事実周知や意識の向上に使われる啓発ポスター。
いざ、送り手(伝える側) になった時、非常に苦労します。
知らない事を伝えたり、何か重要な事実をを伝えたりするのは簡単です。メッセージの内容は明快であり、目立つデザインにすれば良いからです。
しかし、もう当然のように知られているのに、更に伝えなければならない場合にはどうすればよいでしょうか？

その一例が、情報セキュリティです。
今や、情報セキュリティが大切である事は誰もが認知している事と思います。世間では大きな事故も多数発生しており、その影響も大きいという事は常識となっています。

常識的な事を頭ごなしに言われても、わざわざ聞く人もいないでしょう。しかし、分かっていてもミスを犯すのが人間というのも事実です。
その矛盾のような状況を抱えつつも、何もしなければ何も変わりませんので、本年度も啓発ポスターを作成しました。
今までは一般的な「危険性」「重要性」訴えかける内容でしたが、今回は思い切って ”言葉” を排し、デザインで訴えかけるということにチャレンジしました。

それが以下のデザインです。
1. 「正しい行動の集積は、透明となる」
正しい行動の積み重ねにより、”透明 (デザイン上では白色)” となり、それは即ち、自然体で当たり前のことを為すということを意味しています。


2. 「敢えて言わない」
”吹き出し” のデザインとなっていますが、その吹き出しの中身は空です。言わなくても分かっていますよね？という問いかけです。

どちらも説明が無くては分かりませんが、説明をすると、説教っぽくなってしまうため、言葉抜きで提示しているというものです。

通常は社内掲示のみなのですが、今回は、一般配布も行っており、以下のサイトにてダウンロードが可能です。
　http://www.microsoft.com/japan/privacy/management/default.mspx

また、このブログだけの特典としてデザイン B (下の方) の色違いをダウンロードできるリンクを以下に記載します。
 XPS 版
 PDF 版

ご自由にダウンロードして、社内でご利用ください。
(小さくマイクロソフトのロゴは入っていますが、ほとんど気にならない大きさだと思います。)

事務局長　久保田

通称: 経済産業省ガイドラインの改定がありました。
　http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.htm

事務局長　久保田

裁判員制度が開始され、その模様を報道で知る事が出来ます。
私も、国民の一人として多大な関心を持ってニュースを見ています。

傍聴に行かれた経験がある方は想像がしやすいと思いますが、あの雰囲気で、法律の素人が発言するというのは、かなりの勇気がいる行為ではないだろうかと考えています。たぶん、一般的な良識という観点で質問をしても良いというガイダンスがなされていると想定はしますが、とはいえ、です。

ビジネスの現場における質問力。
勘所が良く、気が利いていて、ウィットに富む質問ができるというのが理想のように思います。
単純に分からないから聞くということではなく、相手との対話から何かを得るという視点での質問が、双方を育てていくのだと思います。

事務局長　久保田

JIPDEC にてプライバシーマーク説明用の Web サイトがアップされました。

よくわかる プライバシーマーク制度


事務局長　久保田

顧客情報を持ち出して売却するという事件について進展があり、逮捕、企業への行政処分がなされています。

[参照]
三菱ＵＦＪ証券株式会社に対する行政処分について：金融庁

-- 以下、抜粋 ---

私が住んでいる地域 (区) では、毎日、行政から “防犯メール” というタイトルのメールを希望者に配信しています。内容は、前日に発生した 車上荒らし、ひったくりといった身近な犯罪情報の連絡です。
ほぼ毎日届くので、ほぼ毎日犯罪が発生しているのだと実感することができます。
半年ぐらい前から受け取るようにしているのですが、今日初めて ”振り込め詐欺” が報告されていました。

一部抜粋して、以下に記載します。
---
【発生状況】家族を名乗る犯人から「借金の保証人になり、相手がいなくなった」「借金をした」などと電話を受け、犯人が指定する口座に現金を振り込んだもの。

最近、最も発生が多いのが息子や娘、孫等を装って親族が心配する気持ちにつけこんで、現金を騙し取る「オレオレ詐欺」です。

○「携帯電話が変わった」という電話があったら十中八九詐欺犯人と思いましょう。

○子どもや孫からの電話があったら、本物の家族かどうかを「ペットの名前等」で確認しましょう。（合言葉を決めましょう）
---

いつ自分が被害者になるかもしれないので、心の準備、実際に物理的な防犯などをしておくということは有効です。この防犯メールもそういった事を狙っての啓発活動の一環だと思います。私自身、今日の防犯メールには、ちょっとドキッとしたので、それなりに効果があったものと思います。

