OUR APPROACH事故再発防止策実施完了後の取組み

2012年6月の事故に対して再発防止策実施完了後も、同じような事故を二度と起こさないよう、継続して業務の改善や従業員の意識向上に取り組んでいます。

2014年 5月27日 作成
2015年 2月 5日 更新

2012年6月の事故とその対策についての報告

事故の概要

第1事故 ( 2012年6月20日17時ごろ )

特定のサーバー群に対して実施したメールシステム障害解消のシステムメンテナンス作業によりお客様のデータを消失いたしました。

第2事故 ( 2012年6月21日9時ごろ )

データの復旧プログラムにより消失データを復旧し、リカバードファイルとしてお客様に提供いたしましたが不完全な内容でした。

事故についての対応

第三者調査委員会による調査 ( 2012年6月28日から2012年7月30日 )

第三者による事故調査委員会を設置し、両事故について専門的および客観的な見地からの原因調査、再発防止策に関する検証を実施いたしました。

再発防止策の実施 ( 2012年8月24日までに実施完了 )

第1事故 再発防止策 第2事故 再発防止策
  1. 開発・運用プロセスの見直し
  2. 牽制(開発・運用)を含めた体制の確立
  3. システム変更業務の運用移管と分掌整理
  4. 2次バックアップの取得
  1. 第2事故の前提となった第1事故の防止
  2. データ消失時の対応マニュアル整備
  3. リスクマネジメントに関する組織の設置

以前の事故関連の情報発信サイト

事故再発防止策実施完了後の取組み

この事故を大きな教訓と捉え、再発防止策の実施完了後から2014年5月までの間、主に5つのことに真摯に取り組んでまいりました。

1ISO27002規格に基づく開発・運用プロセスのギャップ分析と対策

既に認定取得している情報セキュリティの国際規格ISO27001よりも詳細であるISO27002に基づき、約1,100項目に及ぶ現状とのGAP(脆弱性)分析を実施しました。改善点の識別と分析結果に基づいたリスク対策を実行し継続的なリスクマネジメントを行っています。

従来 新しい取組み
ベース ISO27001
(要求事項)
ISO27002
(実装の手引き)
項目数 134項目 約1100項目
アウトプット リスクの潜在化の恐れ 具体的なリスクの明確化

【 改善事例 】 お客様からのお問い合わせから、運用部門にエスカレーションする際の例

改善事例

2全従業員による定期的なリスクの洗い出しと管理策の見直し

全従業員で毎年1回ヒヤリハット事例を収集する形でリスクの洗い出しを行い、その結果を「影響度」「緊急度」により優先順位を決定し管理策を改善しています。

【 2013年度の改善事例 】 アクセス管理のシステム化

再発防止策にてシステム変更業務に関するプロセスや体制の整理・見直しを実施しましたが、より厳格に手順に則った業務遂行ができるよう、本番システムへのアクセス管理をシステム化しました。

【 2013年度の改善事例 】アクセス管理のシステム化

3ISMS(情報セキュリティマネジメントシステム)事故報告基準の見直し

ISMSの事故として報告・管理する基準を強化しました。従来は捉え切れなかったリスクや事故の予兆を捉えることで重大な事故の発生を抑制し、サービス品質の向上に寄与します。

従来 見直し後
お客様に直接影響しない事象は、現場責任者の裁量により重大度、深刻度を判断。 お客様に直接影響しない事象も、事故判定基準を具体的に定義し、事故として全社で管理。
サービス仕様(設計品質)で許容している影響範囲に収まる事象(※)については事故として全社で管理していなかった。 設計品質、影響範囲に関わらず、事象を全て事故として全社で管理。

※筐体故障が発生し、目標時間内にサービス復旧した場合など

4人材育成、活気ある企業文化創り

私たちは従業員同士の積極的で質の高いコミュニケーションが、リスクの軽減・事故の防止、更にはサービス品質の向上につながると考えています。

上長とメンバーの1対1で行う”1on1ミーティング”、部門・役職を横断し全社で行う”コミュニケーション研修”、業務を離れた環境で活発な議論を促す”オフサイトミーティング”などを行い、コミュニケーションの活性化を行うと共に、活気ある企業文化を醸成する活動を進めています。

5新サービスプロジェクト

私たちは事故から学んだ多くのことを活かし、新サービスの開発に全社を挙げて取り組んでいます。

2015年2月5日
新サービスをリリースいたしました。(2015年2月5日 更新)

クイズに答えてシリコンバレーへ行こう!キャンペーン

閉じる