熊本にセキュリティ監査に行ってきた。

対象は全国に散らばる支社のひとつ。

監査のテーマは,セキュリティ管理規程の浸透度。つまり,支社が本社が定めたセキュリティ管理規程をきちんと理解して実施に取り組んでいる程度を調べるということ。

驚いたのは,「規程の中身が難しくてとても読めない」「やることはやっている」という責任者の反応。
たしかに,規程は読むにはそれなりの気構えがいるけれど,解説も出し,マニュアルもある。
要するに,仕事が忙しくって情報管理なんかやってられない。それなりに注意しているからいいじゃないかということ。

メーカーなら物作りが仕事。だから責任者のような主張がなされても,まあ,わからないでもない。

でも,今回監査をした会社は,サービス業。しかも,顧客や関係者から情報を得て,それを職員や外部委託先に伝えて仕事をさせるという会社。やっているのは情報処理そのもの。
その責任者がこういう感覚ではね。チェックリストの最初が,規程を周知しているかという質問だったから,その後のチェックなど無意味。

ただ,考えたのは,規程を読もうとしない原因がどこにあるかということ。

まずは規程の書きぶりが,仕事の具体的な手順で使われる言葉を使っていないこと。
次は,何をすれば良いかを,現場に応じて考えてもらうことになっていること。
「情報管理責任者は・・・・適切な措置を講じる」というのが良い例。
本社は,支社の手順を知りえないから,情報管理責任者に考えてもらわざるを得ないのだけれど,現場の責任者に考える力というか,責任感がないときは,貴方が考えるんですよとか,責任感を持てとか言っても始まらない。

このような状況を是正するにはどうしたら良いのか。

入力の時はこういう注意をしろ,こういう点検手順をとれ,と具体的に規定することがひとつの方法。
規程の教育が十分でないのだから,具体的にやってみせるか,具体的に規程を遵守している状態を見やすくしてあげることが一法だろう。

そして何よりも,情報セキュリティが,仕事の品質そのものだということを理解してもらうこと。
この理解をしてもらうには,仕事のフローを書き出して,そこにセキュリティ上の脅威を書き出して,そこに,規程の内容を具体的な手順として書いて,脅威がどれほど経るかを実際に感得してもらうことが役立つようだ。

本社が定めたルールを理解し遵守することは,組織人として当然だという思いは捨てて,こうやるんだ,ほらできるでしょ。こういう手取あしとりを蓄積して,ひとつづつ出来るようにしてゆく以外にないのだろう。

情報セキュリティといっても,今回のテーマは要するにコンプライアンスレベルの監査。
人はなぜルールを無視するのか。
同じセキュリティ監査でも,システムセキュリティの監査とは全く違ったアプローチと社会心理学の知識が求められると痛感した次第。