★本気で社内改革を希望されている経営者の皆様へ★
さいたま総研では、本気の改革をISOやPマークでお手伝いします。
【セキュリティマネジメント構築編】

今月号は、本気の改革、実践編「内部監査」です。

１．監査の内容で組織の成熟度がわかる
マネジメントシステムにおいて、いわゆる内部監査は重要な位置づけを占めます。
内部監査とは、自分たちで作ったしくみが、守られているかどうかを、
自分たちでチェックすることです。
みずからを点検するしくみがしっかりできている組織は、一般に成熟度が高いと
いわれています。
特に、第三者認証制度では、マークを取得したあと、何回も更新を重ねている
”ベテラン企業”については、内部監査の記録も外部審査の記録として尊重しよう、
という動きもあります。
では、どのようにして内部監査を充実させたらいいのでしょうか。

２．監査への取り組み方
そもそも”監査”という言葉に、現場から敬遠の声が聞こえてきますが、
決して監査は後ろ向きな冷たいものではありません。
特に内部監査は、企業を支えるメンバー同士が、航行中の安全を確保するために
前向きに行うものであり、ちょとした船体の綻びを見つけて、
大事故になる前に修繕する貴重な機会なのです。
始業点検をやることは当然ですが、しみついた誤りの行動は、
意外に自分では気づかないことがあります。
また、いつの間にかルールが現状と合っていないこともよくあることです。
こうした、顕在化した事象、ルールの陳腐化などを、一斉に点検するのが
内部監査です。
したがって、”内部監査＝指摘”というイメージを払拭し、
改善のチャンスととらえる気持ちが大切です。

３．監査のしくみ
監査を活発に行っている組織は、”指摘される”＝しくみの見直しとして
とらえているようです。
”不適合”、”指摘”という言葉に怯えず、
”しくみの不具合”、”改善のチャンス”と言い換えてみましょう。
特に、情報セキュリティにおいては、
たった１回の誤操作やうっかりミスから大きな打撃に繋がることがあります。
全員で安全な航海をすることが、自分の安全に直結するのです。
そういう視点で、監査のあり方を見直してみましょう。

次回は、マネジメントレビューの意義についてお話します。
さいたま総研　IT/ISO事業部　西宮恵子

★本気で社内改革を希望されている経営者の皆様へ★
さいたま総研では、本気の改革をISOやPマークでお手伝いします。
【セキュリティマネジメント構築編】

１．セキュリティは最後は「人」に依存する
情報セキュリティのレベルは組織を構成するひとりひとりの意識に依存します。
しかし、ひとりひとりの意識を高めることが極めて難しいのが現状です。

たったひとりの不注意や理解不足が、組織にとって大きなペナルティにつながります。
最近は、USBメモリの取扱いは毎年の重点管理項目となっています。
官民問わず、ほぼ毎週、日本のどこかでセキュリティ事故が起きていますが、USBメモリの紛失などはその典型例です。
忙しさの中で、自宅で作業しようとして、ついUSBメモリで情報を持ち出し、たまたま紛失するなど、善意の行為のはずが思わぬ事故につながるケースが多いのです。

実は、この「良かれと思って行ったこと」が、結果として不注意につながる事例は、組織が社員を守れなかったということなのです。
よくセキュリティは「性善説ではなく性悪説に立て」と言われますが、なにも社員を疑えということではなく、人間は誰でも過ちを犯すので、それを未然に防ぐには、「人は放っておけば間違う」という前提で対応せよということです。

大切な社員を思わぬアクシデントから守るためには、多少窮屈でもルールを決める必要があります。これは親ごころなのだと受け止めて、ルールを周知させることが大切です。

２．教育は継続的に、永遠に･･･

情報セキュリティの教育は、１度でよいというものではありません。「人は放っておけば間違う」ものですし、「人は放っておけば忘れる」ものでもあります。ＰマークもＩＳＭＳも、定期的な教育を求めているのは、このためです。
認証取得したあとは、形式的な教育に終わらせずに、業務に直結した教材で、年間数回行うことが有効的です。
ルールを徹底することは、数か月で完結できることではなく、数年かけて全員に行うと覚悟を決めることが必要です。
労働安全のように、行動に表れるまで徹底的に正しいルールを身につけることが情報セキュリティにも求められます。
これは、絶え間ない教育活動なくして実現できない項目です。

３．教育のカリキュラム

教育については、各社それぞれ工夫をされています。大変よくやっていると思える企業ほど、実はヒヤリハットの報告事例も多いように思います。情報を守ることに敏感になると、自然とヒヤリハットに気付くのです。このヒヤリハットの検出度合いが企業のセキュリティを高めています。
この教育のカリキュラムとしてお勧めするのが、「気づきを与える事例」の提示です。
「他人のふり見てわがふり直せ」は情報セキュリティにも通じます。
さいたま総研のIT/ISO事業部では、教育カリキュラムにも企業の特色を加えてアドバイスさせていただきます。

