前回の投稿で、シンクライアントPC について触れました。
まだ読んでいない方はこちらからどうぞ↓
ISO認証の導入
個人情報と業務データの管理はとてもシビアです。
最近では監査会社を通して”ISO27001”の認証を取り、継続取得を目指して厳しく管理していく姿も一般的になりつつあります。
ISO基準では、個々人でどうプロジェクトをすすめ、データを管理していくのでしょう。
今回はその点に関し大まかにではありますが解説します。
ISO 27001を取得するには?基準の大まかな解説
まず社内でどの情報に誰がアクセス可能なのかをはっきり規定します。
また鍵・タグの設定などで事務所に入れる者、特定のPCにアクセスできる者、サーバールームに入れる者を選別します。(機密性の確保)
顧客情報や決算情報など、重要情報について意図しない改ざんを防ぐ手段、ウイルスの検知ソフトや遮断システムを構築すること。(完全性の確保)
必要なときに情報へのアクセスが確保されていること。これには定期的バックアップなども含まれます。(可用性の確保)
上記それぞれの項目に対し、相当量の資料を用意し、社員を教育して初めて認証を取得することができます。
ISO認証を持っている企業で働く上で
ある意味このISO基準は、情報を管理する上で世界的に通用するマニュアルということができます。新しい社員が次々に入ってくるような職場でも、基準があるだけでかなりマネジメントの面ではやりやすくなります。
社員教育ではことさらにISOを強調することはないと思いますが、入社して以降、鍵を渡されたときに「自分はここに入ることができて、この部屋には入れない」パソコン使用時に「顧客情報や契約内容はこのサーバーに格納する」「何かあったらR&Dに相談。間違って消しちゃったデータも復旧してくれる」こうした指導内容のそれぞれが、知らず知らずのうちにISO基準に準拠したものとなっているのです。(逆に言えば、この基準に沿って皆が仕事をしているからこそ、認証を受けられるわけです)
1年に1回、3年に1回などの外部監査の際に、個別の面談でISO基準準拠について聞かれますので、直前の勉強会などはよく行われます。私も面接を受けたことがありますが、日常業務についてそのまま返答すれば、まず問題はありませんでした。外部からくる監査官は面接と言ってもミーティングルームで話をするわけではなく、実際のデスクでパソコンを見ながら、業務について質問をしてきます。そしてその反応によって、きちんと基準に沿ったデータ管理をしているのか確認をしていきます。
この監査は会社の規模によりますが、3日程度で終わることもあれば、1週間まるまる使って監査ということもあります。情報管理を担当していた同僚は、この期間、日を追うごとにどんどんヤツれていったことをよく覚えています。
監査の際には改善点が出てきます。新しい基準であったり、社内基準で曖昧なところもあったりするので、そういった点に関しては社内でミーテイングが開かれ次回認証に向けて改善されていきます。
監査の結果はおおむね2週間から1ヶ月程度で出るようです。認証が通って初めて、世間に向けてホームページ、ステッカーなどでISO 27001準拠の旨をアピールできます。
このISO認証、別に取得必須というわけではありません。しかし、個人情報の保護がほぼすべての企業で必須となる中、顧客の信用を得る上ではあるに越したことがないですね。
特にEU加盟国内ではGDPRがすでに始動していますから、ローカル企業・日本企業を問わず、取得する企業は今後も増えていくと考えます。
あわせてPCなど情報端末や商談資料の管理の厳密化もこれからは進んでいきます。シンクライアントPCはどんどん導入されていくことでしょう。
まとめ 個人でも意識すること
個人情報には価値があり、きちんと管理して然るべきものになりつつあります。クラッキング技術も向上し、1度の侵入で莫大な個人情報を盗み出すなどもはや日常になりつつあります。すべての企業が標的になることはないでしょうが、「明日は我が身」の意識はすべての社員が持つべきでしょう。
紙媒体であれば捨て方が問題になってきます。シュレッダーにかけるなり信用の置ける業者に処分を依頼するなりの対応が必要です。デジタルデータであれば、その保管と削除、古いPCやサーバーの処分にも気を使う必要が出てきます。
自分の個人情報の管理でも気にしなければならないことは増えてきました。
最近では何をするにもパスワード設定とログインが必要な世の中です。このように複雑化している自分の情報と同じように、顧客の個人情報や取引のデータも管理する。この意識が、21世紀を生きるためには必要なリテラシーと言えるかもしれません。
今日も最後までお読みいただき、ありがとうございました。
コメント