当社は、流通機構全体のインフォメーション・オーガナイザーとして、社会にとって有用な存在でありたいと考えています。当社が事業に関連して取扱う情報は経営基盤として大変重要な資産です。これらの情報が万一、漏洩、改ざん、破壊、紛失、又は不正使用などの脅威にさらされた場合には、当社が損害を受け信頼を損なうだけでなく、流通機構全体に大きな影響を及ぼす可能性があります。

当社は、インフォメーション・オーガナイザーとしての使命を果たすため、ユーザー情報や社内情報についてその機密性を保持し、適切な情報管理を行うことにより、安全で安定したサービスを継続的に提供するために努力し続けています。そのためには、全社的な情報セキュリティマネジメントシステムを構築・運用する必要があり、その有効なフレームワークとしてISMS認証に着目し、認証取得に至りました。

認証取得し3年が経過し、ISMS維持・運用の時期となり、構築時とは違った取り組み方法が必要となってきました。

これまで事務局中心で構築したＩＳＭＳですが、形骸化を防止し現場での活動の定着化を図っていくためには、全社的なＰＤＣＡの展開が欠かせません。そのためには各部門が一体となり、同水準の活動をどのように実践するかが大きな課題でした。

多数の情報資産の一元管理やリスクアセスメント作業は、事務局メンバーが自作のツールを用いて行っていました。構築時には非常に有効だったこの自作ツールですが、ＩＳＭＳ活動の質の向上が求められる維持・運用の段階では、より効率的で誰にでも操作しやすく、作業工数が低減できる仕組みが不可欠となりました。また、新規作成・更新された文書の公開方法や管理方法をどのように行っていくかも課題の一つでした。

M@gicPolicyCoSMOの画面を開くとＰＤＣＡが明確に定義されています。行うべき作業内容やフローが視覚的に分かり易く、事務局以外のメンバーでも作業への取り組みが容易になりました。各部門で同水準の活動を目指していた我々にとって、メンバー全員が統一された仕組みM@gicPolicyCoSMOを使用し取り組めたことは、活動の定着化を推進する上でとても有効な選択となったと感じています。現在はリスクアセスメントや内部監査の機能を中心に使用していますが、今後はさらに使用機能を増やして、より一層組織一体となった活動ができるようにしていきたいと考えています。

M@gicPolicyCoSMOを使用すると各部門に管理されている情報資産を、事務局はいつでも「全社情報資産一覧」として一括で参照やExcel出力することができます。これまで事務局が行っていた、各部門の情報資産を収集して一覧化するという手間が大幅に省け、情報資産の一元管理の点で非常に効果的と実感しています。この情報資産を基に行う「脅威・ぜい弱性の明確化」、「リスクの評価」の工程では、操作画面の指示に従って作業が実施でき、初めてリスクアセスメント作業を行う人でも比較的スムーズに実施できました。作業への属人性が少ないため、作業担当者の変更があっても、M@gicPolicyCoSMO を使用していれば引継ぎも容易だと思います。

また、文書管理の機能がありますので、文書の公開やバージョンの管理がM@gicPolicyCoSMO 上でできる点も大きな変化です。従業員は、「最新のセキュリティ文書はM@gicPolicyCoSMO を参照する」という操作が定着し、事務局は公開・非公開の設定やバージョン管理をこの機能を使用することで、効率化はもちろんですが文書管理の質も向上しました。