そもそも、私はどのような仕事をしているか、社内他部署からも分かりにくいかも知れません。
今週は社内セミナーで小一時間話をしたり、チャンプ (各部門から選出される推進委員)　ミーティング (毎月) を開催したり、契約やビジネスレター系のレビューをしたり、来期 (弊社は7月から)　の活動方針を決めたり、としている間にあっという間に金曜日です。

そんな感じの私の仕事ですが、インシデントが発生すれば、その対応がメインとなります。原因分析、事故対応、再発防止、経営陣への報告、社外への報告、報告書作成などなどあり、業務量以上に精神的にもタフな状況になったりすることもあります。
インシデントではありませんが、飛び込みで、個人情報を取り扱う業務プロセスのレビュー依頼があったり、米国本社から何か依頼があったり、突然の仕事もあります。そのため、私の Outlook 予定表は全社員に公開しており、体が空いている時間はいつでもミーティング依頼などを入れられる状態にしてあります。

大きな目的としては、社内におけるコンプライアンス意識の向上と実践がそれにあたります。ただ、社員全体を巻き込むような話は、一日では成すことができないものですので、日々の積み重ねを継続していくことが大切であり、今後も継続して取り組むことにより、ようやく成果が出てくるものと思っています。

事務局長　久保田

昨日夜に会合があり、MPUF 内の研究会としてリスクマネージメント研究会が発足されました。私も一人の参加者として出席しました。(出席者の皆様、お疲れ様でした！)

初回ということで二十数名の参加者の自己紹介が主な内容となりましたが、様々な業種・業態の方々の話を聞きながら、視点や課題の違いなどを考える絶好の機会となりました。
今後、"人" にまつわるリスクや改善手法などを討議していく分科会に参加し、さらに議論を重ね、ゆくゆくは何か形となり、実務でも応用できるものを作り出せればと考えています。
ご興味のある方は、ぜひ MPUF に参加し、一緒に考えていきましょう。

　MPUF (Microsoft Project Users Forum)
  http://www.mpuf.org/

リスクマネージメントについて考えること自体も、リスクマネージメントの一貫なので、継続して活動し、見える化・見せる化を実現していきたいと思います。

事務局長　久保田

昨今の携帯電話には色々な情報が保存されるようになりました。小型で安価なメモリの普及もあり、画像やビデオの保存も容易になりました。
企業においても携帯電話の社員に配布することは、特に外回りが多い社員に対しては当然のように行われていると思います。しかしながら、携帯電話を "管理" するという事は後回しになっていないでしょうか。
通話料や閲覧サイトのチェックだけではなく、携帯電話に何が保存されているのかということの管理も必要です。これは、個人情報であったり、メール内に含まれる機密情報であったり、もしくは何らかのファイルを保存していたりと、もしルールがなければ、個々人は自由な使い方をするでしょう。そのインベントリーがなされていなければ、携帯電話を紛失した際に、どのような情報が漏れるのか分からず、対応が難しくなります。
なお、個人情報の漏えいに関しては、各省庁のガイドラインに沿い、監督官庁に報告しなければなりません。
(マイクロソフトの場合は、経済産業省が監督官庁となります)

参考: 個人情報保護およびプライバシーマーク関連リンク集(各省庁ガイドライン)
　http://www.jisa.or.jp/pdguide/link06a-j.html

何らかの事故が発生してしまった場合、被害者、関係者への連絡のほか、再発防止策が求められます。
さて、携帯電話の紛失について再発防止を行うということは、何をすれば良いのでしょうか？
そう考えていくと、携帯電話に何もデータが保存されていないということであれば問題ないという結論に達します。
現実問題、何も保存しないで利用することはできないので、失くした後でも消せる Remote Wipe の機能が有効であるということになります。
ちなみに、暗号化やロックなどの状態で実質的に他者が閲覧できない場合においても、"漏えいした" という事実は変わらず、監督官庁への報告が必要となります。

管理側の立場からすると、携帯電話の数量分の悩みと不安を抱えていなければならず、そういったことを払しょくできる Windows Mobile は、良いソリューションのひとつだと言えます。

参考:
Windows Mobile ビジネス力 UP レポート - その仕事、本当に携帯で大丈夫?

事務局長　久保田

企業において何を目的とし、何が必要で、どこまで対応するか　ということを決めるのは重要です。しかし、企業が存続するには、営業的な観点(利益)以外にも考慮すべき事由多く存在します。近年では環境・エコロジーへの企業としての取組みが問われたり、一般的に CSR と呼ばれる社会への還元が注目されたりと、経営陣が考えることは多岐にわたります。これらの課題が直近の経営に影響する場合、もしくは長期において影響する場合、あるいは全く関わりが無い場合など、ビジネスにおいては様々であり、優先度を付けることが難しい状況があります。優先度は、リソース配分と直結する問題でもあり、方針策定にブレが生じない必要があります。

さて、前置きはともかく、表題であるプライバシーマークの必要性について検討します。
従来は、"法令への対応の証" としてという意味合いが強かったように思われます。それは直接的には個人情報保護法への法令遵守であり、間接的には顧客への信頼のアピールということになります。あるいは、逆説的に、何も対応しなかった場合の損失リスク(イメージダウンや実損害) であったりしました。

個人情報保護法が施行され、ある程度、落ち着いてきた(こなれてきた) 現在、確かに法令遵守の観点であることには変わりはないのですが、 それよりは寧ろ、企業間の相互理解のためのプロトコルとなってきているのではないでしょうか。
入札要件であったり、委託先選定、企業間契約というビジネスの現場において、個人情報の取扱いをプライバシーマークの物差しにおいて共通言語で話ができることは、お互いの時間短縮であり、誤認の回避に役立ってきています。

