前回よりISO27001観点での「サイバーセキュリティ経営ガイドライン」の望ましい対応方法について解説を行っておりますが、第2回目の今回は、「我々は、なぜサイバーセキュリティ経営ガイドラインに対応するのか?」という基本的な部分について今一度考えてみましょう。
マネジメントの初心に帰る
「我々は、なぜサイバーセキュリティ経営ガイドラインに対応するのか?」
国が発表したからでしょうか?それでは“形だけ整えれば良い”ということになりかねませんね。
では、顧客を守るためでしょうか?もちろんこれは必要なことですが、全ての顧客の要望レベルに応えられる企業はまずありませんよね。
マネジメント的に望ましい答えは「企業の“持続的成長”のために必要」だからです。
日本語では「持続的成長」「永続的発展」等の言い方をしますが、企業とは社会に求められ、無くてはならない存在になり、ずっと伸び続けることが目的です。ドラッカーや松下幸之助が口を揃えて述べているところですね。
その前提で前回のB社とジャパネットたかたの差を思い出してください。「持続的成長」のためには、どちらが正解だったかは一目瞭然です。
▷サイバーセキュリティ経営ガイドライン対応の“望ましい”進め方
どの企業でも起こり得る“情報漏洩”というリスク。このリスクが顕在化しても、企業が「持続的成長」を保つための仕組みが要る。
そのために「サイバーセキュリティ経営ガイドライン」への対応が必要なのです。
利害関係者はどんな期待をしているか
そこで具体的なステップとして、まず「持続的成長」を左右する利害関係者を洗い出します。
利害関係者とは?
情報漏洩で信頼を損ねると、会社が傾きかねない人たちです。この時念頭に置く“情報の種類”に関してはしっかりと吟味してください。
世間では個人情報漏洩が注目されやすいですが、それだけではありません。開発中の新商品情報もあるでしょう。マイナンバーであれば、従業員やパートナーが利害関係者になるでしょう。何か企業にトラブルが起きたら、株主も文句を言って来るかも知れません。
それら様々な利害関係者がサイバーセキュリティ対策において「このくらいの姿勢は見せてくれなきゃ困るよ?」と考えるであろう内容を想定し、サイバーセキュリティ基本方針を策定します。
サイバーセキュリティ基本方針は公開する
この基本方針は原則公開しましょう。自社の姿勢を内外に予め示しておくことが、企業の信頼確保に必要です。
もちろん形だけでは、有事の際更なるバッシングのネタになってしまいますから、上記のプロセスを踏み、“誰のために、なんのために、この方針を作ったのか”という自覚を持つことが必要です。
個人的には、この方針策定までは、担当幹部(CISO等)というより経営責任者が担当すべきだと思います。そうでないと、いざ有事の際の記者会見で、理解不足により方針にそぐわない発言をしかねませんから。
方針を遂行するための組織づくり
基本方針が出来ましたら、この方針を遂行していくための組織づくりをします。
誰が責任者となるのか
重要なのはやはり“責任者”です。
可能な限りCISO(「Chief Information Security Officer)を置きましょう。CISOは役員です。経営会議に出席できる人です。サイバーセキュリティ対策は経営責任ですから、経営会議で直接発言できる人が望ましいと言えます。
そして、サイバーセキュリティ対策は“費用”も“マンパワー”も必要です。
「対策しろ」と言われても経営会議で発言できなければ、資源の投入もままなりません。なのに責任だけ押し付けられるなんてことになったら、現場と上の板ばさみになるだけで、誰もやりたくないですね。
責任を負わせるには、それなりの“権限”も必要なのです。
責任者を定め、組織を作る
その上で、システムセキュリティの責任者、社員教育の責任者、各部門の責任者等、必要と思われる責任者を定め、組織を作り上げると良いでしょう。一人に責任を集中させすぎるのは、管理的にもメンタルヘルス的にも良くありません。
B社の事例では、現場の担当者である委託先社員に責任を集中させ、彼にどれだけの負担がかかっているかを理解しようとしませんでした。それが、彼の不満を高め、不正に手を染める一因となったのです。
以前、「人的資源のセキュリティ」の回でも触れましたが、人は弱いものです。「わからないから、君に全部任せた」といった体制を組むと、いつか爆発しかねません。可能な限り、責任を分担し相互チェックできる体制が望ましいのです。
まとめ
ここまでで、重要10項目の指示1・2の対応が完了しました。
次回は、指示3の「サイバーセキュリティリスクの把握と実現するセキュリテイレベルを踏まえた目標と計画の策定」から説明して行きます。