次回は、監査についてご紹介しましょう。

さいたま総研　IT/ISO事業部　西宮恵子

★本気で社内改革を希望されている経営者の皆様へ★
さいたま総研では、本気の改革をISOやPマークでお手伝いします。
【セキュリティマネジメント構築編】

１．ヒヤリハットとは･･･
ヒヤリハットは、あやうく事故になるところだった、というヒヤリとしたり、ハット

する状況のことです。
ご存じのように、ハインリッヒの法則では「１件の重大な事故の背後には29件の軽微

な事故が発生しており、300件のヒヤリハットが起きている」と言われます。
これは労働安全の分野ではよく知られていることですが、実は情報セキュリティの分

野でも同様のことが言えるのです。

たとえば、･･･
パソコンの入ったカバンを電車の網棚に置き忘れて下車した（ヒヤリ）･･･
･･･急いで遺失物確認をお願いして２つ隣の駅で無事に発見された。

車から降りたとたんに突風で顧客ファイルが飛ばされそうになった（ハット）･･･
･･･運よくドアに挟まって飛ばされずに済んだ。

大事な書類が見つからない。ごみ箱に落ちた可能性がある（ヒヤリ）･･･
･･･あわてて可燃ごみの袋をごみ集積所に回収に行き書類がみつかった。

これらは、決して他人事ではなく、実際にこんな日常の事象からセキュリティ事故が

起きているのです。

２．ヒヤリハットとセキュリティ

ヒヤリハットは日常的に発生しています。
ところが事故一歩手前なので、その時はヒヤリとしたり、ハットするのですが、
しばらくすると、忘れてしまうのが人間です。
大切なことは、こうしたヒヤリハットが起きた時に、なぜそのような状況になったの

か、その原因を考察することです。

ヒヤリハットは、情報セキュリティ的にいうと、「セキュリティ事象」と言って、通

常とは異なる事態として認識すべきものです。
これは放置しておくと、ヒヤリハットを起こすのが自分だけでなく、周囲の人にも及

び、そのうち事故になるものです。

セキュリティ意識の高い組織ほど、ヒヤリハットに敏感です。
ヒヤリハットが発生すると、迅速に管理者まで報告が行き、
必要な対応策をうちます。この速さと確実さが組織の成熟度を表します。

３．ヒヤリハットを検出・報告するという意味

ヒヤリハットが起きたということは、そのうち軽微な事故が多発し、やがて重大な事

故におよぶという、負の連鎖の始まりをキャッチしたわけです。
これは重要なシグナルです。
このシグナルを迅速に報告させるということから実はセキュリティ教育が始まり、
報告させるしくみこそが生きたマネジメントシステムなのです。

是非、ご一緒に、ヒヤリハットを検知できる組織をめざして、
マネジメントシステムを構築しませんか？

次回は、セキュリティ教育の重要性についてご紹介しましょう。

さいたま総研　IT/ISO事業部　西宮恵子

★本気で社内改革を希望されている経営者の皆様へ★
さいたま総研では、本気の改革をISOやPマークでお手伝いします。
【セキュリティマネジメント構築編】

１．リスク分析後の対応策・管理策の検討
①業務で取扱う個人情報や資産の洗い出し
②リスク分析
と実施してきますと、次は、リスク分析の結果を踏まえて
対応策・管理策の検討を行います。
ここで肝心なことは、自社でどこまでのセキュリティ対策が必要であるかを見定めることです。

（１）対応策の基本
まずは、日常どのような対応策が実施されているか、現実を評価しましょう。
何も対策が取られていない場面、何らかの自主対策がとられている場面を整理します。

（２）追加の対策
リスクを軽減させるために、追加の対策がどこまで必要かを検討します。
その際のポイントは、
①顧客の要求水準
②業界の一般水準
③自社の方針
に沿って、費用対効果を勘案して追加の対応策を決定します。
セキュリティ対策は、代表者をはじめとした組織のトップマネジメントの意識が重要です。
トップの認識の高さが組織全体のセキュリティ水準を決めるといっていいでしょう。

（３）実践できる対策を！
ここで大切なことは、実践可能な対策を定めることです。
業務の請負金額や取扱い資産の状況を考慮して、
バランスのとれた対応策をとることが重要です。
ＩＳＭＳの場合は、原則として附属書Ａの管理策から選定することになります。
管理策をどう実施するかを具体的に検討することが実践的対策のためのポイントです。

