無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

ISO27001では、まず最初にやるべきこととして「組織及びその状況の把握」が定められています。なぜ「情報の分析」ではなく、「自社とその周囲の状況」からはじめるかというと、“経営マネジメントとの統合”が強く認識されているからです。

では、経営マネジメントの観点から見た情報セキュリティはどのように考えれば良いのでしょうか。

経営マネジメントの観点

まず、経営マネジメントは何を目的としているかを見てみます。バブル期から最近に至るまで、よく“利益追求”を目的に挙げる人も多かったですね。フリードマンの影響があったのでしょう。ですが、この考え方がリーマン危機を引き起こしたとの批判も強いです。

実は、日米の経営の神様、松下幸之助やドラッカーは口を揃えて言っていたのです。

企業にとって利益は手段であって目的ではない。

目的は「顧客価値の創造」と「永続的発展」により社会貢献をすること。社会にとって必要不可欠の存在になることなのです。この観点を忘れてしまうと、全ての経営マネジメントは破綻の道をたどることとなります。一時期の勢いがあっても、世間の信頼を無くし消えていた企業は数多いですね。

社会的な存在意義を得るためには

そのため、企業は利害関係者全てに気を配らなければなりません。WIN-WINと言う言葉を好んで使う方もおりますが、この場合、勝つのは自分と顧客の二者だけです。実際にはその他にも、従業員もいれば、サプライヤーもいます。ご近所さんだって組織の動きを見ています。

様々な人が企業の周囲にはいます。二者だけがトクをしていたら、他の人は不満が溜まるでしょう。いつか爆発するかもしれません。昔からある「うちこわし」、そこまでいかなくても最近の「不買運動」などは、その一つの現れですね。

これに対して、日本には近江商人の商売に対する有名な教えがあります。

売り手良し、買い手よし、世間良し。
三方良しで皆が幸せになるのが、真の“あきない”

セキュリティマネジメントにおける三方良しとは

情報セキュリティマネジメントも本質は同じです。

• 自分達が安心だと思える
• 取引先が安心だと思える
• 世間が安心だと思える

この三方が安心できる体制を整える必要があるのです。

とはいえ、「情報セキュリティのためにできること」でいくらでもありますよね。片っ端からやろうと思っても、お金もパワーもかかるし、いつまでたってもキリがない。そこで大切なのは、

• 自分たちが安心だと思えるライン
• 取引先が安心だと思えるライン
• 世間が安心だと思えるライン

これを下回ると、信頼を失い、永続的発展に影響が出るという“目安”です。これらのラインを探って、そのラインを超える体制を作るのです。

具体的な体制作り

そのためには、自社を取り巻く利害関係者が、どの程度情報セキュリティ対策の“期待”を自社に持っているかを見極めなければなりません。

また、有事の際には、この利害関係者に謝罪をします。その謝罪が納得いかなければバッシングが止まらなくなります。過去の情報漏えい事件においても、記憶に新しいベネッセの事件もあれば、漏えい事件を切っ掛けに、逆に世間の信頼を集めたジャパネットたかたの事件もありました。

正しく自社への期待を分析できているか否かで、大きな差が生じます。そのため、一見関係の無いように見えても、自社を取り巻く利害関係者の分析は、とても重要なのです。

次回は、ISMS組織の考え方の中心である「情報セキュリティのリーダーシップ」を解説させていただきます。