関東NUA

〜会合報告〜



報告TOP│システムリスク管理│人材育成@人材育成A情報部門の体制開発/運用の効率化

 (1)「システムリスク管理」意見交換会概要

参加メンバーの皆様から自己紹介をいただいた後、参加メンバー各社の課題や取組みについて意見交換を行いました。
意見交換の主な内容としては、リスク管理における「個人情報保護」や「コンテンジェンシープラン」、「教育」に対する取り組みについての意見を交わしながら、議論が進められました。

最終的に一つの結論に至ったわけではありませんが、システムリスク管理においては、経営戦略に沿って、エンドユーザーと情報システム部門が一体となっていく事が必要であり、損害にあった場合の影響レベルから、システムリスク管理の必要性を理解しあい、経営者、CIO、CEO、情報システム部門、エンドユーザー業務部門が、コミュニケーションを図っていくことが重要であることを再認識する大変意義のある意見交換会でした。
◆主な意見は以下の通りです。(「 」は意見に対する他のメンバーの補足意見)
  ※メンバーの機密情報については、削除しております。
個人情報保護において、以下のポイントについて、取り組んでいる
(1) どのような情報漏洩があるか洗い出しを行っている。
(2) 現場では何をやらないといけないのか?
(3) 情報システム部門では何をやらないといけないのか?
システムセキュリティガイドラインを作成しようとしている。そのポイントとしては、以下の点について、検討している。
(1) データダウンロード機能の標準化(利用者制限、サービス時間制限、データ量制限など)
(2) オンライン照会画面
(3) 帳票設計のマスク化
(4) 社外データの受け渡しの際の暗号化
  制限を多く設けるとシステムレスポンスが悪化すると思う。
  あらゆる状況を開発現場と想定している。
  データダウンロードの制限件数は絞っていった方が良いと思う。
  マスク化すると名寄せなどが出来なくなるのが困ると思う。
  現時点では、システムの状況が変わった為、システムリスク管理については、厳しくない
状況がある。
  データの暗号化は必要である。
  親会社からも不正アクセス、ウイルス対策、情報漏洩などについて、指針が出ている。
  最終的には、どんなに対策を打っていても難しい状況はある。内部犯行が85%という
データもある。NECとしては、守秘義務の誓約書を取り交わしている。
   
システムリスク管理は時間が係るものであり、リスクレベルはCIOが認識している。
   
システムリスク管理に対する予算は?
  経営判断ではないのか。決められた総予算の中で抽出するしかない、せざるを得ない。
  無駄なメンテナンスを極力避けて、新しい開発に向けている。
  無駄なメンテナンスについて、選別段階に入っている。
  開発については、規模によって判断基準は違うが、上層部によって秤に掛かる。
ただし、最終的には費用対効果である。
   
以前は、ホームページを勝手に作成していたが、情報漏洩の観点で、今は非常に厳しくなっている。
  ホームページの存在の有無はどのように把握しているのか?
  基本的にはホームページ申請を基にしている。
   
ITマネジメントスキームを確立しようとしている。システムオーナー制度を作り、開発部
門とエンドユーザー部門が一体となって作っていく。システムはシステム開発部門が作って
いるものではない。
   
システム効果の具体的な数値を半年毎のサイクルで出すことになっている。効果が無い場合は開発中止も有り得る。
   
災害対策の投資対効果はどのようにされているか?
  経営判断である。システムダウンしたら、影響の度合い、サービスレベルの低下をトップに示す。
  SLA。
  一般的な投資対効果の考え方とは違う。
  トップやエンドユーザーはシステムが正常に稼動しているのが、当たり前と思っている。
  今は昔よりリスクは多く、人も多く係る。
   
近未来に大地震が予想されているが、準備はされているか?
  集中システムになった為、バックアップは考えなくても良くなった。
  システムリスク管理は、非常に捉え方が広いので前提条件を考えないとシステム企画ができない。例えば、1週間で復旧させるのか、と言う条件を基に次期システムを考えている。
  優先順位も考える必要がある。
  各部門から2名ずつ出してプロジェクトを立ち上げている。
   
CIOはシステムについてどの程度の理解レベルか?
  役員クラスが専門に担当しているが、システムについては、全くの素人である。しかし、判断はできる。色々な視点(価値観)で見て進めれば良いと思う。
  エンドユーザーの視点は絶対必要である。
   
システムリスク管理のチェックシートを確認するのは膨大な工数が係ると思う。
   
社内教育はどのように実施されているか?
  毎月1回1時間、営業所や各部署のメンバーを集めて、テーマを決めて意識合わせの為に教育をしている。
この教育成果として、リスク管理マニュアルを作成する事ができた。
  ISOに関連して、廃棄処分法について、毎年テストを実施している。
  ISOを取得して、大変ではないか?
 CSRの一環として、大変でなく、当たり前と思っている。
  NECはWeb教育をかなりの頻度で色々なテーマで実施している。



TOPページへ会合一覧へ
Copyright(c) 2004 NEC C&C Systems Users Association All Right Reserved.