|
「セキュリティ」。もし経営トップの方が聞けば「ぜひ、我が社も対策をしていかなければならない!」という答えが返ってくるであろう。ITベンダーやコンサルタントが聞けば「このワードは商売のキーワード。さてどれだけ稼げるか・・・。うしし。」
というほど、どこもかしこも「セキュリティ」ブームである。あえてブームといったのは何故かこの業界は「キーワード」好きであり、あまり深い検討がされないまま、その言葉だけが先走る傾向があるからである。
「なんでも4月から法律が施行されるみたいじゃないか。我が社も『セキュリティ』について検討していかねばならん。したがって総務部長である君が陣頭指揮を執ってくれたまえ!」
そういわれた部長は「金庫の鍵すら机の上に置きっぱなしの会社が、セキュリティ?」なんて決して言わず、「はい。わかりました。」と返事をせざるを得ない。
しかしそこで部長は悩むのである。
「何から手をつけていけばいいのだろう?」
インターネットを一生懸命検索したり、出入りの業者に説明を受けたり、本屋さんで何冊か本を買ってきたりしてなんとなく分かってきた部長。
「そうか、セキュリティポリシを作って、ISMSの認証を受ければ良いのだな。」
なんて、大体の方向性が見えてくる。
経営幹部会議で計画と予算の承認を取り、進めていきかけたころ、大変なことに気がつくのである。
「営業の生産性を落とすことを、あの社長が承認するわけ無いじゃん!」
既に経験された方はお分かりだと思うが、「セキュリティを強化する」ということは「生産性を犠牲にすること」に他ならないのである。
例えば、メールの受信の際、毎回毎回パスワードを入力するとしたら、結構面倒である。さらにやっと覚えたパスワードも(当然、パスワードを書いた付箋紙をモニタの横に張るのは禁止されています)毎月変更されてしまうのだ。
他にも、データの持ち出しは禁止だ、パソコンを持ち出す際は上長の許可をいちいち得なければいけないとか、サーバールームへは鍵が無ければ入れない、昼休みのインターネットは禁止だ、メールでの私信は禁止だ。ねばならない、ねばいけない、禁止だ!禁止だ!の連続攻撃。
という従業員皆さんから全面反対を食らうような決まりごとを導入しなければならない。
そうして最後の頼みである社長までもが反対するのである。
「総務部長、そこまで厳しくしなくて良いだろう。」
「(いや、あなたがやれって言ったんでしょ!)・・・はい。しかし・・・。」
「パスワードは毎月覚えられんよ、特に私や専務のような昭和一桁生まれには。なあ、専務。あはは。」
「そうですね。昨日も孫の名前がどうも思い出さなくて苦労しました。あはは。」
「(結局、専務のお孫さんには私が代わりにメールを送ったんですけどね!)しかし一度事件が発生しているだけに、再発すると我が社の体制自体が問われますが。」
「あんなことは、もう二度とおきないよ。なあみんな。」
「(二度とおこさない対策を立ててくれ と言われたので作ったんですけどね〜)はあ。」
「では、パスワードの件は今までどおり、いいね。」
「(この準備と根回しにかかった、3ヶ月、どなたが返してくれますか?)はい。では、次4-5サーバールームについて・・・。」
と総務部長は「レモンチューハイは一日2杯までの誓い」を今日は破ろうとつぶやくことで、経営会議自体は無事進んでいくのである。
飛行機は「故障しない」設計思想だけでなく、故障した場合に「どう安全に着陸するか」という設計思想も取り入れているという。
同じようなことをセキュリティのマネジメントに取り入れてはどうだろう。例えば「我が社にある顧客情報1万件が、掲示板に掲載されてしまった。」という大きな事から、「間違ってメールを送ってしまった場合」という有りがちな事まで。それらが発生したことを前提にその手順書を作成するのである。前者の例は対応を一歩誤ると、会社の社会的評価にかかわる問題に発展しかねない。当然経営トップが関わらなければならないのだが、日頃から訓練をしておくとしておかないとでは大違いであろう。一方後者は従業員各自がきちっと対応していくことが一番大切なのだが、これには手元においておくマニュアルの準備や日頃の勉強会を通して実につけてほしいことだ。
最後に「ISMS」と「プライバシーマーク」について。これらは「マネジメントシステム」であることをきちんと理解していただきたい。「マネジメントシステム=仕事の流れ・仕組み」であり、セキュリティの観点から成り立つ仕組みである。したがって今まで(時には何十年も)よかれと続いてきた企業の「仕組み」を根底から見直し、時には切り捨てなければならない場合もある。
それら「マネジメントシステム」が「完成もしくは、ほぼ完成」をしていることが必要である。と同時にそれらを継続的に「改良・改善」していくこと、すなわち「継続」していくことが出来る企業や事業所に、認証されるのである。
「認定試験を通ればおしまい」というものではないのだ。
| 