9月5日に行った第53期(2019年9月-2020年8月)の委員会発表会で。マルワの社員の方々

リスクマネジメントを経営の意思決定プロセスにしっかり位置付ける――BCPの実効性を高めるために不可欠な取り組みだが、タテ割構造の組織において、それは時に容易ではない。むしろ顧客や社員の顔が見える中小企業に学ぶべきことが多いのもまた一つの側面だ。印刷会社の株式会社マルワ(名古屋市天白区)は、事業継続にかかるリスクをISO、ISMS、BCPなどの指標と手法を使って洗い出し、解決に向けた取り組みの一つ一つをSDGsのゴールに照らしてセルフチェック、自社の目指す姿を達成するために必要なESG活動として毎年の経営計画に落とし込んでいる。それをまわしているのは、社員全員の実践と協力だ。

株式会社マルワ
名古屋市天白区

事例のPoint
❶リスクマネジメントを経営の中に明確に位置付け
ISOやISMS、BCPなどの指標・手法を用いて事業リスクを見える化。解決に向けた活動を毎年の経営計画に明記

❷リスク対策を企業価値向上のESG活動として重点化
個々の活動をSDGsのゴールに照らしてセルフチェック。2030年のビジョン達成に向け、自社の企業価値を高める取り組みと重ねる

❸リスク対策を含んだESG活動を社員の全員参加で運営
組織体制の整備、綿密なスケジューリング、コミュニケーションの機会確保によってESG活動を日常に溶け込ませることで社員の全員参加を実現


日々、さまざまな顧客からさまざまな原稿データが届く。調達から編集、制作、校正、印刷、納品まで、社内・社外を問わず刻々と交わされる情報は量・質ともに膨大だ。供給者責任において、ITセキュリティーは最重要事項といっても過言ではない。

画像を拡大

不正アクセスを防ぐため全端末に対策ソフトを導入して常時監視、USBメモリなどの記憶媒体は直接個々のパソコンにつながない。オフィス中央に設置した専用のパソコンでウイルス検査を行い、安全を確かめたのちデータを取り出す。検査結果は全てデータ提供元に報告する決まりだ。

データの破損や紛失、パソコンの不具合に備えては、編集・制作から印刷までの過程にある原稿や見本刷り、関連仕様書や伝票、積算などを社員が作業後に毎日バックアップする。作業途中のデータなど一部を除き、個人のパソコンには残さない。保存場所はNAS(ネットワーク対応HDD)と外付けHDDを使用し、社内サーバーやクラウド上にも格納しないのが原則だ。

「品質」「環境」「ISMS」でISOを取得

2001年に品質管理のISO9001、翌02年に環境管理のISO14001を取得したのに続き、05年にISMS(情報セキュリティーマネジメントシステム)でもISO27001を取得。社内のITルールを簡潔にまとめて配布したり、注意喚起を促すポスターを壁に掲示したりして啓発に努めている。

「それこそ10年以上やっているので、社員はむしろ『これが普通』と思って行動している。ただ、新しいルールを導入する際などは、定着までに多少の時間がかかります。そこはしつこく説明していくしかない」。ISMS担当の若井朋宏さんは説明する。

その点、日常的なコミュニケーションの仕掛けは豊富だ。社内SNSや社内勉強会といった場をフル活用して説明するほか、ITリテラシーの向上を目的に毎月1回A4判の情報セキュリティー通信『インフォぷりん』を発行。旬の「時事ネタ」も取り入れて、社員だけでなく顧客にも配布している。

例えば新型コロナウイルス感染が拡大してきた今年の3月号であれば、在宅ワーク時のセキュリティーリスクとその対策がテーマだ【下記参照】。

●毎月発行する情報セキュリティー通信「インフォぷりん」の前期テーマ

画像を拡大

9月●パスワード設定のコツ(2019年版)
10月●クレジット情報が漏えいしたら…
11月●印刷物作成(納品)にともなうPDFデータ提供について
12月●マルウェア「EMOTET」にご注意ください!
1月●海外でスマホを使う時に注意すること
2月●不要になったパソコンの正しい処分方法
3月●在宅ワークの情報セキュリティーリスクと対策
4月●WEB会議のリスクについて
5月●リンク先の安全を確認しましょう
6月●個人情報保護法改正で変わる企業の対応について
7月●個人情報の適切な管理2020 ① ~個人情報の定義~
8月●個人情報の適切な管理2020 ②③ ~取得・利用の制限~

本記事は「月刊BCPリーダーズ」12月号に掲載したものです。月刊BCPリーダーズはリスク対策.PRO会員がフリーで閲覧できるほか、PRO会員以外の方も号ごとのダウンロードが可能です。
https://www.risktaisaku.com/feature/bcp-lreaders