2025.05.16 | 役員ブログ情報セキュリティと個人情報保護に対する取り組みについて（その２）

株式会社コプロシステムの取締役で情報セキュリティを担当している柘植と申します。

当社では、クライアントからお預かりしている個人情報や組織の情報資産をさまざまな脅威から守るために、情報セキュリティ対策と個人情報保護に取り組んでいます。その一環として、「情報の機密性・完全性・可用性を維持するための仕組み」を適切に構築し運用している組織が評価されるISMS（Information Security Management System）認証と、「個人情報を適切に管理している」事業者であることが評価されるプライバシーマーク制度の認証を取得しています。

前回は、これらの認証制度の要求事項を組み込んだマネジメントシステムの運用・構築指針に基づき、社内規定を定め、従業者への教育を行い、組織体制を整備するといった取り組みをご紹介しました。また、日々の業務の中で予め定めたルールに従いチェックを行い、その記録を残すとともに、これらの活動の中で「継続的に運用する」ということを特に重視している点についても触れました。

この「継続的に運用する」ことを確実にするために、情報資産台帳をリスクアセスメントした結果を元にリスク対応計画書を作成し、毎月の自主点検と情報セキュリティ目標の策定・実施をする流れになります。今回は、こうした流れを補完するために実施している、「ミニマネジメント研修」と「レスキュー報告書」について、ご紹介したいと思います（下記、マネジメントシステム全体図参照）。

ミニマネジメント研修

ミニマネジメント研修は、情報セキュリティに関する最新知識の習得や理解の向上と、マネジメントシステム運用に関する行動の改善や促進活動を目的として、毎月全社員が参加するミーティングの中で実施しています。

過去に行った研修テーマとしては、

「ランサムウェア攻撃による被害」：ランサムウェア攻撃とは、事前に実施しておくべき対策など
「テレワーク時のセキュリティ対策」：IPA Channelのビデオ研修、情報セキュリティ５か条の紹介
「情報セキュリティ10大脅威2024」：IPAが毎年公表する“情報セキュリティ10大脅威”資料の解説
「クラウドサービス利用上の注意」：当社のクラウドサービス利用ガイドラインの説明
「2023年度JIPDEC事故報告書から」：JIPDECが毎年公表する“事故報告書”の解説

などがあり、以下のような情報セキュリティに関するサイトから、最新かつ普段の業務に関連する内容を選んで研修課題としています。

＊国民のためのサイバーセキュリティサイト
＊内閣サイバーセキュリティセンター
＊JIPDEC プライバシーマーク制度お役立ち情報・ツール
 ＊【JIPDEC公式】プライバシーマークチャンネル（YouTube）
＊IPA 独立行政法人情報処理推進機構　情報セキュリティ関連サイト
＊IPA Channel（YouTube）

また、年に１度、このミニマネジメント研修の中で「利害関係者からのフィードバック」として、クライアントから寄せられた感謝の声を社内で集め、発表することも行っています。

当社の業務は、「問題なく遂行できることが当たり前であり、ミスをすればそのリカバリが大変になる」という特性を持っています。そのため、クライアントから直接「ありがとう」という言葉を頂く機会が少ないのが現状です。しかし、そのような状況であっても、日々の誠実できめ細かな業務対応を通じて、クライアントから「ありがとう」という言葉そのものでなくとも、いろいろな言葉や表現で感謝の気持ちが伝えられることは少なくありません。普段は目立たない存在ですがこれこそが当社の大きな強みだと考えて、その内容を全社で共有し、社員一人ひとりが自身の業務の価値を再認識できるよう、実施しています。

レスキュー報告

プライバシーマーク制度の要求事項となっているJISQ15001:2023の10.2（不適合及び是正処置）では、

組織は，不適合に対する是正処置を確実に実施するための責任及び権限を定める手順を確立し，それを文書化した情報とし，実施し，かつ，維持しなければならない。

と定められています。

当社では、この「是正処置」を、個人情報保護規程のJ7.1 不適合及び是正処置の３項で、

是正処置の必要な事象を発見した者は、「レスキュー報告書」により当該部門責任者の確認を得て、トップマネジメントから権限の委譲を受けた品質管理責任者の承認を受ける。

と定めています。

レスキュー報告は「レスキュー報告運用手順説明書」に従って、発生したトラブル（インシデント）についてレスキュー報告書を作成して実施されます。概要としては、以下のような流れになります。

レスキュー報告フロー
①トラブルの報告：トラブルの概要・詳細、発覚経路、トラブル対応の内容
　　　↓
トラブル報告の承認
　　　↓
②対策・改善内容の検討（PLAN）：トラブルの原因究明とその対策・改善（部署内・部署間）内容の検討
　　　↓
対策・改善内容の承認
　　　↓
③対策・改善内容の実施（DO）
④対策・改善実施後にレビューを実施（SEE）
　　　↓
実施完了とレビューの承認
　　　↓
⑤レスキュー報告の完了

各段階の承認は、レスキュー報告を行う部門（グループ）のリーダー、本部長、代表者（権限を委譲された品質管理者）の順で内容を確認して承認することになっています。

また、レスキュー報告は、報告内容に応じて以下の４つのカテゴリに分類して実施しています。

トラブル（社外）	発生したトラブル（インシデント）がクライアント（社外）まで影響を及ぼした
トラブル（社内）	発生したトラブル（インシデント）が社内までの影響に留まった
ヒヤリハット	トラブル（インシデント）に至る前段階で対応してトラブルになることを留めた
業務改善	トラブル（インシデント）ではなく業務の改善や外部審査の観察事項の対応として実施する

さらにレスキュー報告は「レスキュー報告のサマリ」として、最近（数年）のトラブルの傾向（件数・原因）や同じトラブルを再発防止するための全社的なレビューについて、年に１～２回発表し、社内で共有されています。

この取り組みについて2023年５月のISMS現地審査では、審査員から、

インシデントやヒヤリハットの情報、及び外部審査での指摘事項（観察事項）を受けて、「レスキュー報告書」が１件ずつ起票され対策が講じられていました。併せて、「レスキュー報告一覧」に発生の都度まとめ上げていました。今後傾向分析を充実して全体ミーティング等で情報発信していくとのことですので、情報セキュリティのパフォーマンス向上に役立つ施策であると評価します。

というように評価されています。

また、前回ご紹介した「リスクアセスメントフロー」について、今年（2025年）４月のISMS現地審査で審査員から、

各部門の情報セキュリティ目標は、各部門から「リスク対応計画書」とリンクさせて設定した情報セキュリティ目標を事務局が収集しています。情報セキュリティリスク対応が組み込まれた、実効的な部門の活動計画になる良い仕組みとして評価できます。

というように高く評価されました。

マネジメントシステムを「継続的に運用する」ための施策として、前回は「リスクアセスメントフロー」、今回は「ミニマネジメント研修」と「レスキュー報告」をご紹介しましたが、今後も「継続的に運用する」ための流れを確実にするための施策を検討し、実施していきます。

取締役　柘植　夏記