代表取締役社長
田口 義夫 氏
日々の業務に潜むセキュリティリスクにどう対処するか。形だけの目標管理や一時的な対応にとどまらない、全員参加型のセキュリティマネジメントを推進
紙業界のビジネスに精通し、業務の隅々に行き届いたソリューションを提供する株式会社ジェービー情報センターは、顧客企業との密接なパートナーシップゆえに、開発・運用・保守などすべての業務プロセスで高度なセキュリティが求められている。そこで、NECソフトの支援を受け、自社に合った新たなセキュリティマネジメントへの取り組みが始まった。
- プロフィール
-
株式会社ジェーピー情報センター
昭和54年に日本紙パルプ商事株式会社の情報処理部門が分離し設立。日本紙パルプ商事株式会社における基幹系システムと情報系システムの開発・運用に加え、紙卸売業関係および紙物流関係(倉庫業・配送業)のシステム開発・販売などを主な業務内容とする。紙業界直系のノウハウを活かし、業界企業の競争力強化と課題解決を支援する。
- 本社所在地:東京都中央区日本橋室町二丁目3番16号
- 設立:1979年4月
- 資本金:1億円
紙業界のシステムインフラを支える企業として
日常生活に欠かせない紙は、様々に加工されて私たちのもとに届きます。しかし、製紙会社から出荷される段階では「巻取」「平判」などその形態は様々で、サイズや重量の問題から物流拠点が散在することも珍しくありません。独特の単位や価格づけ、取引形態があるため、業務システムも紙の業界に合わせた構築・運用方法が求められます。
株式会社ジェーピー情報センター(JPIC)は、紙の流通を手がける日本紙パルプ商事株式会社(JP)を親会社に持ち、同社の情報システムに関する開発・運用・保守を請負うほか、紙業界に精通した強みを活かし、「紙卸売業システムNPROTS」「物流統合システムDTOS3」といった紙卸売業および紙物流業向けソリューションを全国約200社に提供しています。そして、顧客企業のシステム基盤を預かる重要な役割を担っていることから、地震や火災、システム運用などに関するリスクを総合的に考慮し、全国に分散していたコンピューターシステムを安全なデーターセンターに統合し、アウトソーシングサービスも提供しています。また、情報セキュリティに関するリスク管理にも着目し、2004年にセキュリティマネジメントへの新たな取り組みを開始。その際には、NECソフトのコンサルティングおよびアセスメントサービスを利用し、自社に最適化された方法と内容で安全性を追求することにしました。
汎用機時代とは違うリスクの大きさ、リスクの種類
「紙のビジネスは、大手の製紙会社数社からの製品を、JPを始めとする代理店(一次卸)、二次卸を経由して市場に届ける、構造が比較的わかりやすい業界です。一方で、同じ製品を複数の卸売企業が販売しているため競争も激しく、価格はもちろん納入のスピードや柔軟性、さらには顧客に提供できる情報の質と量、サービスの内容までが差別化の要因となってきています」と、田口義夫 代表取締役社長は話します。
また、林正晴 取締役データーセンター部長によると「情報が重要になる中、インターネットを使った外部システムとの連携に少しでも問題があれば、ビジネスに大きな影響が出てしまいます。きちんと汎用機の面倒を見ていれば業務を続けられた時代は終わりました。現在は、リスクの種類が変わっているのです」とのこと。JPICでは、重要情報が漏れるリスク、顧客企業のシステムの安全性に問題を与えてしまうリスクなどに対して田口社長自らが危機感を抱き、委員会を設置してセキュリティマネジメントに乗り出しました。
反省に基づく新しいセキュリティマネジメント
「実は、過去にもリスクマネジメントに取り組んだ時期がありました。2001年頃、大震災などの外的リスクや内的リスクに備えようと、自社だけでリスク管理委員会を発足し、PDCAサイクルを回してリスクへの対処を強化していこうとしたのです」(田口 社長)。
「この時は、規定をきちんと整備したものの運用段階がうまくいかず、社内の意識がなかなか向上しませんでした。その反省から、今回はセキュリティマネジメントへの取り組みに際して2つの点に留意しました。外部の専門家を参加させること、そして社員全員の意識が変わるような方法を取ることでした」と安達義実取締役 総務部長は続けます。
セキュリティを体系的に高めるために