２．対応策・管理策の有効性
ＩＳＭＳでは、明確に管理策の有効性を評価することが求められています。
Ｐマークには規格要求事項にはありませんが、有効な対策がとられているかは、
常に点検する必要があるでしょう。

（１）対応策・管理策の妥当性
まずは、対応策・管理策が実行可能性があるのかどうかを確認しましょう。
記録様式の欄が小さくて記載できない、見えない、面倒である･･･
ルールが細かすぎて実行できない、特別なケースにしか該当しない･･･
などルールそのものに実効性が低い場合は、ルールの見直しを行います。
これらは、たとえば、３か月に１度、記録の記載漏れを確認したり、
実施現場の目視点検などによって実施できるルールであることを確認します。

（２）対応策・管理策の実施状況
次の点検は、実施可能なはずのルールがどの程度定着しているかを確認することです。
この場合も、たとえば、３か月に１度、記録の記載漏れを確認するなどの
運用点検が大切です。

（３）対応策・管理策の改善
対応策・管理策の実施が十分できていない場合、ルールそのものに原因があるのか、
ルールの運用が定着していないのか、原因を十分確認します。
そのうえで、対応策・管理策の改善を行います。
ＩＳＭＳにおける管理策の有効性評価としては、
これらの点検によって、ルールの順守度合い（%）や逸脱件数などの有効性指標を定め、
数値化します。目標数値と実測値の差異をもって有効性を判断します。

次回は、ヒヤリハットとセキュリティとの関係についてご紹介しましょう。

さいたま総研　IT/ISO事業部　西宮恵子

★本気で社内改革を希望されている経営者の皆様へ★
さいたま総研では、本気の改革をISOやPマークでお手伝いします。
【セキュリティマネジメント構築編】

１．リスク分析のコツ
業務で取扱う個人情報や資産を洗い出したあと、リスク分析を行います。
リスク分析を行うことで、資産を取扱う際の意識を高めることができます。
リスク分析によって無駄な作業を見直すことができます！

（１）行動パターンを見直し！
”業務改革のためのリスク分析”のポイントは、資産（個人情報を含む）を取扱う場面を見直すことです。

（２）不要な資料の持ち歩きの実態が判明
不必要な資料を持ち歩くこともリスクのひとつです。リスク分析を行うことで、行動パターンの分析ができます。
その結果、不要な資料の持ち歩きの実態が判明します。
訪問用途に応じた最小限の持ち出しを行うことが基本ですので、行動パターンの見なおしにつながります。
資産のリスク分析で大切なことは、保管状態だけを認識するのではなく、取扱う場面でのリスクを想定することです。

（３）資産の共有ができる！
資産の取扱いを見直すことで、業務を効率よく行うための資産の共有がしやすくなります。
持ち出したり、編集したりする場面を限定すると、見える管理ができるため、
業務を共同で行う場合に資産の整理整頓ができるからです。

２．リスク分析の活用
リスク分析は一度終わればよいというものではありません。
定期的な見直しを行い、管理策・対応策が有効かどうかを確認します。

（１）セキュリティレベルがわかる
リスク分析を行うことで、改めて自社のセキュリティレベルがわかります。どんな抜け穴があるのか、弱みがあるのか、
現状を知ることから対策の検討が始まります。

（２）定期点検
リスク分析を行えば、セキュリティ点検のポイントが見えてきます。リスクの高い取扱い場面でのルールの遵守状況を
だれもでもチェックすることが可能になります。

（３）強い組織へ
リスクを認識していれば、弱みにつけ込まれる可能性を低くするように意識が働きます。
リスクを認識することが、強い組織になる第一歩です。

次回は、管理策・対応策の有効性についてご紹介しましょう。

さいたま総研　IT/ISO事業部　西宮恵子

★本気で社内改革を希望されている経営者の皆様へ★
さいたま総研では、本気の改革をISOやPマークでお手伝いします。

１．資産洗い出しの効果
ＰマークもＩＳＭＳも、業務で取扱う個人情報や資産を洗い出す作業業が第一歩です。

実際に個人情報や資産の洗い出しを行うと、その意外な効果に驚くものです。弊社でも資産の洗い出しをしたところ、こんな効果がありました！

（１）ソフトの所在が判明
インストール用ＣＤのバージョン、起動可能ＯＳなどが整理され、おかげでＶＩＳＴＡ対応のソフトを購入する際には何を買い直さなければいけないかひと目でわかるようになりました。

（２）不要な資料の多さに驚き！
書類棚、キャビネットなどの保管資料を棚卸しすると、すでに必要のない資料がなんと多かったことか！スタッフが忠実に棚卸表を作成してくれましたが、せっかく記載してくれた資料のほとんどは廃棄対象の古い資料でした。

