さかやんのコンサル日記 Vol.302 平成17年9月14日 水曜日
1回読みきり 「セキュリティ対策」
ある情報処理業の会社から情報セキュリティについて指導して
欲しいと依頼がありました。
この会社は、顧客企業の情報(個人情報含む)を預かっており
それの管理をどのようにすればいいかということです。
(紙ベースの情報と電子データの両方ある)
この会社には、営業部と業務部があります。営業部が情報を集めて、
業務部がそれを管理し利用しています。
こう書くと業務部だけ重点管理すればいいように思いますが、
営業部も預かった情報を一部管理しています。
(営業部は情報を集めるのが仕事で、業務部はその情報を保管、
利用することが仕事です)
当然ながら、業務部は情報を預かっているという意識が高く
管理の意識も当然高いのですが、営業部は情報収集が仕事なので
管理の意識が低いのです。
例えば、電子データは確かに大量に持ち出すことができるので
管理する必要があるが、紙ベースの情報については100万件も
持ち出すことはなできない、せいぜい100件くらいだから
それほど重点管理しなくもていいといいます。
また、仮に部外者が入ってきて情報を盗んだとしても、それは
犯人が悪いのであって、自社は悪くないとまで主張します。
(ここまで言うのは一部の人ですが)
ちなみに、この会社でも以前から情報管理の件で顧客とトラブルが
あったようです。トラブルのたびに業務部の方はいろいろ
対処されているのですが、営業部の方はあまり関係ない。
つまり、営業部の方は、情報管理について痛い目にあってないのです。
それゆえ、営業部の方は情報管理の重要性や重点管理について
積極的でありません。
これはさかやんではどうにもならないので、最後はトップダウンで
実行しろ!ということになり、とりあえず解決しましたが、
実際に痛い目にあってないと、なかなか取り組めないようです。
尚、トップダウンで取り組む場合、現場ではやっている振りだけ
することがあります。情報セキュリティ対策の場合、やっている
振りだけすると、そこがセキュリティホールになることがあります。
その意味で、今後この会社では人の啓発・教育が重要な課題になります。
今日の一言
「人的セキュリティホールを作るな」
=================================================================
本メルマガは実体験を基にお送りしておりますが、登場する企業の業種や
役職、コンサル内容は脚色してストーリ化しております。実際のコンサル
内容をそのままお送りしている訳ではありません。
==================================================================
さかやんのコンサル日記は、隔日(月水金)発行です。
(火木土日曜・祝祭日はお休み)
**************************************************
<発行者>
有限会社ダイコンサルティング
中小企業診断士
ITコーディネータ・ITCインストラクタ
坂田岳史(さかやんです)
sakayan@daiconn.co.jp
http://www.daiconn.co.jp
オールアバウトのガイドもやっています。
http://allabout.co.jp/study/itqualification/
------------------------------------
私の理念
「一期一会」その瞬間を大切にします。
**************************************************
本メルマガの購読解除は、下のURLでできます。
http://www.mag2.com/m/0000116110.htm
