ニュース
» 2010年03月30日 12時20分 公開

ITmedia エグゼクティブセミナーリポート:成功体験を積み重ね、セキュリティ意識を血肉に 牧野弁護士 (2/2)

[井上晶夫,ITmedia]
前のページへ 1|2       

人間が作るものには必ずバグがあると自覚せよ

 どうすれば情報漏えいのリスクは回避できるのだろうか。まず、情報のバグに関しては、「徹底した情報管理を行えばリスクをつぶすことができるかもしれない」と牧野氏は話す。会社のパソコンは持ち出さない、機密情報は経営陣だけが把握するなど、明確な管理体制を敷き、違反者には処罰も辞さないことをあらかじめ明文化しておくことが重要である。会社で配布した携帯電話にどんなデータが入っているかをチェックして把握することは、プライバシーの侵害ではなく、会社の義務であると考えるべきなのだ。社内に流通する情報に関しては、すべてこういった厳しい姿勢で臨む必要がある。

 システムのバグについては、すでに述べたように、担当者が豊富な知識を持って向き合うしかない。システムは人間が手掛けるもので必ず間違いは起きる、という前提に立った用心深いものの見方を持つことが大切なのだ。

 人間が起こすバグについては、社内で正しい教育を施すことが重要になってくる。ここで言う正しい教育とは、社員各自が「なぜ社内統制を行わなければならないのか」、「会社にとってのリスクとは何か」ということを自覚し、結果として、リスクの回避策を確立し、やがては社内の体質改善につながることを言う。

成功体験の積み重ねが、やがては会社の体質になる

 効果的な教育を実践するためには、社内のコミュニケーションが不可欠である。外部のコンサルタントに社内統制を依頼しても、問題の本質をつかんでもらうことは非常に難しく、時間も掛かる。例えば、コンサルタントから社内統制策定の3カ年計画などを提示されても、いま目の前にあるリスクは緊急で回避すべきものなのだ。仮にコンサルタントの提案を受け入れたとしても、「3年後に出来上がったリスク対策が不完全なものであることは十分考えられる」(牧野氏)のである。

 管理者は実務担当者と綿密なコミュニケーションをとり、徹底的にリスクの洗い出しをすることから始める。実務担当者が日々の業務の中で危険を感じていることを拾い上げ、それをつぶすことに注力する。リスク回避の具体的な方法は、実務担当者に提案してもらうのがいいだろう。牧野氏は「実務担当者の案を実行すれば、リスクの大小にかかわらず、効果は確実に現れてくるものである。自分たちの手でリスク回避ができたという経験を積ませることが大切なのだ」と強調する。

 経験が蓄積されると、自信がつき、やがてリスク回避の考え方が社内の血となり肉となって浸透していく。社内全体に主体的なセキュリティ意識が醸成されていくのである。そのためには、リスク回避に対する公平な評価基準を設けておくことも重要なことだという。

「いかに社内統制が大切なのか、社員一人一人がきちんと理解する体制を築くとともに、リスク回避が正しく行われていれば評価し、違反があれば処罰する仕組みを構築すべきである。会社にとって重要なことは何かという評価軸があれば、社員はその軸に沿って考え、行動することができるのだ」(牧野氏)

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