東北電力グループ：社会からより信頼されるエネルギーサービス企業を目指し、情報セキュリティガバナンスを強化

「情報セキュリティマネジメント体制の構築は、当社独自では進めていました。しかし、当社ならびに34社にのぼるグループ企業を包括したマネジメントとなると、どこから手をつけるべきかと。当時は、グループ各社の情報セキュリティ状況も掴めておらず、各社の現状をどのように把握すれば良いのか、どう評価すれば良いか、そしてどう方向づけをすれば良いのかなど、ノウハウがなければ難しいと痛感しました。そこで、十数年におよぶ他の業務においてのコンサルティング実績、みずほフィナンシャルグループにおける情報セキュリティマネジメント構築や金融機関に求められる厳しい情報セキュリティに対応している実績を加味し、2006年、みずほ情報総研が提供するグループセキュリティマネジメント構築支援サービスの導入に踏み切りました」と語るのは、東北電力の取締役情報通信部長 早坂栄二氏である。

また、情報セキュリティマネジメントの国際規格である「ISO/IEC 27000シリーズ」および「IPA（情報処理推進機構）情報セキュリティベンチマーク（*）」を踏まえている点も、決め手になったという。

「情報セキュリティに関しては、グループ各社から専門的過ぎてよくわからないという声も少なくなかったのですが、みずほ情報総研が当グループの企業風土を理解し、我々と同じ目線で根気良く進めてくれたお陰で、専門家でなくとも一通りは理解ができるまでにレベルが上がりました。また、プロジェクトを推進する私たちにとっては他業務と兼務してのプロジェクトでスケジュールもタイトでしたが、常に先を見越して迅速に対応していただき大変感謝しています」と、担当者である情報通信部の小野善弘氏は話す。

「本当に、かなりレベルは上がったと思いますよ。当初は各社のレベルすらわからなかった事を考えると、かなり満足しています」と早坂氏は顔をほころばせる。東北電力グループでは、一通りの理解を得た後も、情報セキュリティのグループ内浸透を目的に全従業員向け教育（e-learning）や啓発活動（パンフレット配布など）により、全従業員の意識レベルを向上するための活動は継続しているという。「34社の実務責任者を集めた会議を年2度程開催し、そこで情報共有を図っています。横の連携がうまくいくと、今回のプロジェクトを遂行するにあたって浮上する悩みなども解決していくようです」（小野氏）。

「実はこれまでは、グループ全体での意識の共有化というような大規模なプロジェクトは実施していなかったのです。しかし、今回の取り組みによって、グループ企業間の風通しが良くなり、セキュリティを媒介にして副次的に各社が抱える経営課題や諸問題などの相談も入るようになりました」と早坂氏。各社の実務責任者も、それぞれの社内で仕事の価値や内容がわかってもらえるようになったと喜んでいるという。今回のプロジェクトは、縦横それぞれの連携を強化しただけではなく、グループ全体におけるコミュニケーションの活性化に繋がったようだ。

導入当初はPDCAのPlanでさえも危うい企業があったなかで、3年間でCheckまで到達した東北電力グループの情報セキュリティ管理。成功に向けての秘訣はなんであろうか。「責任者がきちんと重要性を認識し、折に触れてその重要性を説いていくこと。そして、経営幹部層からの理解を得ることでしょうか」と早坂氏。また、今回のプロジェクトに参加したメンバーが皆、高いモチベーションを持って取り組んだことも、成功の秘訣であると早坂氏は続けた。そのモチベーションの維持には「明確に目標を定め、その取り組み結果が数値化され見える化されたことで、その効果を実感することができたからだと思います」（早坂氏）。