【失敗から学ぶセキュリティ第2回】継続的投資・リスクアセスメント(2/2)

　 　 　次に改善活動の動機である。ISMSやプライバシーマークでは、リスクを予め把握し改善活動を行っていかなければならない。これは、問題が起きていない状況下での改善活動を意味する。これが最大の難問である。品質管理（QMS）のような、問題を定量化し低減目標を設定・改善して行く“目標必達システムでは、うまく行かない。”「今年は、顧客情報漏えい事故10% 削減、ルール違反20% 削減」などといった活動は馴染まないからである。お奨めは、改善活動の前にリスクを把握する“リスク極小化システムで捕らえることである。”リスク極小化システムの最大の特徴は、“リスクアセスメントの結 果が改善活動の動機になる”ことである。できれば、リスクアセスメントを従業員全員参加型で実施させたい。

　どんなに高価なセキュリティシステムを導入しても、それを取り扱う従業員がリスクを理解していなけ れば、結局、新たなリスクが発生してしまう。リスクアセスメントを本業の手順に組み込む、キャリアパスに組み込むなど、従業員のモチベーションが向上するような環境づくりをお奨めしたい。




　 　最後にもう1 つ。適切な投資判断やリスクアセスメントを行うためには、関連法規制、ネットワーク、プログラミング、そしてセキュリティなどの専門知識が必要となる。かつ、それらは最新の知識でなければならない。最新の専門知識が伴わない運用では、危険性の変化が把握できず、改善活動に繋がらない。

　とは言え、最新の専門知識を得ることは、そう簡単なことではない。また、得たとしても理解が難しい。厄介だ。“専門家の助言は、これを解決する。”専門家の助言が得られる環境を作ること をお奨めする。日本では外部に委託する方が合理的かも知れない。外部に委託した場合、自社以外での経験はもちろんのこと、社内政治的な力と関係のない客観的意見なども期待できる。

次回は、システムアウトソーシングの問題について、ご紹介したい。

（図3）リスク極小化システムと目標必達システム