付属書A管理目的及び管理策についての解説コラム第二回目は「組織」についてです。これは、管理策において前回解説した「方針群」の次に挙げられている内容です。
簡単に言ってしまえば“情報セキュリティ方針を守らせるためには組織体制が重要になる”といった内容ですが、誤解を生じやすい点もありますので、注意して見ていきましょう。
役割分担と責任の所在
「組織」としてまず最初に考えなければならない項目が、下記の2点です。
- 役割分担
- 責任の所在の明確化
リスクマネジメントにおいては、「誰の責任」で「誰がやったか」という事が重要になります。
「再発防止策」が需要
リスクマネジメントにおいて“100%起こさない”ということは不可能です。リスクを無くすのではなく、そのリスクが“なぜ起きたか”を明確にし、「再発防止策」を立てることが重要なのです。発生からの一連の流れを世間が納得さえすれば、組織は生き残れます。
組織=責任者が明確に決められた集団
例えば、日頃報じられる某問題での“誰が責任者かわからない”といった状況は、マネジメントシステムが正常に構築されていた場合有り得ないのです。「ガバナンスの欠如」と指摘されるのは当然と言えます。
マネジメントシステムにおいて「責任の所在の明確化」は、組織体制構築の基礎の基礎なのです。この部分ができていないのであれば、それはもう組織とは呼べません。
連絡体制の構築
続いて、連絡体制の構築が挙げられています。
近年、自社内で必要なセキュリティ情報を完璧に収集・管理するということは非常に困難です。また、何かあった時のため、国は同業他社への影響や他の関連業種への影響を考慮し、注意喚起を行う必要もあります。
その為、連絡体制の構築に関しては下記の2項目が含まれています。
- 関係当局の連絡
- 専門組織との連絡
この2項目、似たような表現なので誤解されることもありますが、それぞれの対象は以下の様になります。
- 関係当局:公的機関
- 専門組織:情報セキュリティに関する専門組織
連絡先の把握
「関係当局」とは、管轄の省庁等を指します。一般企業であれば、経済産業省は必須です。医療関係の場合は厚生労働省、運輸関係は国土交通省を追加する必要があるでしょう。また、個人情報やマイナンバーであれば個人情報保護委員会も該当します。
自社を管轄する公的機関はどこなのか、どこに連絡する必要があるのかを予めはっきりとさせておくことが大切です。
連絡は早急に行うこと
問題が発生した際の連絡については、スピードが需要です。早急に関係各所へ連絡し、対応を相談しましょう。これは、連絡が遅れることで「隠そうとしたのではないか」と見られる恐れがある為です。単純に社内手続きの遅れだとしても、問題発生時は普段よりスピーディな対応が求められるのです。
そういった意味でも、普段から「関係当局」「専門組織」との連絡体制はしっかりと把握しておく必要があります。
プロジェクトの責任体制
企業において業務は、通常「〇〇課」「〇〇部」といった部門毎で行われます。
しかし業務内容によっては、従業員の中から担当者をピックアップし、臨時のプロジェクトとして進められるものもあるでしょう。この際、責任体制が曖昧になってしまうケースが見受けられます。
プロジェクトであっても、会社の内部組織であることは変わりませんので、常設の部門同様情報セキュリティ管理体制が必要となります。臨時プロジェクトであれば、重要な情報を扱うケースも多いでしょうから、始動前にきちんと体制を整えておきましょう。
まとめ
- 誰の責任で行うか
- 誰に報告すべきか
- 誰に連絡しなければいけないか
- 誰に聞けば良いか
これらの項目を明確にし、問題発生時に正確に行える様整備する事が、正しい組織作りです。
次回は、最近特にその重要度が高まっている「モバイル機器及びテレワーク」について解説します。