中小企業のための情報セキュリティのはじめ方(3)
第3回は、情報セキュリティの取り組み姿勢について考えてみたいと思います。
情報セキュリティは敷居が高いと感じていないでしょうか?
それは、情報と付いているので、どうもITというイメージが出てきて難しくしているのかも知れません。
今までいくつもの組織を見てきていますが、情報システム部門が主導になって情報セキュリティに取り組んでいる組織で、一つもPDCAが回っているのを見たことがありません。一見、良く出来ているように見えても、現場では実行されていないのです。それらの対策は、現場からすると、やらされているからです。
情報セキュリティはIS(Information Security)であって、IT(Information Technology)ではありません。どうもITと同義的に思っている節があり、情報システム部門が主導で取り組んでいるケースが多いです。それは間違いで、情報セキュリティは社長自らのリーダーシップによるトップダウンの取り組みが必須になります。
何故なのか?
それは、情報セキュリティの対策は、システム的な対応だけではないからです。大きく分けると人的対策、物理的対策、技術的対策の3つに分かれます。そのうちの物理的対策と技術的対策については、お金を掛ければ立派なものが出来ます。しかし、人的対策はお金を掛けても出来ないことなのです。もちろん教育を実施することなどの対策は考えられますが、何よりもパート・アルバイトを含めた従業員が情報を持ち出そう、書き換えちゃおう、使えなくしちゃおうなどと思わない企業文化を作ることが必要となってきます。そのような企業文化はどのように作っていくのか。それは、従業員満足を高めることからはじめないといけません。その活動は、情報システム部門では出来ません。人事部なんかが絡んできます。ここで情報セキュリティは、トップによるリーダーシップによってしか成り立たないというのが分かると思います。
あと、もう一つ付け加えるならば、情報は経営資源(ヒト、モノ、カネ、情報)の一つであるということでしょうか。少し前までは、経営資源に情報は含まれていませんでした(厳密に定義があるわけではないですが)。
モノを作れば売れるというプロダクトアウトの時代から、マーケットインの時代にシフトしてきている中で、情報のウェイトは非常に大きいです。その情報の利活用が出来ている企業ほど業績がよいということも分かってきています。そんな中、情報セキュリティ事故が発生すると大きくロスをうみます。機密性という観点からの事故であると、存続も危ぶまれます。情報セキュリティの取り組みはいまや必須なのです。
トップダウンで取り組みましょう。
(4)に続く