、しかも複数作成されており、現場スタッフが社内フローを確認したいと思ったとき、多くのマニュアルを参照する必要があります。そのせいか、現場スタッフもあまりマニュアルを見ていないようで、フローの周知が不十分になりがちです。今回のマニュアルの統合はその改善を狙ったもので、参照性が高く、関係する手順を見つけやすいマニュアルに作り変えることで、業務手順の理解度向上を図ろうというものです。
そしてふたつめが「シナジー効果による実効性の向上」です。ISO9001で求められる品質を確保するための業務手順に、ISO27001で求められる機密性・可用性・完全性の視点を加えることで、より品質が高くかつセキュリティに富んだ業務手順を生み出すことのできる可能性が生まれます。
今後はISO9001の事務局担当者が持つナレッジをうまく取り入れながらセキュリティ手順を策定し、当社にとってのマネジメントシステムの価値をより高めていきたいと思います。
携帯電話端末のセキュリティ強化
6月に携帯電話端末の見直しを行ないました。今回の見直しの目的はセキュリティ強化です。
これまで当社では、暗証番号による端末ロックを施す程度で、それ以上のリスク対策は行なってきませんでした。また、管理側も積極的に携帯電話使用についての監査は行なっておらず、何があってもおかしくない状況と言えたと思います。幸いこれまでセキュリティ事故は発生していませんが、スタッフ数が増え、携帯電話貸与台数が増えることも想定されるため、本格的な携帯電話端末へのセキュリティ施策の導入を決めました。
今回の製品選定のポイントは「第三者が利用できない」「リモート管理が可能」「監査が可能」という3点で、それについて携帯電話3キャリアの比較検討がなされました。
最終的には法人向けの携帯電話を導入することに決まりました。しかし、必要な機能は満たせたものの、その機能を利用して監査するためのフローはまだ十分に定義されていないため、引き続きその点について検討を進めていきたいと思います。
7月〜9月の予定
- サーバー復旧試験の実施
- ISO9001とISO27001のマニュアルの統合
- HD暗号化ツールの検証
JIS Q 15001(プライバシーマーク)
経営層による見直しの実施
4月に「経営層による見直し」を行ないました。今回の「経営層による見直し」では、主に2009年度のJIS Q15001の活動や、現在の部署ごとの個人情報管理体制、管理上の問題点、2010年度の改善についての提案事項などを経営層へ報告しました。
2009年度の主な活動は、リスク点検の方法を変更したことです。2008年度まで特に時期を定めず行なっていた点検業務を、四半期に1度確実に各部署で実施できるような仕組みに変更しました。また、経営層への報告を毎月行なったことで、管理上の問題が明確になった時点で対象部署へ是正指摘を発行できるようになりました。ただし、年度末は繁忙期ということもあり是正が未対応の部署もありました。
是正未対応による影響は、社内だけでなく社外的にも大きな影響をあたえる可能性が十分にあります。このことから個人情報を取り扱う案件では、案件担当者にさらに安全管理を意識させるためにも、お客様と「個人情報の取り扱いに対する合意書」の取り交わしを必須化することを経営層に提案しました。
提案に対し経営層からの指示として、
- 「個人情報取り扱いに対する合意書」の締結までのフローを明確にすること
- 締結の意義を周知することで、現場からの協力を得やすい環境を整備すること
などがありました。
2010年度もこうした経営層の意向を踏まえ、年度目標を立案し、引き続き個人情報管理体制の改善を進めていきます。
個人情報の取り扱いに対する合意書の取り交わし
当社では、これまで個人情報を取り扱う対象案件においては「個人情報の取り扱いに対する合意書」の取り交わしを行なってきました。
個人情報を取り巻く社会状況の変化による今後の個人情報漏えい対策として、「被害の最小化」に焦点が集まりつつあります。このことから個人情報の取得から破棄・返却までの取り扱い方法を合意書により可視化することで、当社及びお客様が個人情報の管理の必要性を再認識し、トラブルに備えることができます。
また、合意書の締結を契機に、サーバーでお預かりした個人情報の削除計画を定めることも可能であり、被害の最少化を図ることができます。これにより、管理状況の改善も可能です。
今後も当社の個人情報保護への取り組み状況をよりお客様に理解していただくことで、JIS Q15001運用の継続的改善を図ってまいります。
目標の策定
5月に「経営層による見直し」をもとに2010年度の全社目標を策定いたしました。
- 個人情報の管理状況を定期点検
- 個人情報の取り扱いに対する合意書の実施徹底
- 個人情報保護の啓蒙活動
- 部門別研修の実施
この目標達成のために、2010年度は合意書取り交わしのルールの整備が必要となります。合意書の取り交わしには、お客様のご協力が不可欠となりますが、取り決めは厳しく、運用は柔軟にしていくことで、協力していただきやすい方法を検討していきたいと考えています。
7月〜9月の予定
- 内部監査
- 個人情報の棚卸し
- 業務別研修