ただ、
電子メールで届くので、高齢者が受け取って読んでいるのだろうか？
対策が、ちょっと極端すぎないだろうか？（十中八九犯人って、、）
ということが懸念点です。

こういった社会犯罪が無くならないと、心の平安は訪れないですね。。

事務局長 久保田

たられば、つまり、～だったら、～すれば、というような仮定の話です。

私はどんどんすべきと思います。たられば論者です。ただし、条件はあります。

「過去の事象は扱わない」

過ぎ去った事を考えても、未来が変わるわけではありません。反省することは大切ですが、冷静に分析すれば良く、そこに仮定の話を持ち込むと収拾がつかなくなります。事実を直視することは、時には痛い事でもあります。そこから逃げていていは前進はありません。
朝令暮改といった言葉があり、外資系企業に勤めていると、そういうことが本当にあります。あまりに反省しないのも、どうかと思いますが、過去を振り切る潔さは時として大切です。

未来についての ”たられば” は、それこそ、リスクマネジメントです。起こりえる事象について可能性を計算し、対策を講じる。

「極端な事は扱わない」

でも、あまりに突拍子のない発想は無用です。
「明日、隕石が衝突して地球が滅亡するかもしれない」確かに、可能性はゼロではありません。ゼロではないが、常識的に考えれば排除できます。隕石が衝突するという正確な情報が不足しているからです。それでも人は、その手の噂に惑わされることがあります。
「明日、ｘｘ地方で大きな地震があるらしい」地震は日本人にとって身近であるにもかかわらず、科学的な情報を日常生活から取り入れることができません。明確な否定もできません。明確な肯定もできません。発生可能性が分かりません。


現実的に起こりうるストーリーを、可能性と共に考え検証する。
それは、日常生活、企業活動の中に自然と根付いているものと思います。未来への思考を止めてしまうことは、不測の事態への備えをしないということになります。不測の事態に対して、自分ひとりで全て完結できるのであれば、杞憂すべきことではありません。「どのような事態にたいしても対処可能」と宣言すればよいのです。しかし、全ての可能性を考えずに完全宣言をできるものでしょうか？

答えたくない場合、答えにくい場合はどうすればよいのでしょうか？

「ｘｘｘ という事態に陥った場合、xxxx ということにならないでしょうか？」

「現在、あらゆる可能性について検討していますが、皆様にお話しできる段階ではありません。」

こんな感じが妥当な回答でしょうかね。


事務局長　久保田

マイクロソフトは6月締めです。そのため、現在、来季の活動について熟考を重ねています。
既に PDCA サイクルの要である社長レビュー (Privacy President Review) を終え、方針は決まっています。それを、どのように来季の活動に落とし込むかが現状の課題です。

来季は、弊社の核となる新製品もリリースされそうです。新製品が出ると社内は活気づきますし、弊社製品で市場や経済が良くなるきっかけとなれば良いと願っています。
私の業務においては、ただひたすら、淡々と、粛々とコンプライアンスレベルの上昇に向けて注力するだけではありますが。。

ネットワーク技術やインフラの発達で、クラウドコンピューティングの市場が確立されつつあり、競合が激化していくだろうというのも、今後の予測です。扱うデータが中から外になるという点では、セキュリティ分野においても一段の向上が必要となっています。国を超えたときの法令の整備というのも必要になってくるでしょう。最近は、技術は前からあるのだけど、いつの間にか生活に浸透しているということが多いように思います。使う・使わないの最終的な判断は消費者にあると考えています。正しい判断をするには、技術の動向、法令整備の状況を把握していかなければなりません。今後、注意すべき点が出てきた時には、このブログでもお知らせしていきたいと思います。


事務局長　久保田

何かの不祥事が発生した際の社長の責任は、どの程度なのでしょうか？

まずは、会社法の観点から考えてみることにします。
会社法においては、社長というのは呼称であり、正式な役職名ではありません。ただ、一般的には会社のトップを表し、代表取締役、代表執行役など 、複数いる役員の代表という位置付けです。代表なので、最終的な責任があることからは逃れられないのですが、果たして、代表一人の責任なのでしょうか？
会社法では、取締役や執行役の間で相互に監視する義務があるとされています。つまり、社長一人の横暴であっても、それを察知し、止めさせることが他の役員には求められているのです。これが即ちコーポレート ガバナンスです。

次に、企業の不祥事ということで思い浮かぶのが、善管注意義務です。
善管注意義務とは、「善良なる管理者が払うべき注意義務」のことで、社会通念上、適切と思われる管理を、その職責の下で果たすという意味合いになります。もちろん、犯罪を犯した当本人は刑事罰等が下されるのですが、社長は社員の教育、業務執行・管理の責任を負うというこ とになります。組織であれば、それを全て社長が行うわけではなく、社長の指示の下、管理職がその任に当たるわけですが、該当の管理職がその職務を正しく遂行していないがゆえに、社員の不祥事に至った場合であっても、やはり、その管理職の管理を怠った社長の責任ということになります。
ただし、一般的に考えると、この善管注意義務も理想論ということになるように思います。企業の規模が大きくなればなるほど、社長まで上がる情報というのは少なくなります。受け皿の容量が決まっていれば、チャネルが増えれば増えるほど、そのチャネルから出る情報量は絞らざるをえません。絞らない場合は、会議が増えたり、会議のための会議が増えたりと、逆の悪影響も出てきます。

