全NUAユーザー事例論文:論文パル2005
 < トップ < 佳作/要旨
情報セキュリティ&環境マネジメントシステムの導入事例
〜ISMS/BS7799、ISO14001認証取得への挑戦〜
PDF(1,067KB)
 
【1】 目的
 


企業活動等においてITが果たす役割が急激に増大する中、情報の漏洩、不正アクセス、コンピューターウィルス、システムトラブルなどの事故が多発しており、刻々と変化・高度化するセキュリティ脅威から情報資産を保護することが、益々重要になってきている。電子政府・自治体、住基ネット等の動きが活発化し、個人情報保護法も制定され、官民ともにセキュリティ意識が急速に高まってきている。
一方、京都議定書が発効され、環境問題への関心が益々高まり、企業の環境対応が問われる昨今、企業市民の一員として、地球環境にやさしい社会づくりに貢献できることを模索しなければならない時期にある。
こうした状況下、CSR(企業の社会的責任)の一環としての情報資産保護、環境保護、個人情報保護のリスクマネジメント強化だけでなく、当社の情報への取組ならびに環境への取組に支えられた高品質なサービスを提供することで顧客満足を得るとともに、積極的にこれら取組姿勢を幅広い利害関係者へ証明することにより、企業価値の向上とビジネスの繁栄、成長を目指す。

   
【2】 概要
 
当社は母体である大垣共立銀行のシステム子会社として設立され、銀行向けと一般向け(一般企業・自治体・学術機関)のシステム販売を主力事業としており、システムの上流〜下流までをフルサポートしている。事業範囲が多岐に亘るため、取扱う情報資産の幅も広がり、必然的に情報の機密性の確保に止まらず完全性や可用性の確保にまで情報セキュリティ要件の概念を拡大させた対応が求められることとなる。
これまでも、銀行の関連会社としての位置づけから、金融分野の厳しい情報管理の仕組みが求められ、当社にとって真に求められる程度か否か(適切か否か)の判断抜きで、多くの対応(文書化)を行ってきた。結果として、情報管理の重要性意識は企業風土として根付く一方で、時間の経過とともに陳腐化・形骸化し、運用実態にそぐわない仕組みも散在することとなった。
こうした現状を踏まえ、当社にとって最適な情報管理の仕組みを構築するために、情報セキュリティマネジメントシステムの規格の活用を考え、国内及び国際規格であるISMS/BS7799の認証取得に取組むこととした。
一方、環境や社会活動への取組は、銀行と一体となった社会貢献委員会を中心に、積極的に地域の清掃(川、山、道路や公共空間など)や緑化(植樹)活動を展開し、汚染の予防や地域住民の生活快適性の確保に努めてきた。これらの取組みを、企業活動へも取り入れ、一層強化すべく、環境管理の国際規格であるISO14001の認証取得に取組むこととした。
認証取得の取組みは、これまで培ったノウハウ(資産)を信じ、認証取得コンサルティングサービスは利用せず、自力で挑戦することとした。
本文では、認証取得に向けた紆余曲折の事例、失敗談、文書の作成、審査の実態、シンプルかつ合理的に構成されたシステム構築のポイントなどについて紹介する。
   
【3】 キーポイント
 
取組み当初は(平成15年4月)、ISMS適合性評価制度の本格運用後、1年程しか経過しておらず、規格改定の最中でもあったため、システム構築に必要な情報が全体的に不足していた(書籍、研修、審査登録実績など)。満足の得られる書籍や研修に出会うことが困難な状況にあった。審査機関においても例外では無かったと思われる。しかしながら、こうした情報不足が逆に効を奏した一面も否定できない。
審査機関やコンサル会社からの熱心なアプローチがあり、その中で、審査機関やコンサル会社によって微妙に異なる規格解釈やシステム構築の考え方や手順を得ることが出来、大変役立つ場となった。結果として、規格要求事項の表面的な理解ではなく、実質的な理解、当社にとって最適なシステム構築のアプローチ手法、審査機関の選定、取組み成果に繋がった。
また、国際規格に準拠したマネジメントシステムの基盤が全く無い当社で、システム構築を行う際にも、現状を破壊し一からシステム構築を行うのではなく、既存の企業文化や仕組み、文書類の資産を出来る限り有効活用するスタンスで取組んだことも、最低限の経営資源での達成に繋がった。
ISO14001は2004年版での認証取得に挑み、規格改定直後の平成16年12月に審査となったため、規格解釈を先取りしたシステム構築を余儀なくされた。しかしながら、ISMS認証取得の翌年であったため、上記キーポイントに着眼して取組み、ISMSに勝るとも劣らぬ結果を残すことができたと考える。
   
【4】 評価
 
ISMS/BS7799は平成16年2月(認証範囲拡大を平成17年3月)、  ISO1400は平成17年3月に、当初の計画通り認証取得を達成することができた。いずれの審査結果も、不適合は無く、数個の観察事項があるに止まった。

【効果】

(1)全従業員が参加し、一つの目標に(意を同じくし)挑戦することにより、結束力・意識統一・参加意識の高揚に繋がった。経営層との距離感が小さくなった。

(2) 情報資産/環境の保護は、ある部署ある担当だけの課題ではなく、社全体、ひとり一人の課題であるという意識が醸成された。

(3) 「Check-Action」機能が強化され、継続的改善メカニズムが確立された。

(4) 国際規格への準拠という名目が、従来から引きずっていた仕組みを革新(打破)するきっかけとなり、実効性ある管理活動への転換を図る土台ができた。

(5) 第三者認証を得たことが、当社の社会的評価と商品・サービスの品質における客観的な差別化要因となり、ビジネスの拡大に期待が持てる。

【反省・改善点、今後の方針】

(1)現場重視(主体)の観点で活動を展開した結果、システム的に重要な位置づけにあるリスク分析結果に部署間ギャップが発生しており、質の均一化が急がれる。

(2) 個人情報の管理をISMSの情報管理の仕組みの中で実現し、継続強化を図る。

(3) ISMS/BS7799認証範囲を全社へ拡大する(平成18年1月予定)。


 < トップ < 佳作/要旨

Copyright(c)NEC C&C Systems Users AssociationAll Right Reserved.