ISMSの認証やプライバシーマークの取得って本当に必要ですか?
弊社は両方取得していますが、やめれないか?と担当部門に最近問いかけてます。
入札要件であったり、対外的な信頼という目的があるのは理解しています。後者が定性的だという点も踏まえて。入札要件についても、自社が手を挙げた案件において、何%で求められているのかを分析した数字はいまだみたことがありません。必要になっていきなりは取れないはごもっともかもしれません。
ただ、今回書きたいのは、そういうことではないです。法的根拠に基づくとかそういうのもいったん置いておいてください。
なぜ、企業はISMSやプライバシーマークを取得するのでしょうか。理由が上記によるものだとしても、かなり高負荷に感じたり、現場ではめんどくさいのオンパレードだったり、結局、認証されたり取得してる企業が情報漏洩事故を起こしている中で、なぜか。
結局のところ、セキュリティが整っていない、運用業務が整っていないからに尽きると思います。
セキュリティと運用業務が堂々と示せるくらいの維持がされていれば、実は必要なくて、それが出来ていないからこそ、高負荷になったり、現場が嫌がるのではないかと思います。裏を返せば、ちゃんと教科書レベルで維持運用できている組織であれば、認証も取得も難しくなく、負荷も増えません。当たり前ですが「負荷が高い」という声の量は、出来ていないことと比例します。日々の業務が増えるか否かはその組織の意識と取り組みによるところが多いのです。
出来ない理由もたくさんあります。一番多いのは人手不足。次に知識不足。そして意識不足。
人手不足は、日本固有の問題かもしれませんが、運用軽視の結果だと思います。どうしても、構築・導入のフェーズと、運用・保守のフェーズでかけられる予算、リソースのスキルレベルは差があり、前者が上になることが多いです。「優秀な人は外で稼いできてほしい」というのが言わずもがなの企業の本音になってしまっているということです。構築に半年、利用は5年。どちらが本当に大切かは考えるべき点でしょう。
人員数もスキルも切り詰められたところに、新しい業務がある日大量に降ってくると考えると、嫌がられたり、出来てる体を作り無意味なものを現場が量産することになります。
ただ、もし優秀な人を今のフェーズから外したくないのであれば、運用負担が増えないような形の運用設計を、システムの設計・構築フェーズから優秀な人が作るべきです。(運用設計が得意な人は滅多にいませんが・・・)
ISMSもプライバシーマークも、その求められる要件は特別なものではありません。古い内容は多々ありますが。それらが運用設計上、求められるのではなく、当たり前になるようにシステムの全体設計をしていれば負荷になることはなく、運用・保守・管理が当たり前になっていれば問題ないことなはず。
その状況が整っているのであれば、入札要件や信頼性を的確に分析し、取得しないことも、やめることも考えるべきなのではないかと思います。大企業では、前からあるものをやめると言い出すことは極めて定性的な反対を生みます。だからこそその時必要なのは数字です。
認証されること、取得することが目的なのか、そこで問われている要件が整っている企業でいることが目的なのか、本質はいつも考えるべきなのではないかと思います。
コメント