前回のコラムでは、「身の丈に合った情報セキュリティポリシー」の策定について考察しました。
大企業や行政機関など、予算や人員に余裕のある組織では実現可能な施策でも、中小零細企業に同等の遵守を求めるのは現実的ではありません。しかし、現場の本音としては「親会社からの指示なので悠長なことは言っていられない」という声が少なくありません。表面上は取り組んでいる感を出しつつ、内心では納得していない――そんな実情を踏まえ、現実的な情報セキュリティポリシーの在り方を提案してきました。
情報セキュリティポリシーの未来像とは
今回の最終章では、情報セキュリティポリシーが向かうべき未来像について考えます。
「まちの総務」として再三申し上げていることですが、そもそもなぜ各社が個別に情報セキュリティポリシーを作成する必要があるのでしょうか?
なぜ各社が別々に作る必要があるのか?
デジタル脅威は企業規模を問わず等しく降りかかります。脅威そのものは業種や企業規模に関係ありませんが、企業ごとの対応力(組織力や予算)に違いがあるため、結果として各社別々のポリシーが生まれているのです。
しかし、ここに大きな落とし穴があります。自社が自動車業界だから、重要機密を扱っているからといった理由で厳格にすべきという発想が、実は本質から外れている場合があります。情報セキュリティポリシーは、リスクに対する適切な対応を取っているかどうかを管理するためのルールであるべきです。
ルールではなく意識を根底に
重要なのは、リスクへの対応有無を議論することではありません。全企業・全社員がリスクと対策を意識し、日々の運用に反映させることが情報セキュリティポリシーの根幹です。この意識を支える「上位ルール」が存在し、それを自社の規模や実情に合わせて具体化したものが「ポリシー」となるのです。
共通指針の必要性
「ポリシー(policy)」という言葉は、方針や規定を意味します。日本では個人の信念や信条として使われることが多いですが、英語では組織や政治における政策や方針を指すのが一般的です。
情報セキュリティの分野でも、各社がバラバラにルールを作るのではなく、国や業界団体が共通の指針を設け、それに沿って自社の実情に合ったポリシーを策定するべきです。これにより、最低限実施すべき項目を網羅した運用方法を明記でき、効率的な管理が可能になるでしょう。
各社が抱える課題を解決するために
現状では、企業ごとに異なるルールを無責任に求めることで、形だけのポリシーや無駄な工数が発生しているのが実情です。まずは共通の大枠を設け、その上で各社が守るべきポリシーを明確にし、適切な運用方法を選択することが重要です。
法律と実行、そして啓蒙教育
どんなに立派な法律や規則を作っても、それを実行するのは企業の現場で働く一人ひとりの社員です。そのため、啓蒙教育や抑止力の確保が不可欠です。日常的な意識改革と「管理していますよ」という抑止力の両輪があってこそ、情報セキュリティポリシーは機能します。
「まちの総務」としては、共通指針に基づく情報セキュリティの啓蒙活動を引き続きサポートしていきたいと考えています。