カネ、ヒト、時間いらずのIT内部統制--第4章:サーバからPCを集中管理(準備編)

木村尚義 2007年05月28日 13時22分

  • このエントリーをはてなブックマークに追加

 この連載では、個人情報保護法、金融商品取引法(J-SOX法)など、内部統制に関連する法律の施行対象となる会社と取引のある中小零細企業が、今まで投資してきたIT資産(具体的にはWindows PC、Windows Server)を使い、カネ、ヒト、時間をかけずにIT内部統制の自主基準を推進することを目的とする。無理なく継続的に行える、中小企業での「内部統制」とは何かを考えることもテーマとしている。

サーバからPCを集中管理

 社長が会社の方針を決めないと、従業員はどうしてしていいかわからない。

 多くの中小零細企業では、ITシステムを導入しても、うまく活用できていなかったり、特定分野での改善のみにとどまっている。

 経営陣がIT内部統制について「会社としてどうするか」という方針(ポリシー)を示さないと、一部の従業員が個別での対応を余儀なくされる。

 例えば読者は、次のような状況をどう思うだろうか。

 ある会社では、普段から机の上に交換した名刺を出しっ放しにしている。ダイレクトメールの発送先リストも、だれにでも見られる場所に置いてある。つまり、情報漏えい対策がなされていない。

 社長をはじめとする経営陣は、日々の仕事に追われ、情報管理にまったく無頓着だ。そのため、従業員も個人情報の取り扱いには、特別に関心を払うことなく、日常支障ない程度に運営されている。情報管理などの小難しいことは、パソコンの運用管理を担当している社員にすべて任せっきりだ。

 そんなある日、社長が取引先で、個人情報漏えい対策について質問された。

 取引先では、今後の内部統制への対応を株主に説明するため、委託先の情報漏えい対策について状況説明が必要だという。社長は、日ごろ報道などで個人情報漏えい事件については耳にして、頭では分かっているつもりだった。ところが、改めて取引先から問い合わせを受けて、自社での情報管理の実態を全く把握していないことに気がついた。

 社長は、会社に戻ると早速、パソコン管理担当の社員を呼び出して、情報漏えい対策の現状を細かく聞いた。

 担当者は、当然のことながら寝耳に水である。慌てて対策をしようにも、そもそも基本方針がないので、保護する情報と保護しなくてもよい情報の選別さえままならず、行き当たりばったりだ。

 で、とりあえずは、「USBメモリの使用は禁止」ということにしてみた。そして、社長名義で通達も出した。ところが、回覧での通知だけでは、強制力にも限界があり、水面下でのUSBメモリの使用は止められない。

 そこで、物理的に使えないようにする手段をとることにした。PCのUSBポートに「USBポート使用禁止」と書いたシールを張ったのだ。数日後、担当者は、無残にはがされ、丸められて床に落ちているシールを発見。そこで、次には……。

 かくして、パソコン担当者は、本業そっちのけで不毛な「情報漏えい対策」に追われることになる。彼が音を上げるのは時間の問題だろう。

 ここでは、たまたま情報漏えいを例にとったが、こうしたことは、PCの運用に限らず、会社全体の運営を見ても、しばしばあることなのではないだろうか。

経営トップは管理者が「楽をする」ことに否定的?

 こうした中小規模企業の経営トップに話を伺うと、「ウチは従業員に楽させようと思っていないよ」という方がいる。これも「努力と根性で、困難を乗り越える」という「ポリシー」のひとつではあるが。

 一見、立派なポリシーではあるが、ことIT内部統制に関しては努力と根性だけで、上手くいくものではない。人間がやることには、必ず間違いや漏れがあるからだ。そうかといって、チェック機能を完璧にしようとすればするほど、ITにかかるコストは膨らんでいく。

 「楽をする」ということは、基本的に悪ではない。「作業負荷を減らす」ことだと考えれば、その分の力を、他の作業に回すことができる。面倒な仕事は技術に任せてしまって、人間にしかできない仕事に集中したほうが、効率の良い仕事ができる。

 IT内部統制は、従業員の自発的な行為や特定の人の努力のみで運用してはいけない。それよりも、社内システムの「設定プロセス」を確立すれば、全社的に本業に使える時間が、もっと増やせるはずだ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
経営

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]