2004年6月、JPICはセキュリティマネジメント・プロジェクトをスタートさせ、NECソフトのサービスを利用しながら情報管理と機密保持の国際的な実践規範であるISMS(InformationSecurity Management System)と同等のハイレベルな安全性の実現を目指しました。しかしその際、考え方としてISMSの手法を取り入れたものの、認証の取得は目標にしませんでした。「例えて言えば、試験の結果だけを目的とするのではなく、同レベルのスキルをじっくりと身の丈に合った方法で組織に浸透させていくことが大切だと考えたのです」(安達 取締役)。
プロジェクト初期段階で、NECソフトがセキュリティアセスメント(現状分析)を実施。ヒアリングやチェックシートによる分析、情報資産の洗い出しを行い、2004年9月にはその結果報告がまとめられました。「もともと、総務部が扱う重要書類や個人情報の管理はしっかりとできていました。しかし、他の部門では生データをテストプリントしたものをそのままにして帰宅してしまうなど、正直言って少し無頓着な部分もありました」(安達 取締役)。
「問題なのは、ルールがあいまいになっていること。情報セキュリティの重要性について頭では分かっていても、ルールが明確でないから個人によって対処方法が違い、業務の忙しさに流されてしまうこともあります。そこで、シュレッダー使用の義務づけを手始めに、入退室やパソコンの持ち出し、データのコピーなどについてルールを明確化し、重要な作業については承認がなければできないようにするなど、数々の改善を行いました」とシステムサービス部岩澤仁 部長は話します。
JPICでは、NECソフトの支援を受けながら2006年1月にセキュリティポリシーを作成。その後、内容を自社に見合ったものへと徐々に最適化、セキュリティガイドブックを作成して全社員に配布しました。特徴的なのは、並行して行われたトレーニングに社員のほぼ全員が参加し、セキュリティマネジメントの内部監査に関するスキルを身につけたことです。
「ロールプレイングを通じて、ほとんどの社員が監査する側と監査を受ける側の両方の立場を経験したので、セキュリティマネジメントの理解が深まると同時に、今まで見過ごしていたリスクによく気が付くようになりました。こういった形で組織全体の意識を高めることができたのは大きな成果です。NECソフトは、方法論を示すだけでなく、選択肢を見せながら我々をリードしてくれるので、とても頼りになります」(田口 社長)。
また安達取締役は「ISMSの規定やガイドラインをベースに専門家の支援を受けて対策を進めたため、個別対応に陥ることなく、体系的なセキュリティマネジメントへ移行できました」と今回の進展を評価。JPICでは、すでにセキュリティマネジメントの内部監査を実施し、全員参加型の取り組みが始まっています。今後も継続的な活動を行っていくことにより、「形だけ」ではないビジネスの安全性・信頼性を実現しようとしています。
左から代表取締役社長 田口 義夫 氏/取締役 データセンター部長 林 正晴 氏/
取締役 総務部長 安達 義実 氏/システムサービス部部長 岩澤 仁 氏
システム担当より
NECソフト株式会社
営業本部
IT経営支援グループ
直江 とよみ
お客さまが単独でセキュリティ対策に取り組むのは難しい点が多々あります。置かれた状況は様々ですが、私どもが外部からのアドバイザーとして加わることにより、うまくいくケースが多くあります。
ジェーピー情報センター様の場合は、トップを含めたリスク管理委員会の活動において、トップダウンでありながら、現場の要望が強く取り入れられています。当社に作成依頼のあった社員配布用の「ジェーピー情報センターISMSガイドライン」は、現場の方にとって身近な事例を取り上げわかりやすい表記で作成しました。また、内部監査員養成のトレーニングにも多くの管理職の方が参加され、それまで見えなかったリスクに自ら気付くことができたようです。
何よりも、田口社長が部下任せにすることなく、積極的に参加なさっていることが一番素晴らしい点だと思います。現在は自らの手で継続的に内部監査を行う段階に入っており、時間をかけてじっくり取り組んだ成果が確実に出ています。
- ※本ページに記載されている情報は掲載時におけるものであり、閲覧される時点で変更されている可能性があります。予めご了承下さい。
- 1ページ目
