対象:ITコンサルティング
回答数: 4件
回答数: 5件
回答数: 6件
3月に会社を分割し子会社を設立しました。
子会社の人数は役員を含めて6名です。
親会社はプライバシーマークを取得しており、
子会社でもいずれプライバシーマークを
取得することを想定したいと考えています。
しかし、親会社のシステム担当役員が居るのですが、
「要件定義しろ」とか「システム定義しろ」
とかうるさくて、業務が全く進みません。
とりあえずネットがつながった状態(笑)
まずは業務上支障のない範囲で、
最低限のレベルでスタートさせたいのですが、
どのレベルで進めたら良いのでしょうか?
また何か参考になりそうなものがありましたら
ぜひご指導ください!!
よろしくお願いいたします。
補足
2011/03/03 09:08個人情報を扱う可能性はありません。。
情報規定というより、もっと低レベルな話で、、
ネットに繋がったはいいがソフトをインストールできない
リスクばっかりを言われて、何をすれば良いのかが解らない。
という状況です(苦笑
つまり、担当役員は「要件定義しろ!」
というのですが、
システムの解らない人が要件定義できるわけがないですし、
「お願いできませんか?」
と聞き返すと、
「それは貴方達の仕事です!」となってしまう。
業務に支障が出始めているので、
最低限のシステム要件を組んでおきたい。
それはどの程度か知りたいということになります。
真実一郎さん ( 東京都 / 男性 / 40歳 )
回答:3件

田中 英一
ITコンサルタント
3
まずは情報管理規定から
初めまして、フォーサイト・マネジャーの田中です。
まずは会社の設立おめでとうございます。
私はITプロジェクトのPM専門会社を経営しております。
プライバシーマークの取得をいずれということですが、
個人情報を多く預かる必要性のある企業という認識で宜しいでしょうか?
いずれにしろ、初めに行っておくべきリスク管理としては、
情報管理規定の準備かと思います。
すでに社員の方がいるかと思いますので、就業規則と別に
情報管理規定は作られた方が良いかと思います。(もう準備済であればすみません)
つまり顧客から預かる機密情報の管理方法や
社内の機密情報の管理方法(権限など)について、
責任者も含めた明確な規定を作り、社員も含めた運用ルールの徹底が重要かと思います。
ルールを作っただけで、実際は形骸化するケースが多くあります。
セキュリティ関連は強化すればするほど、煩雑な作業が伴うものです。
まずはシンプルなルール作りを行い、セキュリティの重要性を認識させ、
運用していくうちに少しずつ改善していけば良いかと思います。
私も前職は大手IT企業に在籍しておりましたが、やはり情報漏えいの問題は
大きな企業リスクにもなっていました。
モバイルPCを業務で使う場合には顧客情報を入れたまま紛失などは、
発生確立の高いリスクとなります。
まぁいいやという考えが大きな損失を招くことになりますので、
まずは情報管理規定をきちんとされるところから行ってはどうでしょうか?
親会社の方にはそういった規定があるかと思いますので、それをベースとして
新会社ようにアレンジされるのが良いかと思います。
ご検討下さい。
評価・お礼

真実一郎さん
2011/03/03 11:09田中先生、有難うございます!
実は、個人情報を扱う可能性はありません。。
情報規定というより、もっと低レベルな話で、、
ネットに繋がったはいいがソフトをインストールできない
リスクばっかりを言われて、何をすれば良いのかが解らない。
状況です(苦笑
ようは、担当役員は「要件定義しろ!」
というのですが、
システムの解らない人が要件定義できるわけがないですし、
「お願いできませんか?」
と聞き返すと、
「それは貴方方の仕事です!」となってしまう。
業務に支障が出始めているので、
最低限のシステム要件を組んでおきたい。
それはどの程度か知りたいということになります。

田中 英一
2011/03/03 13:11個人情報を扱わないのであればプライバシーマーク取得をされるメリットは
あまりないかと思いますが。
システム要件というのは、社内OAシステムの要件ですね?
どういうシステム環境なのかわからないので、なんとも言えませんが
親会社との何かシステム共有がなく、単独でシステムを構築するのであれば
ネットワーク構成図と社内OA機器(IPアドレスを持つもの)管理表くらいを
作れば良いのではないでしょうか?
ドメイン管理されているなら、少し複雑にはなりますが・・・
それ以上はシステムスキルがなくては難しいかと思いますので、
スキルを持った方にお願いするしかないかと思います。
まぁ詳しい環境をお聞きした上で、簡単なアドバイス程度なら無償でやりますので、
会社の方へご連絡下さい。(外部に頼むなという話なら残念ですが)
ここでは具体的なご回答ができなくてすみません。

岡本 興一
ITコンサルタント
-
まずは、定型業務のマニュアル化をしてみてはどうでしょうか?
ご質問の内容を拝見しましたが、何をしたいのか?が漠然としているのではないでしょうか?
要件定義というのは、何をしたいのか?を明確にすること。
そして、どこまでをシステムで行い、どこまでを人間が実施するか。システム境界を定めることです。
これをやるためには、システム導入の目的は何か?を明確にする必用があります。
また、システムの目的が明確化されたとしても、業務フローが明確でなければ、システム化できません。
会社が立ち上がったばかりとなると、まずは、業務フローを明確にしなければならないのでは?とも思います。
逆に、フローが決まっていれば、どの部分をシステム化し、何に備えるべきか?が見えやすくなります。
したがって、まずは、定型業務をマニュアル化し、業務フローを明確化する。
その中で、セキュリティ対策の必要な箇所を洗い出し、システム化の目的を定義する。
その後、システム導入後の業務フローを書いて、システムと人間の仕事の境界を決める。
そうした流れで備えるのがよいのでは?と思います。
ご参考になれば幸いです。

荒添 美穂
ITコンサルタント
1
まずは、ソフトのインストール基準を作ってはいかがでしょう?
有限会社 インテリジェントパークの荒添と申します。
◆ リスク管理と業務効率のバランス
◆ 会社の成熟度に比べ、高すぎる要求
この2点は、ルール自体を形骸化する要因でもありますし、多くの方がお悩みです。
親会社の担当役員の方の要求は、プライバシーマークとは離れて、
通常のJSOXや会社法で要求されている内部統制に沿って、
または、親会社自体のシステム運用規程に従って出されているものと思います。
まずは、御社内でのソフトとハードの購入基準を作ることをおススメします。
たとえば、経理のソフトは○○
メーラーは○○(アウトルックなどの指定)
ブラウザは○○(IEの9など)
これは、御社内の責任者が妥当と判断したという位置づけです。
これで、何のチェックもされていないソフトのインストールは、回避される状況であることを示します。
要件定義をしたとしても、実際のリスク管理には寄与しませんので、インストール基準を先に設定して、担当役員の方へお示し下さい。
また、要件定義が必要であれば、中小企業基盤整備機構や中小企業支援センターなどの専門家派遣を活用されますと、安価にコンサルを活用できるかと思います。
詳細の内容をお教え頂ければ、また、具体的な助言も可能ですので、お気軽にご相談ください。
(現在のポイント:2pt)
このQ&Aに類似したQ&A
表示中のコンテンツに関連する専門家サービスランキング