「今すぐ辞めることで責任を取りたい」「再発防止策を講じて是正することで責任を全うしたい」
さて、どちらが良いのでしょうか？
一つの考え方として、経営判断のミスであれば辞任。そうでなければ、是正するのが責任。というのはどうでしょうか？

大雑把ですが、不祥事が発生した場合で考えると、
A. 予防策を講じていた (十分にリソースを使っていた)
B. 予防策を講じていたが、明らかに不十分だった (一部リソース不足が否めない)
C. 予防策を講じていなかった (リソースはかけていなかった)

A は、継続して経営者として改善をしていく
B は、是正措置を講じ、それが軌道に乗ったら経営者を辞める
C は、経営者を交代し、新しいスキームで立て直しをする

というのが責任の取り方ではないのだろうかと思います。
社長が辞めたら、その他の役員も同罪であろうと言いたいところですが、まだまだ日本では相互監視の必要性が論じられていないように思います。
いずれにせよ、感情論、水掛け論ではなく、経営を見据えた結論が必要ですね。

事務局長
久保田

JNSA による報告書が公開されました。
詳細は、以下のページをご参照ください。
　NPO日本ネットワークセキュリティ協会


事務局長 久保田

一般向けにも Windows 7 Release Candidate (RC:製品候補版) の公開が始まりました。

　http://www.microsoft.com/japan/windows/windows-7/download.aspx

注意事項などをお読みいただき、ぜひ、新しい Windows を体感していただければと思います。

---
私ももちろん、社員ですから、一般公開よりも先だってのインストールにて利用を続けています。Vista と併用していると、Windows のメニューの名称や在り処が頭の中で混乱するのですが、それも、新しいものを受け入れるための試練と考え頑張っています。
---

GW 中でも、私の職業柄、連絡がつくような体制をとっていました。特に海外に行く予定も無かったので、横浜開港祭を見に行ったり、谷中散歩したりと近場でリフレッシュしました。
しかしながら、毎年そうなのですが、米国本社は休み期間ではなく (Golden Week とは素敵な響きですねと米国社員にいわれつつ) 、また、6月締めの弊社では、そろそろ来期のプランを話し合う時期なので、メールがたくさん溜まるのです。さらに今日は朝から列車遅延で出社が遅れ、午後からは中途入社の方々へのトレーニングがありで、休み明けから疲れる一日でした。


事務局長　久保田

"世界中のすべての人々とビジネスの持つ可能性を、最大限に引き出すための支援をすること"
(http://www.microsoft.com/japan/mscorp/mission/default.mspx)
これが、マイクロソフトの Mission Statement です。
(一昔前には、"すべての机にコンピューターを" といった内容のものでしたが、これだけ世の中が変わると、さらに先を見据えた柱が必要となります。)

各事業部は、このミッションを達成するための戦略を立てるべく、各事業部としてのミッションを策定します。
私の仕事においては、"信頼できるコンピューティング (Trustworthy Computing) " がそれに該当します。
(http://www.microsoft.com/japan/mscorp/twc/default.mspx)
ビジネスを円滑に達成するには、信頼される基盤が必要であり、そのために社内外に取り組んでいくのが業務であり、特に私はその中の Privacy に特化した仕事を担当しているという訳です。

"信頼される基盤" は、まずは製品であり、技術ということになるのですが、
Privacy という業務の観点から考えると、"信用"、すなわち "人と人"、"人と企業"、"企業と企業" の間に生まれるものが重要であるということも立脚点となります。
社員を信用できるからこそ、社会から信用されるようになると常々考えており、そのような教育プログラムを適宜、社内で行うのですが、どうしても道徳、倫理などの話となってしまうので説教おやじみたいになってしまうのが、難しいところです。


