大阪商工会議所様

2008年2月18日 掲載
  • 50〜300名
  • 公共・自治体
  • BCP対策
  • セキュリティー強化

導入サービス:セキュリティーコンサルティングサービス

商工会議所のセキュリティーレベルを客観的に把握するための外部監査を実施

地域経済の活性化を担う総合経済団体の草分けとして様々な事業活動を推進している大阪商工会議所。進取の気性を発揮して情報化にいち早く取り組むとともに、企業や事業活動に関わる広範囲の情報を取り扱う団体として現状のセキュリティーレベルを把握する必要があると判断。2007年秋にその第一歩となる所内の「情報セキュリティー外部監査」を実施した。

お客様の声

監査結果の報告をもとに、一歩ずつ着実にセキュリティー対策を整備

写真:西田 賢治 氏

写真:新田 泰一  氏

お客様が語るソリューションのポイント

会員企業や事業活動に関わる広範囲の情報を取り扱う商工会議所として、現状のセキュリティーレベルを把握しておきたいとの思いから、セキュリティーレベルを客観的に把握するため、第一段階として所内の情報セキュリティー外部監査をNTT西日本に依頼しました。

PAGETOP

お客様情報

本社所在地 大阪市中央区本町橋2-8
事業概要 1878(明治11)年に設立された地域総合経済団体。大阪経済界のリーダーとして新しい時代を先取りした産業の育成・振興、地域社会の発展に貢献する様々な事業活動を行っている。会員数は個人商店から大企業まで約3万。役職員数240人(2008年1月現在)
PAGETOP

事例詳細

導入前の状況 様々な情報を取り扱う経済団体として情報化を積極的に推進

大阪商工会議所大阪商工会議所は、大阪を代表する地域総合経済団体として大阪経済の活性化と会員企業の発展に役立つ様々な事業を行っている。主な事業に、地域を牽引する新しいエンジン産業の育成と振興、会員の声を反映した政策提言や要望活動、会員企業の経営革新やビジネス創出のサポートなどがあり、会員数は約3万を数える。これらの事業活動に伴い、所内で取り扱う情報も会員企業のデータをはじめ経営相談、アンケート調査に関するものなど広範囲にわたっている。
こうしたなか、大阪商工会議所では約10年前から職員に1人1台のパソコンを支給し業務の効率化を図るとともに、所内の情報システム構築や会員に情報提供するためのインターネット環境の整備を進めてきた。併せて情報機器の使い方に関する職員への教育・研修やコンピューターウィルス対策ソフト導入による情報漏えい対策にも適時取り組んできた。

導入前の課題 現状のセキュリティーレベルの把握と問題点の洗い出しから着手

ここ数年、社会情勢や経営環境は急激に変化している。2005年の個人情報保護法施行に続き、2008年度からは日本版SOX法の適用により企業における内部統制対策の必要性が加速してきた。
こうした背景を踏まえ、大阪商工会議所においては事業活動を円滑に進めるうえで情報セキュリティーを適切に管理、維持していくため、外部の監査事業者による情報セキュリティー監査を2007年度に入り検討することになった。
「大阪商工会議所は必ずしもそれらの法制度すべての対象ではありません。しかし、所内では様々な情報を取り扱っており、対応いかんによっては多大な影響を及ぼしかねません。そこで、まず所内のセキュリティーレベルがどの程度かを把握する必要があると考え、外部監査を受けることにしました。会員企業をサポートする団体としての社会的な責任もありますからね」と、情報セキュリティーの統括責任者である西田賢治常務理事は語る。実際、仕事が多忙なために机周りの整理整頓に手が付けられていない部署も見受けられたようだ。
「ただ、私どもは限られた予算のなかで実施する必要があり、情報化担当者も少ないという事情がありました。そこで当所のことをよく知っていて信頼関係があり、情報セキュリティー監査の実績が豊富なNTT西日本に監査をお願いすることにしたのです」と西田常務理事。事務局や担当者の様々な要望に応えられる柔軟性も決め手になったという。

導入内容 セキュリティー意識レベルの調査から普段の行動まで入念な監査を実施

大阪商工会議所の情報セキュリティー監査は、実施説明会を皮切りに予備調査、本調査、報告会という流れで行われた。予備調査では各部署から何人かの職員を抽出しアンケートによる意識調査を実施。質問は経済産業省「情報セキュリティー監査制度」に準拠したものを設定した。また、本調査ではアンケート結果をもとに、監査担当者によるインタビューや所内の現地調査が行われた。情報セキュリティー監査の目的は普段の状態を見ることにあり、それができるだけ精度の高い調査をするための条件になる。
さらに監査結果の報告会は、情報化担当部署のほか、幹部会、理事会と対象別に計3回行われた。「その目的は、幹部会では各部署のトップに監査結果を共有してもらうこと、理事会では経営幹部にセキュリティー対策の現状を理解してもらうことでした。それぞれの目的は達成できたと思います。NTT西日本の監査担当者には、評価に対する理由や具体的な説明、経営幹部にも分かりやすい工夫された表現などで、私どもの要望に十分応えていただきました。また、情報セキュリティーの問題はコンピューターウィルス対策などのシステム的な対応が中心だと思っていましたが、監査報告を受けて人的な意識や普段の行動が大事だということを改めて認識しました」。所内情報化の責任者である新田泰一会員部長はこのように話す。

導入効果 監査結果の報告をもとに、一歩ずつ着実にセキュリティー対策を整備

監査報告では、所内情報の全体像の把握、セキュリティー管理の統一ルール、部署や職員間の情報セキュリティーに対する認識の差について指摘があった。
「これまでに個々にやってきたことを統一する上位の大きなルールの必要性を感じました。良かったのは外部の客観的な評価によって、情報化担当部署と他の部署が一緒にセキュリティー対策を実施する土台ができたこと。また、職員に“やってはいけないこと"を伝えやすくなったのも確かです。今後は状況に応じてステップ・バイ・ステップでできるところからやっていく予定です」と新田部長。
そして、西田常務理事は「今回は最初の第一歩であり、情報セキュリティーの問題点やセキュリティーレベルを把握した段階といえます。NTT西日本の監査報告は要素別に、組織的、人的、物理的、技術的と分類して課題と対策を挙げていたので分かりやすく、第三者的な視点からの評価は経営幹部に対して説得力がありました。このなかから優先順位を付けて、一歩ずつ地道に効果のある対策を実施していきたいと考えています」と今後の取り組みについて語る。大阪商工会議所では全国や地域の商工会議所と連携して取り組んでいる事業もある。それらの商工会議所にも今回の外部監査の有効性を伝え、セキュリティー向上の一助になればと考えているそうだ。

PAGETOP
PAGETOP

本内容は2008年2月18日に掲載いたしました。
本ホームページに掲載されている会社名、商品名は一般にメーカー各社の登録商標または商標です。
本ホームページの無断転載、引用はお断りいたします。

PAGETOP

審査 18-2468-1

Copyright(C) 1999-2019 西日本電信電話株式会社
バックナンバー RSS