【事例】372社のPDCA体制築く
2.2億円のコスト削減効果も---松下電器グループ（下）

セキュリティー対策で勝つ！

杉山　泰一

日経情報ストラテジー

2005.09.27

国内の管理レベルを「3」に

●松下電器産業グループは2004年度に国内全拠点が保有する情報をすべて棚卸し

●松下電器産業が定義する情報セキュリティーの管理レベル基準

イメージカラー（黄と黒）を決めることで、社員の注意を常に喚起。社内で作成した「情報セキュリティガイド」の表示もイメージカラーを採用

●松下電器産業グループによる情報セキュリティー対策のポイント

　前述の通り、松下は5段階の管理レベル基準を設定している。管理レベルによって、組織が守るべき具体策の項目数や内容、順守度合いなどが異なる。2004年度は国内拠点すべてをレベル3以上にすることを目指した。

　経済産業省のモデルなどを参考にして作った具体策は、（1）運用体制、（2）推進体制、（3）教育、（4）情報資産の特定、（5）物理的・環境的管理、（6）運用管理、（7）精査・監査、(8)リスク分析・対処——に大別できる。

　レベル3の具体策は、ICカードによる入退室管理、盗聴防止、電子情報の暗号化、懲戒規定の作成、外部からの監査など。扱う情報の機密性に応じて構内を3区分するゾーニングも実施した。さらに「CSOから直接許可を得ない限り、ノートパソコンで個人情報を持ち歩けなくした。事実上、一般の営業担当者が持ち出す可能性はなくなった」（長野参事）。パソコンの紛失・盗難も年間約90件まで減った。

　また、ガイドブックを「入門編」「実践編」「個人情報編」の3冊作成・配布し、ウェブ上のテストを3回実施した。職場ごとのテストの受講状況はイントラネットで確認できる。中村社長が受講状況をチェックし、受講が進まないドメインの事業部長などに直接電話をしたりメールを送って注意している。

　さらに、CMMの考え方を取り入れ、レベル3は組織レベルで情報セキュリティー対策のPDCAサイクルを確立させることを必須条件とした。レベル1は個人レベルで属人的にやっている状態。レベル2は組織レベルで対策を実践するだけで、見直しプロセスがない。

　レベル4は自主的・継続的にPDCAサイクルを回す。レベル5は品質管理のISO 9001、環境管理のISO 14001など、ほかのマネジメントシステムとISMSを連携させながら、PDCAサイクルを回す。

　各職場の管理レベルの到達度は、ISMプロフェッショナルが判定する。チェックシートを活用しながら、同じドメインにいるIMSリーダーにヒアリングしたり、現場を視察する。

1億件超す情報資産を棚卸し

　「レベル3到達への第一歩は、情報資産の洗い出し。国内のすべての拠点で営業秘密情報を棚卸ししたら、極秘扱いの情報が約1万6000件、秘扱いが約730万件あった」（金森本部長）

　レベル3を実現する前に、約10万人の従業員が勤務する国内の全拠点で電子情報や紙情報を調べた。すると、2つの課題が見つかった。情報の管理単位と機密区分のバラツキだ。秘密情報をファイル単位で管理する部署と書類1枚単位で管理する部署が混在。また、同じ情報を提供元部署は「秘」扱いで、提供先は「社内情報」扱いで処理したりしていた。このままでは知らず知らずのうちに機密情報が流出しかねない。情報の管理単位と機密区分を全社で統一した。

　2005年4月の個人情報保護法の完全施行をにらみ、個人情報も2005年2月に棚卸しした。すると、1億1000万件以上の個人情報を保有していることが判明。6900万件は開示請求に対応すべき情報だった。保有する個人情報は、製品保証書カードや修理、ウェブサイト会員などから取得した。

　個人情報の管理コストはばかにならない。グループ内で最多となる3600万件の個人情報を持つ専門店販売推進本部は年間3億4000万円を費やしていた。しかも個人情報を漏えいさせたら、「謝罪のために顧客や経済産業省を訪問する際の交通費など、対策費用は1件当たり平均1万円かかる。さらに大事件に発展して1つの事業が消し飛んだら、損失額は1000億円でも済まないだろう」（長野参事）。

　つまり、余分な情報は持たないほうが事業リスクは低くなる。情報の使い方を検証し、使わない情報は廃することにした。例えば製品修理依頼があったときに必要な情報はシリアルナンバーだけ。氏名情報がなくても修理できる。専門店販売推進本部は今夏に3000万件の情報を捨て、年間管理コストを2億2000万円まで減らす。

日ごろから注意を喚起してやる

　松下の最大の目標は、職場ごとに自発的にPDCAサイクルを回し、強固な情報管理体制を維持することだ。そのためには、社員に常にセキュリティーを意識させる仕掛けがいる。

　例えばISMリーダーにチェックシートを配り、毎月職場の全員に目を通させる。社員が日々利用するイントラネットのトップ画面にセキュリティーに関連した情報を毎日表示させる。2005年1月にパソコンの盗難紛失ゼロ・キャンペーンを始め、職場ごとの競争心をあおっている。ウェブ上のテストは今年度も2回以上を予定する。

　さらに、情報管理に関する取り組みのイメージカラーを黄と黒の目立つ2色に統一。ガイドブックの表紙や社内向けポスターなどをイメージカラーでデザインしている。また、社員の昇格時に必ずセキュリティー教育を施す。

　松下グループの現時点での大きな課題は、日本から声が届きにくい国外拠点すべてを早くレベル3にすることだ。北米、欧州、中国、東南アジアでは4～5月に情報資産の棚卸しを始めた。インターネットに国境はなく、どこから情報が漏れるかは分からない。