2010年度 情報セキュリティ 目標達成状況

2010年度は、5月にISO9001とISO27001の統合審査を受審しました。審査の結果、マネジメントシステムの継続的改善・規格への適合性が認められました。観察事項については、改善の機会としてとらえ、取り組んでいます。

サーバーのスペック不足と老朽化による故障リスク回避のため、リプレイスを実施しました。作業は予定通り行なわれ、リプレイス後も各サービスは正常に稼働しています。

ファイル総容量の増加に伴い、バックアップシステムの見直しが急務の課題となっています。2011年度中の対応完了を目標に、予算と機能の面で検討を進めています。

情報資産リスクアセスメントプロセスの一つ、情報資産の評価の際に作成するリスクアセスメント表のテンプレートの見直しを行ないました。新たな項目の追加やレイアウトの変更により、膨大なレコードで構成されるリスクアセスメント表がより見やすく、情報を把握しやすくなりました。

基幹サーバーとして位置づけている全てのサーバーで復旧試験を行なうことを目標としていましたが、復旧試験を実施することによる各サービスへの影響を考慮し、2010年度はDHCPサーバーの復旧試験を実施するのみにとどめました。今回の復旧試験を通して、実際にトラブルが発生した際に速やかに復旧できるよう復旧手順をドキュメントとして作成しました。

他の全ての基幹サーバーについても2014年度までに復旧試験を実施する予定です。

案件情報へのアクセス権限を制御しているシステムについて、権限設定の不備が生じる問題が発生していましたが、設定情報を見直すことで適切なアクセス権限が設定されるようになりました。

PCが故障した場合、HDを他のPCに接続してデータを救出するのですが、HDを暗号化してしまうと、データを救出できなくなってしまうことがわかりました。現状では、HDを暗号することで機密性が高くなることよりも、必要なときに必要な情報が取り出せないほうが重要な問題であると判断し、導入を見送ることにしました。

全社的に業務用PCのリプレイスを行ないました。最新OSへのアップグレードとスペック増強がなされたことによって、業務効率とセキュリティが向上しました。

10月から11月にかけて、全スタッフを対象とした情報セキュリティ教育を行ないました。2010年度の教育は、事務局担当者による講義の受講と理解度確認テストへの合格をもって修了としました。

また、毎月一通以上のセキュリティ啓蒙メールを配信し、その時々の旬な話題を全社に提供しています。

社内マニュアルを書類形式からWebサイト形式に変更し、ISO9001で定めた業務手順とそれに係るセキュリティ手順をより参照しやすいかたちに作り変えました。現場部門のスタッフがより閲覧しやすいマニュアルとするため、引き続きマニュアルの内容と構造の見直しを進めていきます。

年度を追うごとに管理する案件が増加しておりますが、事務局のリソースも強化され、滞りなく定期点検を実施することができました。

個人情報保護における遵守事項をクライアントに理解していただくために個人情報の取り扱いに対する合意書を積極的に取り交わすことができました。

2011年度は個人情報の直接取得・間接取得によって取り交わす合意書の種類を変えることでクライアントおよびスタッフの負担を減らすとともに、合意書の取り交わし率の定量的な測定を行ない、取り交わしの徹底を目指します。

個人情報を預かる際の注意点、手順についてのメルマガを発行し啓蒙を行ないました。事務局の都合により12月のメルマガの発行ができませんでしたが、研修やメルマガによってスタッフの個人情報への意識が向上していることを感じています。2011年度はメルマガの発行を継続しつつ、各部門のミーティングへも参加し、啓蒙を強化していく予定です。

個人情報保護に深く関わりのある部門への部門別研修を実施する計画に対して、人事部への研修のみ行ないました。残り2つの部門に対しては、全社向けの研修で要件を満たすことができましたので部門別の研修を実施しませんでした。2011年度も対象とする部門の選定を明確化して部門ごとの研修を行なう予定です。