企業間において契約書を取り交わすことは常識ではありますが、日本はまだ "信頼" をベースに仕事をすることが多いように思います。その信頼性のベースが、ある意味、プライバシーマークに求められています。
企業は、その１社だけですべての事業を行うことは不可能です。製造、流通、販売、スタッフィング、ファシリティ、インフラなど、相互に密接に関連しながらビジネスが展開され、そして、それぞれの間の信頼が形成されています。

一消費者からみた場合、自身と関連がある企業が、他にどのような企業と協業しており、その企業がどのような企業なのかを正しく理解することが必要なのかもしれません。企業間で健全な付き合いがなされていなければ、いざというときお互い責任逃れをし、消費者を混乱させることとなります。

プライバシーマーク認定事業者が １万社を超える勢いです。相互理解と共に、消費者を含めた相互牽制で社会の健全性が保たれていくことが、成熟した健全な社会といえるのでしょう。

事務局長　久保田

P.S.
4/15-16 は  the Microsoft Conference 2008 (MSC) の会場にいます。

JIPDEC のプライバシーマークの Web サイト上に、英文による説明資料が付け加えられました。

 プライバシーマーク制度 英訳

国外企業と取引がある場合、本社が国外の場合などの説明資料として有用です。

なお、以下も併せて利用すると、一層便利です。
 個人情報保護法　英訳 
 経済産業省ガイドライン 英訳


事務局長　久保田

多くの社員を抱えながら、そのすべての社員が正しく行動するように徹底していくことは、正直容易なことではありません。会社の代表者による Top-Down の命令、通り一辺の教育だけでは継続せず、定着しません。

情報セキュリティにまつわる情報は、以前に比べると多く入手できるようになりました。本、インターネット、規格類、企業事例など、参考とすべき情報は沢山あり、知識を得やすくなっています。また一方では、IT の発達により、e-learning 、ビデオカンファレンス、社内情報共有サイトなど、情報を伝達する手段も多くなり、教育における物理的なハードルが低くなってきています。
つまり、あとは、「どのようにに教育を行い、社員に落とし込むか」 が問われることになります。
(少々語弊があるかもしれませんが)　単純に知識を習得したいだけであれば、すぐれた教育ベンダーが多数存在し、費用に見合った、もしくは費用以上の効果を得る教育を受けることができます。
しかし、知識を得るだけでは教育ではなく、それを実践できるようになることまで含め教育なのであろうと考えています。
弊社の中では、70 : 20 : 10 = 業務での応用 : OJT : 教育 と考えられており、つまり、座学で得られることは 10% に過ぎず、業務内における実践が必要であると定義されています。「上(上司) から言われたので、とりあえず研修を受けました。」というような状態では、応用のステップに進むことはないでしょう。

業務上で実践できることだけ、いわゆる DO / DON'T リストのようなものだけを教え込むだけの教育も、やはり中身が無いとしか言わざるを得ません。言われたことだけをやるというのであれば、そこに付加価値を生む生産性が無いのと同じであり、長期的には硬直した組織となる恐れがあります。

情報セキュリティにおける教育で難しいのは、「何かが起こった状態」でなければ、自分自身には全く関係のないと思いがち である事です。自分や部下がインシデントを発生させて、ようやく、その状態を見直すことが求められがちです。本来は、危機回避のための教育であり、実践であるはずが、発生させた後に二度と発生させないための教育という目的にすり替わってしまう危険性をはらんでいます。
世の中の情報セキュリティ事故のニュースを見ていると、たいていが、「ポリシーを定め教育を行っていました。今後は更なる従業員監督と教育で・・・」という内容になっています。自分の会社は大丈夫と根拠のない自信が生み出したものといえるでしょう。
かといって、不安ばかりを煽ることも、逆に生産性を落とすことにもなりかねません。メッセージングのバランスが難しいのです。

従業者側においても、様々な教育を負担に感じることもあると思います。なぜ、自分にそんなものが必要なのか、そんな時間があったら生産的な仕事をしたい云々。
しかし、企業に勤める従業者として、会社全体のことを考え、リスク回避や健全な企業風土(社風)を築き上げる一員であることを自覚することが重要です。
そのように (社員を) 自覚させるようにするには、もやは情報セキュリティ教育の範疇ではなく、代表者自らの方針やそれに基づく行動規範、実際の行動・発言に起因する部分がほとんどと思われます。

「会社を良くしたければ　まず社長が率先する」 - 最近の元気のいい企業を見ると、それが如実に表れているように思います。

事務局長　久保田

新年度が始まりました。
といっても、弊社の暦は6月〆の7月始まりですので、まだ新年度という雰囲気ではありませんが、新卒の新入社員が入社してきたようです。(私はまだ会っていませんが、、)

さて、今まで個人情報保護事務局として活動してまいりましたが、4/1 を持って、情報保護推進事務局へと変わり、対象範囲を拡大し、機密情報全般の保護推進を業務とすることとなりました。一般的には、情報セキュリティという呼び名となると思うのですが、弊社の場合、製品群のセキュリティと混同させないために敢えて情報保護推進としております。

もちろん、個人情報保護もスコープ内ですが、今後は幅広く活動を続け、そこで得られることもこのブログ上で執筆できればと考えています。
今後とも、どうぞよろしくお願いします。

事務局長　久保田