早朝散歩
松山城(愛知県松山市)を散歩してきました。松山城入口から城郭まで20分位の坂道を登ると、多くの方が、早朝のラジオ体操を楽しんでました。
松山市の中心部、勝山(標高132m)にそびえ立つ松山城は加藤嘉明が築いた四国最大のお城です。松山城は、日本で12か所しか残っていない「現存12天守」のうちのひとつ、江戸時代以前に建造された天守を有する城郭の一つとのことです。
I am walking around Matsuyama Cathle, in this Morning.
政府は国家機密を漏らした公務員等への罰則を強化する「特定秘密保護法案」の今国会での成立を目指しています。成立後に秘密基準に該当する約40万件を特定秘密に指定する方針とのことです。本法案についてはいろいろと議論があると思いますが、今回は皆様方が経営または所属している組織における秘密・機密の定義と管理について考えてみたいと思います。
組織における秘密や機密の定義はなんでしょうか。秘密・機密の対象を明確にする必要があります。JIS Q 27001情報セキュリティマネジメントシステムの用語及び定義に従えば、組織が保有している情報資産には価値があり、価値には「機密性」「完全性」「可用性」の要素を有し、この要素をそれぞれ算出して情報資産の価値が特定されます。
機密性:情報を使用不可または非公開にする特性
完全性:資産の正確さ及び完全性を保護する特性
可用性:許可された人がアクセス及び使用可能である特性
なお、組織の情報資産のうち「情報を使用不可または非公開にする必要性が高い」ものが「秘密・機密レベルが高い情報資産」となります。秘密・機密レベルが高い情報資産とは、どのようなものがあるでしょうか。例えば、お客様情報、プロジェクト情報、特許に関わるような技術情報、経理的情報、従業員やお客様の個人情報等、様々あると思います。組織の業種、規模、お客様、地域等によって機密レベルに差がありますので、どの情報資産が機密・秘密レベルが高いかを組織として検討し特定しておく必要があります。
つぎに、特定した秘密・機密レベルが高い情報資産をどのように管理するかを定める必要があります。一般的には次のステップを踏むと効率的と思います。
1.情報資産の目録等を作成し、それぞれの秘密・機密レベル決定し明示
2.それぞれの情報資産の管理者を指定
3.情報資産の利用制限の明確化
4.秘密・機密レベルにあわせた分類を定める(例 社外秘、部外秘、関係社外秘等
5.情報資産の取り扱い手順の明確化
秘密・機密レベルにあった、保管・メール・FAX・外部持ち出し・郵送等の方法
秘密・機密レベルが高い情報資産が外部へ漏洩すると、場合によっては経営を揺るがしかねない事件へと発展するケースがあります。是非とも、保有している情報資産の価値を確認し、特に秘密・機密レベルが高い情報資産については、セキュリティを確保した取り扱い手順を明確にされることをお勧めします。JIPDECにて参考資料があります
弊社では、情報セキュリティ向上、セキュリティ事故予防の支援を行っています。また情報セキュリティの国際規格ISO/IEC27001:2013の認証取得支援もおこなっています。ご興味ありましたら、お気軽にお問い合わせください。
阪急阪神ホテルズの虚偽表示発覚から約1週間経ちました。
正直言って、あのザ・リッツ・カールトン大阪でも、メニューに嘘の表記があったことには驚きました。
その他のホテルでも、続々と虚偽表示が発覚しています。
・ザ・リッツ・カールトン大阪 → 芝エビと表示。実際はバナメイエビ 等
・JR四国子会社のホテルクレメント徳島 → ステーキと表示。実際は牛脂の注入肉 等
・ホテルコンコルド浜松 → 地元産のジャガイモと表示。実際は地元産以外の食材 等
食事を提供するレストラン側はどのような想いで虚偽表示をしていたのでしょうか。
・虚偽表示しても、食中毒になるわけではない
・味付けしちゃえば、お客もわからないだろう
・円安で輸入品が高いから、似たものをつかっちゃおう
たぶん虚偽表示をしたことに、なんらかの「きっかけ」があったんだと思います。しかし、どのような理由があっても、お客様に対して「嘘をついていたこと」「裏切り行為をしていたこと」には変わりません。今回の件で、いままで築いてきたお客様との信頼関係は傷ついたに違いありません。
いままでレストラン等での不祥事は、食中毒等の発生等、つまり食の安心・安全という観点からのものでした。しかし、今回の不祥事のポイントは、お客様の信頼を裏切る虚偽の行為であることがポイントです。
ザ・リッツ・カールトン。皆さんはどんなイメージがありましたか?
