ソリューション導入事例

導入先病院 ： 社団法人 東京都教職員互助会・三楽病院 様 URL ： http://www.sanraku.or.jp/    社団法人東京都教職員互助会・三楽病院 様（以下、三楽病院）は、2006年8月3日に、情報セキュリティに関する世界標準規格『ISO27001』と（財)日本規格協会が定める国内規格『JIS Q 27001』の認証を同時取得されました。    三楽病院は、2005年6月に情報セキュリティマネジメントシステム(ISMS)の認証を取得していましたが、その後ISMSの規格が、世界標準規格『ISO27001』として定められたことに伴い、速やかに新規格への対応を実施し、このたび同認証を取得されました。 「ISMSマネジメントPRO.net（旧AMRI.net）」導入の範囲 導入モジュール ： ISMS管理モジュール、文書管理モジュール、内部監査モジュール、レビューモジュール、教育・資格モジュール、苦情管理モジュール クライアントライセンス数 ： フリーライセンス 〔2006年2月導入〕 【三楽病院におけるISMS構築に当っての課題等】 （１）情報資産の洗い出しについて    同じ情報でも保管場所や取扱い方法が異なると同一には取り扱えないことから、4,000件を越す情報資産数になってしまった。この情報資産全てを人手で管理（リスクアセスメント）するのは困難であるということから、ISMS運用支援ソフトウェアの導入を検討し、「ISMSマネジメントPRO.net」の導入を決定した。 （２）何故、「ISMSマネジメントPRO.net」を選択したのか    一般的にISO支援ツールといえば文書管理に特化したものが多いが、PDCAサイクルを基本としたマネジメントシステムをトータル的に管理できると判断した。また、自分たちの状況にあわせて段階的なシステム導入が可能であり、導入リスクの低減が可能であった。 （３）メーカーとの共同開発    「ISMSマネジメントPRO.net」は、ISO9001/ISO14001のマネジメント支援が中心とするパッケージソフトウェアであることから、情報資産のリスクアセスメントの機能については機能改善を図る必要があった。今回、開発メーカー側の「ISMSマネジメントPRO.netを用いて病院の情報マネジメントシステムを抜本的に改善したい」という考え方に共感し、情報セキュリティに関わる機能については共同開発を進めることになった。 【ISMSマネジメントPRO.net導入のメリット】 （１）情報資産の洗い出しとアセスメント ①情報資産の一元管理を行うことにより、情報資産の洗い出しが効率的に行えた。 ②ISO27001:2005で要求されているリスクアセスメントの再現性について、バラつきを最小限に抑制できた。 ③リスクアセスメントの結果を様々なビューで確認できるため、リスク受容基準や水準の決定が迅速に行えた。 ④リスクアセスメントの結果に基づき、有効な管理策の選択が効率的に行え、適用宣言書を作成するまでの工数が削減できた。 （２）内部監査、文書管理、教育訓練の報告等    主要部門間（担当者間）のやり取りが、全て電子上のワークフロー機能を用いて行うことができ、処理効率が大幅に向上した。また、その結果が記録として体系的に蓄積され、病院内での情報共有並びに第三者審査対応にも効果を発揮している。    その中でも特に、セキュリティ委員へのスクアセスメントや教育訓練の報告、内部監査の事後処理（是正処置など）に威力を発揮している。