この連載では、個人情報保護法、金融商品取引法(J-SOX法)など、内部統制に関連する法律の施行対象となる会社と取引のある中小零細企業が、今まで投資してきたIT資産(具体的にはWindows PC、Windows Server)を使い、カネ、ヒト、時間をかけずにIT内部統制の自主基準を推進することを目的とする。無理なく継続的に行える、中小企業での「内部統制」とは何かを考えることもテーマとしている。
サーバからPCを集中管理
社長が会社の方針を決めないと、従業員はどうしてしていいかわからない。
多くの中小零細企業では、ITシステムを導入しても、うまく活用できていなかったり、特定分野での改善のみにとどまっている。
経営陣がIT内部統制について「会社としてどうするか」という方針(ポリシー)を示さないと、一部の従業員が個別での対応を余儀なくされる。
例えば読者は、次のような状況をどう思うだろうか。
ある会社では、普段から机の上に交換した名刺を出しっ放しにしている。ダイレクトメールの発送先リストも、だれにでも見られる場所に置いてある。つまり、情報漏えい対策がなされていない。
社長をはじめとする経営陣は、日々の仕事に追われ、情報管理にまったく無頓着だ。そのため、従業員も個人情報の取り扱いには、特別に関心を払うことなく、日常支障ない程度に運営されている。情報管理などの小難しいことは、パソコンの運用管理を担当している社員にすべて任せっきりだ。
そんなある日、社長が取引先で、個人情報漏えい対策について質問された。
取引先では、今後の内部統制への対応を株主に説明するため、委託先の情報漏えい対策について状況説明が必要だという。社長は、日ごろ報道などで個人情報漏えい事件については耳にして、頭では分かっているつもりだった。ところが、改めて取引先から問い合わせを受けて、自社での情報管理の実態を全く把握していないことに気がついた。
社長は、会社に戻ると早速、パソコン管理担当の社員を呼び出して、情報漏えい対策の現状を細かく聞いた。
担当者は、当然のことながら寝耳に水である。慌てて対策をしようにも、そもそも基本方針がないので、保護する情報と保護しなくてもよい情報の選別さえままならず、行き当たりばったりだ。
で、とりあえずは、「USBメモリの使用は禁止」ということにしてみた。そして、社長名義で通達も出した。ところが、回覧での通知だけでは、強制力にも限界があり、水面下でのUSBメモリの使用は止められない。
そこで、物理的に使えないようにする手段をとることにした。PCのUSBポートに「USBポート使用禁止」と書いたシールを張ったのだ。数日後、担当者は、無残にはがされ、丸められて床に落ちているシールを発見。そこで、次には……。
かくして、パソコン担当者は、本業そっちのけで不毛な「情報漏えい対策」に追われることになる。彼が音を上げるのは時間の問題だろう。
ここでは、たまたま情報漏えいを例にとったが、こうしたことは、PCの運用に限らず、会社全体の運営を見ても、しばしばあることなのではないだろうか。
経営トップは管理者が「楽をする」ことに否定的?
こうした中小規模企業の経営トップに話を伺うと、「ウチは従業員に楽させようと思っていないよ」という方がいる。これも「努力と根性で、困難を乗り越える」という「ポリシー」のひとつではあるが。
一見、立派なポリシーではあるが、ことIT内部統制に関しては努力と根性だけで、上手くいくものではない。人間がやることには、必ず間違いや漏れがあるからだ。そうかといって、チェック機能を完璧にしようとすればするほど、ITにかかるコストは膨らんでいく。
「楽をする」ということは、基本的に悪ではない。「作業負荷を減らす」ことだと考えれば、その分の力を、他の作業に回すことができる。面倒な仕事は技術に任せてしまって、人間にしかできない仕事に集中したほうが、効率の良い仕事ができる。
IT内部統制は、従業員の自発的な行為や特定の人の努力のみで運用してはいけない。それよりも、社内システムの「設定プロセス」を確立すれば、全社的に本業に使える時間が、もっと増やせるはずだ。
