【失敗から学ぶセキュリティ第2回】継続的投資・リスクアセスメント

ローブライトコンサルティング株式会社 代表取締役　 加藤道明 Michiaki Kato

　小売関連企業の情報処理を請け負っているB社が1年前ISMS 認証を取得したものの、維持審査を受けるか否か躊躇している。「維持審査に対応出来ない。」というのである。同社では、認証取得後、事実上、推進体制を解散し、認証取得プロジェクトを担当した社員も他の業務に忙しく、維持審査に必要な1 年間の活動記録は何もないというのである。

　B社だけではなく、他のISMS 認証やプライバシーマーク付与認定を取得した事業者においても、「そもそも事件・事故もなく、危険性も特に感じられないなかで、改善活動を強要されること自体理解できない。」といった声がある。結局、審査登録機関より維持審査の連絡を受けてから一時的に改善活動の記録を作成し、何とかしのぐ企業もあるが、継続的改善活動の負担に認証取得そのものの維持を見直す企業も出てきている。ちなみにISMS では認証取得後1年毎の維持審査と3 年毎の更新審査が、プライバシーマークでは2 年毎の更新審査が必要である。

（図1）3つの要素と改善活動

　前号では、失敗しないコンサルタントの選び方について説明した。コンサルタントの力量・役割分担を問わなければ、3 年前に比べ、その最低料金は10 分の1 以下となっている。誰もが気軽にISMS 認証やプライバシーマーク付与認定にチャレンジできるようになった反面、必要事項記入済みの書類一式を安く購入し、理解不足のままで運よく取得してしまうケースが増えているようだ。

　筆者自身、コンサルティングの商談を頂いた際、説明する間もなく、「難しい話は聞きたくない。いくらでプライバシーマークが取得できるのか?」と聞かれたこともある。そもそも、ISMS やプライバシーマークが注目を集めた背景は何だったのか。筆者自身の経験では、以前、グループ企業を持つ経営者より相談を受け、それら企業を管理するための手段として、これら制度の利用を提案、後日その趣旨で予算承認されたということがあった。このような意図で、認証を推進した企業も多いであろう。

　この場合、“目的は安心できる事業の運営であり、経営リスク管理”である。あくまでも“認証取得は手段”でしかない。
　第2回は、経営リスク管理がうまくいっている企業の事例を基に、改善活動に欠かせない3 つの要素をご 紹介させて頂く。キーワードは“継続的投資”、“リスクアセスメント”、そして“専門家の助言”である。



　 　 　過去1 年、月平均約50件もの個人情報の事故に関する記事が一部ニュースによって取り上げられてい る。個人情報を流出した企業は、謝罪を強いられ、損害を賠償するだけでなく改善策や名誉挽回にも多額の出費が必要となる。最近では、事故を起こした企業に対し当局より個人情報保護法に基づく勧告が出るに至った。
　しかし、今、何故、ここまで責任が追求されるのか。ステークホルダー（利害関係者）と企業の関係、 いわゆる、コーポレートガバナンス（企業統治）のあり方に変化が生じてきたのが、その原因のようだ。これまでの企業は、顧客、株主、従業員（労働組合）などの経済的ステークホルダーだけ意識していればよかった。しかし、今では、直接的であれ、間接的であれ、“消費者団体、地域住民、NPO、メディアなどの社会的ステークホルダーも意識せざるを得ない状況”に至っている。数々の事件が、それを物語っている。コーポレートガバナンスでは、経営者はステークホルダーによって統治されることになり、経営者は内部統制の義務を負う。

　経営者は管理監督責任を具体的に示すことが必要となる。“人・物・金の伴わない運用で管理監督責任を説明することは難しい。”事業の性質や規模に見合った“継続的投資”をお奨めしたい。

（図2）コーポレートガバナンス（企業統治）