お客様に対するサービスが徹底されており、「従業員は常にサービスの基本精神が書かれている「クレド(credo)」というカードを携帯している。」ことは有名な話です。虚偽表示はレストラン従業員の知識不足、理解不足だけが理由ではないでしょう。本部の購買部門も関係している訳ですからホテル全体の責任です。
お客様との信頼を回復するためにも、虚偽表示の事実を再度調査・公表するとともに、再発防止の徹底をお願いします。
弊社では、食品安全マネジメントシステムの構築支援を行っています。ISO22000、FSSC22000、SQF等の認証取得支援も行っていますので、ご興味ありましたらお問い合わせください。
16日未明に発生した伊豆大島土石流災害。18日現在で死者22名、行方不明者27名にものぼる大災害となっていましました。10年に1回の猛烈に発達した台風26号。この台風による尋常でない雨によって土石流が発生しましたが、なぜ大災害が発生してしまったのでしょうか、せめても人命は救えなかったのでしょうか。
~であったら、~していたら、とはあまり考えたくありません。ただし、この災害から真の原因と課題を検討する必要があると思います。
1)気象庁が特別警報を発令していれば・・・
2)土石流が午前2~3時という就寝時間帯ではなく、昼間に発生していたら・・・
3)東京都の複数回に亙る避難検討依頼について、大島町が迅速に対応していたら・・・
4)町長が出張せずに大島町に残っていたら・・・
5)地域防災計画に明記されていた土石流危険渓流に対する土砂災害のハザードマップを作成していら・・・
6)大島町及び住民の災害に対する意識がもっとたかったら・・・
報道機関を通じた情報によると、以上の~であったらが想定できます。また複合的な要因が重なってこの災害から回避できなかったと考えられます。
しかしながら、やはり残念に思うの大島町の対応です。都から大島町への複数回に亙る土砂災害の注意喚起に対して何故迅速避難指示をしなかったか。
また、大島町の災害対策の取組みが不十分だったようです(町は地域防災災害計画で土石流危険渓流として認識していたのにもかかわらず、ハザードマップさえ作成していなかった事実)。
自治体は、早急に地域防災計画の見直しを行う必要があると思います。なお、見直しのキーワードは二つあると思います「いままでの経験を超えた異常気象が発生しているという事実」「超高齢化社会が進んでいる、高齢者の安全は担保できるか」
今回の大災害でお亡くなりになった方にご冥福をお祈りするとともに、大島町には早急に原因究明と課題の明確化及び対策を計画されることを望みます。
本年10月1日にISO27001は改訂されました。この改訂に伴って、既にISO27001:2005 (JISQ270001:2006) で認証を取得されている組織は、2015年10月1日までにISO27001:2013へ移行する必要があります。※移行の為の主な準備はこちらをクリック
なお、移行運用後には、ISO27001:2013に基づく内部監査を実施しなくてはなりません。では、既に組織内で任命されている内部監査員に対してどのような対応をする必要があるのでしょうか。基本的には、内部監査員がISO27001:2013の規格の要求事項を理解すればよいです。内部監査の要求そのものは、何ら新しい要求を追加していません。よって、監査手順等はいままで通りにISO19011:2011(マネジメントシステム監査の指針)に従って実施すれば問題ありません。結論としては、現在任命されている内部監査員に対して、ISO27001:2013の規格要求事項及び新たに改訂される組織内のマニュアル、計画、手順等の教育を実施すればよいです。
※内部監査が効果的に実施されていない、または形骸化してしまっている組織であれば、ISO27001:2013の要求事項を教育するだけでは意味がありません。内部監査員に対してスキルアップ教育をした方がよいでしょう。基本に戻ってISO19011:2011(マネジメントシステム監査の指針)を復習されることをお勧めします。
では、いつ頃に内部監査員に対して、ISO27001:2013の規格要求事項を教育したらよいでしょうか。移行の運用後に教育を実施するのではなく、なるべく早めに実施することをお勧めします。よほど大きな組織でない限り、ISO27001:2013への移行推進者と内部監査員はほぼ同一ではないでしょうか。そうであれば、なるべく早めにISO27001:2013の規格理解の教育を実施して、内部監査員と移行推進者の理解を深めてしまいましょう。一石二鳥の得策になると思います。
BTCJ社では、ISO27001:2013規格教育、ISO27001:2013内部監査員教育等のサービスを提供しています。お気軽にお問い合わせください。
補足2014年3月31日
