2012年6月の事故に対して再発防止策実施完了後も、同じような事故を二度と起こさないよう、継続して業務の改善や従業員の意識向上に取り組んでいます。
2014年 5月27日 作成
2015年 2月 5日 更新
特定のサーバー群に対して実施したメールシステム障害解消のシステムメンテナンス作業によりお客様のデータを消失いたしました。
データの復旧プログラムにより消失データを復旧し、リカバードファイルとしてお客様に提供いたしましたが不完全な内容でした。
第三者による事故調査委員会を設置し、両事故について専門的および客観的な見地からの原因調査、再発防止策に関する検証を実施いたしました。
第1事故 再発防止策 | 第2事故 再発防止策 |
---|---|
|
|
この事故を大きな教訓と捉え、再発防止策の実施完了後から2014年5月までの間、主に5つのことに真摯に取り組んでまいりました。
既に認定取得している情報セキュリティの国際規格ISO27001よりも詳細であるISO27002に基づき、約1,100項目に及ぶ現状とのGAP(脆弱性)分析を実施しました。改善点の識別と分析結果に基づいたリスク対策を実行し継続的なリスクマネジメントを行っています。
従来 | 新しい取組み | |
---|---|---|
ベース | ISO27001 (要求事項) |
ISO27002 (実装の手引き) |
項目数 | 134項目 | 約1100項目 |
アウトプット | リスクの潜在化の恐れ | 具体的なリスクの明確化 |
【 改善事例 】 お客様からのお問い合わせから、運用部門にエスカレーションする際の例
全従業員で毎年1回ヒヤリハット事例を収集する形でリスクの洗い出しを行い、その結果を「影響度」「緊急度」により優先順位を決定し管理策を改善しています。
【 2013年度の改善事例 】 アクセス管理のシステム化
再発防止策にてシステム変更業務に関するプロセスや体制の整理・見直しを実施しましたが、より厳格に手順に則った業務遂行ができるよう、本番システムへのアクセス管理をシステム化しました。
ISMSの事故として報告・管理する基準を強化しました。従来は捉え切れなかったリスクや事故の予兆を捉えることで重大な事故の発生を抑制し、サービス品質の向上に寄与します。
従来 | 見直し後 |
---|---|
お客様に直接影響しない事象は、現場責任者の裁量により重大度、深刻度を判断。 | お客様に直接影響しない事象も、事故判定基準を具体的に定義し、事故として全社で管理。 |
サービス仕様(設計品質)で許容している影響範囲に収まる事象(※)については事故として全社で管理していなかった。 | 設計品質、影響範囲に関わらず、事象を全て事故として全社で管理。 |
※筐体故障が発生し、目標時間内にサービス復旧した場合など
私たちは従業員同士の積極的で質の高いコミュニケーションが、リスクの軽減・事故の防止、更にはサービス品質の向上につながると考えています。
上長とメンバーの1対1で行う”1on1ミーティング”、部門・役職を横断し全社で行う”コミュニケーション研修”、業務を離れた環境で活発な議論を促す”オフサイトミーティング”などを行い、コミュニケーションの活性化を行うと共に、活気ある企業文化を醸成する活動を進めています。
私たちは事故から学んだ多くのことを活かし、新サービスの開発に全社を挙げて取り組んでいます。