2016年4月〜6月 継続的改善活動のご報告

昨年度に引き続き、技術品質、プロセス品質、サービス品質の3つの視点から品質目標を策定しました。目標の詳細はCSR 2016年度目標をご覧ください。

本年度の目標には、昨年度の目標達成を踏まえた次のステップとして設定されたものがいくつかあります。
年度目標の達成はもちろん、長期的な目的も達成できるよう、事務局では継続して各部門の後押しをしていきたいと考えています。

5月にISO9001/ISO27001統合更新審査を受審しました。結果として、メジャー不適合はありませんでしたが、マイナー不適合を9001で1件、観察事項（改善を検討またはGood Point!）を9001で14件、共通で6件いただきました。

マイナー不適合の内容は、提案書の社内レビューの記録が一部残っていないというものでした。この指摘に対して、提案書作成者および承認者へ社内レビュー実施記録を残す重要性とフローを再周知し、記録のチェック方法についても見直しを行うなど、確実に記録を残すための是正対応をとっています。

その他の品質に関する観察事項では、文書記録一覧や法規制登録簿の様式に関して改善提案がありました。マネジメントシステムが形骸化しないよう、管理文書の様式についても見直しを図っていきます。

また、Good Point!としては、アクセシビリティ部門やデータ分析部門において業務フローや手順書、チェックリストが最新の状態で維持されており、組織の経験やノウハウが凝縮されていると高く評価いただきました。
これまで当社が品質に対し真摯に取り組んできたことが評価されたものであると考えます。
今後もさらなる品質向上と顧客満足を目指し、活動をすすめてまいります。

5月にISO9001/27001の統合再認証審査を受審しました。今年は再認証審査のため、約1週間かけて全部門への審査が行われました。結果はマイナー不適合1件、Good Point!を含む観察事項が33件で、その内ISO27001に対しては、Good Point!とISO9001との共通指摘事項を含む観察事項14件でした。

Good Point!としては、リスクアセスメント手順の見直しと全社を挙げての教育の徹底を高く評価していただきました。

一方、観察事項としてはサーバールームのスプリンクラーが作動した場合の対策や、災害が発生した場合の事業継続計画などについて見直しの余地があるとの指摘をいただきました。どちらも発生の確率は低いのですが、万が一を考えて、影響の度合いや新たな対策など、これまでのリスクアセスメントとは別の切り口で、リスクと対策について検討していきます。

6月に内部監査質問表の見直しを行いました。内部監査は複数名のチームで行うので、認識を合わせるためあらかじめ規格に沿った質問を準備しています。

これまではこの規格の質問はこの部門に聞く、など部門ごとに質問が限定されていました。例えば「システムの質問はシステム部門に聞く」といった具合です。しかしそれでは、別の部門でシステム開発をしていたとしても、質問がないため内部監査ではセキュリティに対して対策をとっているのかを把握することはできません。

今回はそのような限定的な質問を見直し、例えば上述のシステムに関する質問であれば、まずはその部門でシステムを開発する機会があるかを聞き、あると答えればそこから規格に沿った質問をしていく方式をとり、どの部門にも質問できる形にしました。それにより今まで把握できていなかったような取り組みや課題が見つかることを期待しています。

また、社内ルールを知っているかを聞くだけではなく、社内ルールを踏まえた上で独自に工夫している点や部門で取り組んでいる点をヒアリングする質問も増やしました。全社に展開したくなるような取り組みがあれば積極的にGood Point!を出して、社内のモチベーションアップにもつなげていきたいと考えています。

4月に四半期に一度の個人情報取り扱い案件の点検を実施しました。案件責任者に、件数や取り扱い内容に変更がないか、新規個人情報取り扱い案件がないかを確認しています。担当の変更等は数件ありましたが、大きな問題点もなくおおむね適切な運用がなされています。

今後の課題としては、個人情報取り扱い案件の把握が挙げられます。現在は案件責任者が直接個人情報事務局へ連絡するパターンと、システム部門への案件相談メールから拾うパターンがあるのですが、事務局への連絡もなく、システム部門の絡まない案件では把握することが難しい場合があります。

教育や啓発の中で事務局への連絡を促すのはもちろん、漏れのないように把握する手段を確立していくことに優先的に対応していきます。

5月に入社1年目と3年目のスタッフ、役職者を対象にセミナー形式での教育を実施しました。昨年より新たに始まった研修で、今年が2回目になります。

年1回の教育とは別に、対象者ごとに教育を実施することで、役職者であれば役職者としての役割や、一般スタッフであれば普段忘れがちな社内ルールを再確認してもらい、スタッフのセキュリティ意識を高めようと取り組んでいます。

前回まではISO27001とJIS Q 15001の説明を別々に行っていましたが、今回よりひとつにまとめた研修資料を用いたことで、研修時間が短縮できたことと、セキュリティに関連づけた説明をすることができました。受講者からも「よくまとまっていてわかりやすかった」との意見をいただきました。

次回以降も、よりわかりやすく頭に残るような研修を実施していきます。