JISQ27001:2014は、日本規格協会から2014年3月20日に発行されました。
日本規格協会または、大型書店にて販売しております。
日本規格協会WebStore
==================================
ISO27001:2013が10月1日に発効されました。すでにISO27001:2005で認証を取得されている組織/これから認証取得を計画されている組織は、ISO27001の規格を入手しなくてはりません。日本規格協会では9月25日から英文が発行されていますが、このたび邦訳版(和訳)が発行されました。日本規格協会WebStore
原文をしっかりと読むことは重要ですが、やはり日本人は和訳があると安心ですよね。ただし、18,060円するので高めです。
しばらくしたらISO27001:2013は、JIS化されてJISQ27001として発効されますので、それまで購入を待つというのも一案かもしれませんね。
なお、JISQ27001は2014年3月頃に発行予定のようです。
BTCJ社では、ISO27001:2013改訂コンサルサービスを行っています。お気軽にお問い合わせください。
10月1日にISO27001:2005が改訂され、ISO27001:2013が発効されました。この改訂に基づき、既にISO27001:2005の認証を取得されている組織は、2年以内(2015年10月1日)にISO27001:2013へ移行しなくてはなりません。またこの移行に伴い組織は、主に次のステップを計画的に実施する必要があります。
1.ISO27001:2013の規格理解(ISO27001:2005との差異を理解)
2・ISMS文書の改訂
3.必要に応じてリスク評価の見直し等
4.各種手順、計画書の変更
5.ISO27001:2013に基づくシステムの運用開始
6.内部監査(ISO27001:2013運用後)
7.マネジメントレビュ(ISO27001運用後にも)
8.認証機関から移行審査(維持審査や更新審査のタイミング)を受審
9.ISO27001:2013での認証取得
※この主に9つのステップを余裕をもって、そして有効なシステムとして機能させるために6ヶ月間程度の準備期間が必要と思います
2年間の猶予がある訳ですが、いつ頃移行準備を開始したらいいのでしょうか。基本的には、特に急ぐ必要もないので、あせらずに余裕をもって準備を開始すればよいと思います。その理由は、規格要求が変更されるということで、初期段階では認証機関及び審査員は規格解釈等でばらつきが出る可能性もあります。よって、落ち着いた頃(2015年~)に移行審査を受審された方がよいと思います。
ただ、気をつけなければならないことがあります。
移行審査の基本条件を整理してみましょう(認証機関によって手順が異なりますので、現在認証を受けいている機関に詳細確認してください)。
→ISO27001:2013への移行審査は、年1回の維持審査や3年に1回の更新審査のタイミングで実施されます。
→2015年10月1日までにはISO27001:2013に移行が終えなければなりません。また審査で不適合の指摘があった場合を想定し、是正処置が容認される期間を考慮すれば2015年8月1日頃には移行審査をうけることになります。
組織としていつ移行審査を受けることが可能かを確認をしてみてください。2015年8月頃に審査可能であるならば、一番余裕をもったタイミングで移行審査を受審できます。しかし、例えば11月に審査を受けなくてはならない組織は、2014年11月の審査の時に移行審査を受ける必要があると考えられます(2015年11月の審査時では遅いため)。このような組織は2014年11月の移行審査に向けて、上記の9ステップを踏まえ2014年4月頃から準備をする必要があると思います。
ISO27001:2013への移行は、2015年10月1日まで猶予期間があります。是非、どの時期(2014年なのか、2015年でもよいか)に移行審査を受けなければならないかを確認してみてください。そして、ISO27001:2013への移行を余裕をもって準備してください。そして、せっかくのシステム見直しの機会ですので、更に自分たちの組織にあった、リスクに見合った効果あるISMSへと改善されてはいかがでしょうか。
BTCJはISO27001の移行支援を行っています。お気軽にお問い合わせください。
安倍首相は10月1日の閣議で2014年4月の消費税率8%への引上げを決定しました。消費税の引上げは1997年4月の橋本内閣以来2回目です。
消費税の増税による影響は様々ですが、経済再生と財政健全化を同時に達成するためには決断せざるおえないのかもしれません。
