セキュリティを語る2つの視点(3)

呉井嬢次(Johji Kurei) 2006-08-16 10:25:00

 細部にこだわるタイプは、組織全体で判断する経営者を味方につけるよりも、現場から支持される傾向が高い。専門能力のない形だけのCIOを任命するより、場数を踏んだ情報システム部のノウハウの方がいい場合もある。決定的な事態が発生した時に即座に対応できる枠組みを作れるのは、詳細にこだわるタイプだ。

ある開通業務会社ケース

 一つ例を紹介しよう。携帯電話の開通業務を行っている会社は、ISMS認証取得を行うべく、国内支社で説明会を開催していた。携帯電話の開通業務とは、顧客からの依頼で携帯電話を使えるように登録する業務で、アラジンと呼ばれる携帯電話会社のシステムを経由して膨大な個人情報を登録している。支社の説明会で話す経営企画部のK部長は、全体から眺めるタイプだった。それに続いて話したのは、情報システム部のA部長で、詳細にこだわるタイプだった。

UPSを見たことありますか

 停電対策としてUPS(無停電電源装置)を導入していたが、大型のファイルサーバーには対応するUPSが存在しないため、こちらはストレージ側で対応していた。そんな事情も知らずに、K部長は、ISMS認証取得を目指して、事業継続規範を披露したので、内容はお粗末だった。なんと、その事業継続計画書には、停電に対してファイルサーバーはUPSによる動作確認テストを行うと書かれていたのである。存在しないUPSを使って事業継続訓練はできるはずもなく、本社の全業務データに対する事業継続の訓練は、緊急連絡網の確認という、お粗末な訓練に差し替えられた。

 その一方で、情報システム部では、経営企画部とは別に、独自の事業継続を導入していた。こちらは、事業継続管理の初の規格が予定されている英国規格を、ISMS審査員から入手して構築していた。情報システムの細部にまでこだわって、事業継続計画を作っていることを紹介した。説明された内容は開通業務の細部にわたり、多くの出席者は退屈だったと思う。こんなに、やるべきことが多過ぎたからだ。

 −業務プロセスを全て書き出す
 −そのプロセスから緊急時の優先業務プロセスを特定する
 −連絡報告体制をつくる
 −報告書式を作成、現場に配布
 −事業継続計画の策定、承認
 −事業継続計画の実施、報告
 −事業継続報告に基づく見直し
 −作成すべき文書の維持管理
   業務プロセス分析書、社内緊急対応演習計画など

 でも、実際に事故が起きた場合、役に立つのは情報システム部が作成した事業継続文書だった。ファイルサーバーを見ればUPSの有無は簡単に確認できたのに、思い込みで作成された文書では、社員の支持は得られない。情報システム部が詳細にこだわったのは何故か。

詳細にこだわるタイプが形成された背景

 もしかすると、開通業務という特殊な事情もあったのかもしれない。携帯電話の開通業務は、電話会社による定期点検が行われる。点検対象は主に開通業務である作業者の教育、現場視察などだ。もちろん開通業務外の社内文書は考慮されていない。電話会社にとって、個人情報を厳密に管理することは必須であり、細かい規定がある。こうした現場の経験が、詳細にこだわる対策につながったのだろう。

会社に役立つタイプを選ぶこと

 組織が求めるのは、どれだけ会社の役に立つのかである。例えば、外部監査が行われた時に、最終報告書に記載される指摘事項を減らすべく、監査員と交渉する経営企画部K部長は、全体から会社を眺めるタイプだ。一方で、詳細にこだわるものの、納得したら指摘事項が多くとも素直に受け入れ、次々改善していくのは、情報システム部のA部長だ。この会社の経営者は、異なるタイプを情報セキュリティ対策に取り組ませることで、バランスを取れていたのかもしれない。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR