2011年10月〜12月 継続的改善活動のご報告

12月に全社を対象とした品質マネジメントシステムの教育を実施しました。教育はISO9001事務局担当者による講義と理解度確認テストという形で行ないました。

講義内容は品質目標の理解に重点をおきました。言うまでもなく、品質マネジメントシステムにおいて年度目標は大変重要ですが、従業員の講義での反応や、テストの採点結果を通じて、目標と達成度が社内に十分に浸透していないということがわかりました。事務局担当者として自分の取り組みを振り返ってみると、目標を意識付けする機会や、達成度をフィードバックする機会が非常に少ないことに気が付きました。

そろそろ2012年度の目標を検討する時期に差し掛かりますので、目標の意識付けやフィードバック方法の改善にも取り組みながら目標を決定していこうと考えています。

11月より新サービスのトレーニングを開始しました。

今までサービス紹介のプレゼントレーニングは2つのサービスについて実施したのですが、いずれも事務局主導でテーマを決めて行っていました。しかし、今回は新サービスの管轄部門から「サービスを正しく理解し、実際に説明ができるようになってほしい」ということでトレーニングの実施要望がありました。このプレゼントレーニングを開始して約2年たつのですが、初めて積極的にトレーニングを利用する動きがみられ非常にうれしく思っています。

今後も「話す」という技術の向上だけでなく、サービスの知識向上にもどんどん役立てていきたいと考えています。

12月に全社を対象とした情報セキュリティ教育を実施しました。

この教育は、事務局担当者による講義の受講と、理解度確認テストへの合格をもって修了とし、全スタッフ必須で受講するルールとなっています。

毎年定期的に実施されるこの教育の中では、その年に変更のあったセキュリティ手順について説明するほか、注目度の高いセキュリティ事故事例を話題に盛り込み、スタッフが飽きることなく参加できるよう毎年内容の見直しを行なっています。

回数を重ねるごとに講師担当者の習熟度もあがり、アドリブを入れられるぐらいの心の余裕ができてきました。引き続き、よりわかりやすく飽きることのない研修へとブラッシュアップしていきたいと思います。

2011年度の認証維持審査にて、情報資産のリスクスコアリング手法に改善の余地があるとの観察事項の指摘を受け、情報資産の重要度及びリスクスコア算出方法の見直しを行なっています。

これまで実施してきたリスクスコアリング手法は「機密性」、「完全性」、「可用性」、「脅威」、「脆弱性」を一定の指標にもとづいてスコアリングし、それを乗算するというものでした。しかし、ある程度セキュリティ対策が施されている情報資産に対して更にセキュリティ対策を施しても、それがスコアに表れてこないことや、「機密性」（情報へのアクセスを絞ること）と「可用性」（情報へいつでもアクセスできること）を乗算することに矛盾があり、スコアの算出方法の根拠が不明確である点など、見直しの必要性を感じていました。

そこで、ISO27001の管理枠組みの中でも特にリスクマネジメントに重きをおいた、ISO27001の支援規格であるISO27005を参考に、リスクスコアリング手法の見直しを進めています。

ISO27005はあまり有名な規格ではありませんが、その文書には参考になる手法が数多く記載されています。引き続き、見直しのための検討と検証を進め、2月のリスクアセスメントは見直されたリスクスコアリング手法にてリスクアセスメントを実施できればと考えております。

7月に行なわれたプライバシーマークの継続審査でいくつかの指摘を受けていましたが、その指摘対応が11月中にすべて完了しました。

主には個人情報の特定のプロセスや、リスク評価のプロセス、個人情報の運用状況の点検のプロセスなどの改善が挙げられます。特にリスク評価に関してはISO27001の担当者と連携して、ひとつひとつ進めていくことができました。今後は改善したプロセスを確実に運用することで、マネジメントシステムの成熟度を高めていきたいと考えています。

10月に全役職者、11月に従業員向けの定期教育を実施しました。

社内で扱っている個人情報を例に挙げ、個人情報事故の影響などを学習しました。

「もし自分が個人情報を紛失したら初動をどうするか」など万が一のケースでの具体的な行動についても学び、なるべく従業員が個人情報の取り扱いについて他人事ならぬ自分事として考えてもらえるように工夫をしました。

今後も定期教育では個人情報を取り扱う際の合意の重要性と、漏えいのリスクを中心に全従業員の意識を高めていこうと考えています。