（１）リスクマネジメントの実施

事業活動を継続していく上では、セキュリティに関して様々なリスクが考えられます。これらを洗い出し、回避策や低減策を考えるのがリスクマネジメントです。

もしウエーブのウェブサイトが改ざんされた場合、以下のようなリスクが考えられます。

• ウェブサイトをご覧になられたお客様のPCが、不正プログラムに感染してしまう
• ウエーブが保有しているお客様情報が窃取される

ウェブサイトの改ざんにおけるリスクマネジメントについては、サーバー保守をしっかり行ったり、プログラミングのセキュリティ対策に気を付けたり、コンピューターウィルスの対策を行うなど、いろいろな切り口からリスクを分析し、様々な対策を講じています。

そのほかにも、

• PCや機械が壊れたらどうなるのか？
• 泥棒が入ったらどうなるのか？

など、会社の中にはいろいろなリスクが存在しているのです。想定できる全てのリスクを洗い出し、対策を講じています。

（２）ISO関連の専属部署を設置

ウエーブには、ISO27001認証関連の仕事を担当する専門部署があります。

ISO27001認証を維持するためには、社員教育、リスクの洗い出し、改善策の立案、法律のチェックなど様々なことが求められますが、ISO27001の担当者は、これらのことをほかの仕事の片手間でやるのではなく、専属で行っています。

これによって、専門知識を高めるとともに、客観的に各部署を管理することができます。

（３）各部署に情報セキュリティに関する責任者を選任

専門部署の監督下のもと、各部署（製造部門や間接部門）に責任者を立てることで、全員参加型のセキュリティ対策を行っています。

各部署の責任者には「セキュリティ委員」という呼び名がついています。

（４）内部監査の実施

ISO27001認証では、年に1度、外部の専門機関による監査（外部監査）があります。外部監査に落ちると、ISO27001認証がはく奪されてしまいます・・・

そうならないように、社内でも第三者（別の部署とISO27001専属部署）による監査（内部監査）を実施し、ルールを遵守しているかを確認。問題がある場合は指導し、是正を行っています。

（６）社員教育の実施

新卒者・中途採用者入社時にセキュリティ教育を実施、また全従業員を対象にセキュリティテストを年1回以上実施しています。

テストの点数が悪い人には再教育を行い、全従業員が常に正しく新しい知識を持てるようにしています。