（３）メリハリがつく！
弊社の場合は個人情報、企業情報が最重要資産ですが、整理すると案
外重点管理の箇所が少なく、施錠可能なキャビネットは当面追加は
不要と判明しました。

２．所有から使用へ
資産洗い出しによる重要な”気づき”は、なんでもかんでもとりあえず保管するいわゆる「所有」の発想から、使い終わったら廃棄を徹底することで生まれる「使用」の発想に切り換えられることなのです。

（１）視覚で納得
持つことが安心なのではなく、使うことが重要だということは、頭でわかることではなく、体（正確には視覚）でわかることなのです。
①保管していても二度と使わない資料
②何か所にも散在する資料
③陳腐化した資料やデータ
いずれも「保管することの安心」の裏で、「使わない非効率」を生じさせていたことについて、資産の洗い出しをする中で、自然に気づきを与えてくれます。

（２）「使う」ことへの認識
資産洗い出しによって、大切な資産・個人情報であると判明したものは、何のために必要であるかを認識するため、より有効活用しようという意識が働きます。

（３）身軽な組織へ
「持つ」ことにこだわらないことが、必要最小限の資源で動ける組織になるきっかけを与えてくれます。この「持つ」から「使う」への意識の移行が改革のはじまりなのです。

次回は、リスクアセスメントについてご紹介しましょう。

さいたま総研　IT/ISO事業部　西宮恵子

今年度、さいたま総研の新たな支援メニューとして情報セキュリティ認証支援が加わりました。
さいたま総研では、ISMS（ISO27001）やプライバシーマークの認証取得を支援します。

１．セキュリティ認証制度の意義
ISO9001やISO14001同様、認証制度は、組織の内的な動機付けによって取得後の効果が異なってきます。認証マークだけがほしいという姿勢では、審査費用を支払って認証を維持するメリットを十分得ることは難しいのはないでしょうか。
では、どんなところに第三者認証の意義を求めたらよいのか、セキュリティの分野において見てみましょう。

（１）社内の報告体制の整備　～「ほう・れん・そう」の再徹底～
情報セキュリティは事故が発生したあとの組織の対応の良し悪しが、その後の損害賠償金額に影響を及ぼすことがあります。緊急時の連絡体制の整備や、事故時の対応マニュアルなど、具体的な手順を整備しておくことが重要です。また、こうした手順は、審査機関による外部の審査を受けることで、見直しのタイミングを維持することができます。

（２）運用現場の点検　～外部から見られることの緊張感～
社内の視点では気付かないセキュリティ上の盲点が、外部の審査によって見出されることがあります。社内では普通であると思っていることが、客観的な視点では懸念される状況に見られることがあるものです。外部の視点で現場をチェックすることは、年１回といえども、経営者によっては、セキュリティ対策の現状を確認する良い機会です。

（３）組織の資格取得　～組織の価値を高める～
特にサービス業は、製造業のように品質管理の体系化が難しく、原材料加工などが無い場合には環境活動への意識も低い場合がありますが、セキュリティはまさに日々直面する課題であり、組織としての資格取得には最適なテーマです。第三者認証を維持することは、従業員にとっても大きなプロジェクトであり、実質的には、社内の情報が整理され、報告連絡体制が明確なり、５Ｓが徹底されます。対外的には、”認証マーク”という企業の価値を高める効果があります。

２．取得の動向
ISMSが資産全般を保護するしくみであるのに対して、個人情報に特化した保護体制について第三者認証するしくみがプライバシーマークです。
現在の取得事業者数は次のとおりです。
ISMS　　　3213件（2009/6/26現在）JIPDEC公表
Pマーク　10426件（2009/6/26現在）JIPDEC公表

先の見えないこの状況だからこそ、大切な資産や情報を棚卸するちょうど良い機会であるともいえます。無駄の無い、最小限の装備で最大のアウトプットを生み出す組織に、変わるための最良のツールとして、セキュリティ認証を活用しましょう。

次回は、認証に向けた活動の中で、どのような効果があるのかをご紹介したいと思います。

さいたま総研　IT/ISO事業部　西宮恵子

1．米国の金融危機から世界同時不況

　米国のサブプライム問題を発端とする金融危機は、08年9月のリーマン･ショック以来、瞬く間に世界中に波及し、金融収縮から貸し渋り、資本回収がとなり、これが株価低落、景気減速へと、実体経済に急速な影響を及ぼし、世界同時不況となった。金融問題としては日本は比較的影響は少ないと見られていたが、世界の実体経済の急激な不況への突入と生産低下は、自動車産業と家電業界に大きな影響を与えた。これが下請その他関連産業へも影響を与えるに至り、08年