今回は来年4月1日からの5%から8%への増税に伴う価格表示の影響について考えてみたいと思います。いままで、店頭価格は税込の総額表示が義務付けられていました。しかし、消費税転嫁法が10月1日に施行されたことにより、2017年3月迄は税抜き表示も認められることになりました。よって、今後は店ごとで店頭価格の表示が税込と税抜で異なることになります。税抜き表示で安さをアピールしたいお店もでてくることでしょう。一方消費者は税込か税抜きかで混乱、計算が大変になるかもしれません。
例えば、税抜き379円のお弁当で想定しますと、こんな感じです。
現在 消費税5% 税込総額表示 → 398円
現在 消費税5% 税抜き表示 → 379円
増税後 消費税8% 税込総額表示 → 409円
増税後 消費税8% 税抜き表示 → 379円
なんか、これだけ見ても混乱してしまいますね。
そこで、各業界団体は業界毎で価格表示の基本方針を検討しているようです。しかし、百貨店協会は税込の総額表示が基本方針。日本スーパーマーケット協会は税抜きが基本方針。このように業界毎で方針が異なるようです。消費者にっとては、業界を選んで購入している訳ではないので、しばらくは税込?税抜き?で混乱することになりそうです。慣れるまでは、計算機を持って賢くお買い物をするしかないようです。
本日(10月1日)、ISO/IEC27001:2013(以下ISO27001という)が発効されました。今回発行されましたISO27001の規格書は規格協会で購入可能です。規格協会(JSA WEB Store)
※現在は英語版のみの発行です。10月中旬に日本版も発行されるようです。
既にISO27001:2005版にてISO27001の認証を取得されている組織は、2013年10月1日から2年以内にISO27001:2013版への移行審査を受ける必要があります。詳細については、現在認証を受けている認証機関にお問い合わせください(認証機関により移行手順が異なります)。
移行期間は2年ありますので、あせる必要はありません。この移行をグッドチャンスと捉え、効果ある情報セキュリティマネジメントシステム(ISMS)への見直しを積極的に展開されてはいかがでしょうか。
また、これからISO27001の認証を取得される組織は、ISO27001:2013の要求事項に従った、情報セキュリティマネジメントシステムを構築することになります。
~ISO27001とは~
情報マネジメントシステムの国際認証規格です。昨今、機密情報漏えい、個人情報漏えい事故等が日々新聞やテレビで報道されています。この規格は組織が保有している情報資産を漏えいしないような仕組みを構築するための要求が記載されています。
また、ISO27001の要求を満たした情報セキュリティマネジメントシステムを構築していることを表明したい場合は、第三者認証機関に認証審査を受けることが必要です。
JIPDEC
BTCJでは、ISO27001の認証取得支援を行っています。お気軽にお問い合わせください。
9月27日、金融庁はみずほ銀行に対する行政処分を公表しました。
みずほ銀行に対する行政処分について
金融庁検査で次のことが発覚したようです。
1.みずほ銀は2010年以降、信販会社を通じた自動車などの提携ローンで、反社会的勢力との取引があると把握していながら、抜本的な対応策をとっていなかった。
2.これら取引の情報は、担当役員どまりになっており、取引は少なくとも約230件、約2億円超えていた。
金融庁は、みずほ銀行に対して、反社会的勢力と決別し、法令順守体制、経営管理体制の見直しを命じ、10月28日までに業務改善計画を提出することを指示しました。
なぜ、日本の主要3行のみずほ銀行がいまだに反社会的勢力との取引を続けてきたのでしょうか。行内で取引を知っていたにもかかわらず内部統制が機能がしなかったという事実。担当役員はこのことを知っていたのにも係わらず隠していたという事実。主要3行の中でみずほ銀行が繰り返されている行政処分(例:2013年3月の大震災直後のシステムトラブルにおいても行政処分)。
組織してコンプライアンスの意識や組織体制の抜本的な改革が必要です。また責任所在の明確化、経営体制の再構築が喫緊の課題ではないでしょうか。ただ、このようなことは不祥事発生の際に必ず業務改善計画に盛込み、約束してきたはずです。にもかかわらず繰り返されるお粗末な実態。。。
みずほ銀行に関しては、内部監査機能の充実が必要であると思います。独立公平性を担保しプロフェッショナルな監査チームが厳しくチェックする。もし、自らの組織では自浄機能が働かないのであれば、外部メンバーに厳格に監査してもらうこともよいでしょう。チェック機能の拡充も経営改善の重要な手法です。みずほ銀行は、今回の行政処分を真摯に受止め改善し、信頼の回復に努めて頂ければと願います。
なお、BTCJでは内部監査支援、二者監査代行、監査員養成教育を行っています。監査に関してお気軽にお問い合わせください。
