さかやんのコンサル日記 Vol.386「甘い管理レベル」平成18年4月14日 金曜日
昨年度から、ある小規模企業の情報セキュリティ強化のコンサルを
させて頂いています(従業員10名以下)。
この企業では、現在個人情報を扱っていますが、今は量は多くないが
将来的に増える可能性があるので、今から情報セキュリティ強化を
考えたいといういうことです。ちなみに、プライバシーマークや
ISMSなどの認証は受けずに、最低限の取組から始めたいということです。
(それは、それでいいとおもいます)
セキュリティ強化する場合、手法はいくつかあるでしょうが、
私はまず個人情報等を洗い出し、ここの情報に重要度をつけます。
そして、重要度ごとに管理方針を決めていきます。
この会社でも、まず個人情報等の洗い出しを行い重要度をつける
作業を行いました(ABCの3ランクです)。社長さんはちょっと
用事があったので、この作業の最初は参加せず後から参加されました。
社長さんが参加される前に、従業員の方と重要度をつけた結果、
それほど重要度が高くない情報ばかりというとことで、Aランクはなく
全てBとCになりました(B、Cランクは管理方針があまり厳しくない)。
重要度が決まった頃、社長さんが参加されました。そして、重要度を
見ると怒りだしました(^^;
「全てBとCじゃないか」、「これなら、今までの何の変わりもない」
つまり、ランクBとCだけでは、今までの管理方法と変わらないのです。
それだと、情報セキュリティ強化する意味がないというのです。
ちなみに、私が見る限り、現状この会社では確かに個人情報がある
のですが、内容的に名刺情報に近いのです。ですので、従業員の方が
重要度をBとCだけにしたのは、あながち間違いじゃないと思います。
しかし、社長さんは、今後センシティブな情報も扱う可能性がある。
その為に、今から管理レベルを高めていかないといけないと言うのです。
なるほど、それはその通りですね。ということで、今回はランクBの
中から1つ選んでAランクにして、高い管理レベルを行なうことに
なりました。やはり、社長さんの意識の方が従業員の方より高いことを
再認識しました。
今日の一言
「現状でなく、将来を見据えよ」
=================================================================
本メルマガは実体験を基にお送りしておりますが、登場する企業の業種や
役職、コンサル内容は脚色してストーリ化しております。実際のコンサル
内容をそのままお送りしている訳ではありません。
==================================================================
さかやんのコンサル日記は、隔日(月水金)発行です。
(火木土日曜・祝祭日はお休み)
**************************************************
<発行者>
有限会社ダイコンサルティング
中小企業診断士
ITコーディネータ・ITCインストラクタ
坂田岳史(さかやんです)
sakayan@daiconn.co.jp
http://www.daiconn.co.jp
オールアバウトのガイドもやっています。
http://allabout.co.jp/study/itqualification/
------------------------------------
私の理念
「一期一会」その瞬間を大切にします。
**************************************************
本メルマガの購読解除は、下のURLでできます。
http://www.mag2.com/m/0000116110.htm