先日、歌舞伎座で曽根崎心中を観劇しました。商売人は信用が第一、信用を無くせば生きていても意味がないとして、心中してしまうストーリーです。現代にも通じる話ですね。

事務局長　久保田

"Compliance = 法令遵守" は間違いである。この考えでは、違法性が無ければ何を行ってもよいということになる。
"Compliance = 企業倫理遵守" となるべきである。企業倫理は、法令遵守に加え、自らが定めた自らのルールである。ただし、企業倫理自体は崇高であっても、それを達成するためのルール・マニュアルが融通の利かない硬直したものであると、違った側面での被害が発生する。そのためには、企業倫理を保ちつつ、ステークホルダー (株主、経営者、社員、顧客、近隣住民、社会全体など) すべてが良好となる企業運営となるために、全体を見渡して考えることができる人材が必要です。
近年の公益通報者保護法の整備により、内部告発による事件の発覚も多くなりました。これは同時に、各個人が適切な倫理観を持つことを義務付けている意味合いもあるのではないかと推察されます。
上司からの命令、それが違法なものであっても、「No」 と言いにくいというのが実際のところではないでしょうか？なかには違法だと知らなかったり (教育不備) 、違法と思わせない説明がなされていたりと、従業者自身の過失を問うのは不憫なこともあります。しかし、法の場では「知らなかったでは済まされない」ため、倫理観を身につけるのと同時に、法令についての理解も深める必要があります。

上記は、先日発生した証券会社による個人情報の不正持ち出しに関する報道を見て、私が考えたことです。その後も報道は続いており、少しずつ事実も解明されていくものと思います。様々なニュースから、いろんなことを考えるのですが、これを読んでいる皆さんも、ぜひ、何が原因で、なぜ予防できなかったのかを考えてほしいと思います。短絡的に結論を出してしまったり、深く考えないことが、成熟した社会への障害となると考えています。


事務局長　久保田

弊社にも新卒社員が入社してきました。
当面は教育ということになり、そのうちの一つとして私も Privacy ということで一コマ話をしてきました。
(今年の新入社員は、「エコバック型」 らしいのですが、採用担当者じゃないので正直、それは良く分かりません。ただ、当たり前ですが、若くて元気で良いなと思いました。)

Privacy について、正しく理解するのは多分、長年社会人をやってきている人間でも難しいと思います。
人格権としてのプライバシーという概念は、昔から、それこそ憲法の条文に含まれるような形で社会に浸透していました。しかし、会社の業務の中に存在するプライバシーという問題に関しては、ここ15年ぐらいの間に顕在化したり、法令化したりしてきたと思いますし、昨今では、やはりインターネットという情報社会とプライバシーということについて、問題が複雑化してきているのも事実です。
ただ、今入ってくる新卒社員は、子供のころからインターネットに触れていたネットエイジ世代であるため、ネット社会で発生している問題ということについては、むしろ、既存の世代の社員よりも詳しく、且つ、敏感かもしれません。
そういったことも踏まえ、プライバシーの考え方、今後のあるべき姿、根本としてとらえるべきコンプライアンスの事であったり、織り交ぜて話をする必要があります。

新卒社員に限らず、上から下まで、結局は ”教育” が企業を適切な方向で運行させるための基礎となります。知識を付けさせるのではなく、行動に結びつく教育ができるかどうかが大切です。

[参考]
フレッシャーズの皆さん、十分なセキュリティ知識はありますか?
http://www.microsoft.com/japan/protect/computer/basics/fresher.mspx

事務局長　久保田

マイクロソフト セキュリティ アセスメント ツール (MSAT) は、組織の現在の IT セキュリティ環境の弱点を測定し、問題の優先度を明らかにする事で、最小限のコストでセキュリティに投資を行い、リスクを最小限に抑えるためのガイダンスを提示する無料のツールです。

アンケート形式で進めていき、最後にレポートが表示されます。質問数は多いのですが、割に簡単に早く終わります。ただし、全ての項目に精通している担当者でなければ回答ができませんので、担当部門が分かれていたりする場合は、協力しながら進める必要があります。

↓こんな感じで最終的なレポートが出てきます。
 


[参照]
マイクロソフト セキュリティ アセスメント ツール
http://technet.microsoft.com/ja-jp/security/cc185712.aspx

事務局長　久保田

昨年 12 月の特定電子メール法の改正に伴いオプトイン (Opt-in) が義務化されました。
オプトイン、すなわち ”事前に明示的な同意を得る” ということなのですが、その同意の方法は [同意] ボタンのクリックや、チェックボックスへのチェック入れなどで、Web サイト構築においては簡単に実現が可能です。

しかし、ここで気をつけなくてはいけないのは、本人が確実に、その動作を行ったことを保証する仕組みになっていることです。タイムスタンプも共に適切に保管されなければなりません。
さらに、同法令では、その同意の証拠(証跡) の保管 (取得後、利用してから３ヶ月間) も義務付けています。適切にログが保管され、且つ、それが滅失、棄損しないように管理する必要があります。

法令対応のためシステムの再構築が必要な企業もあると思いますが、場合によっては行政処分による営業停止ということもあり得る話です。そうなると、元も子もない話ですので、もし経営陣が理解をしていないようであれば IT 部門からの早急な進言も必要です。

[参考]
http://optin-mail.jp/faq.html

事務局長　久保田

IPA から表題のガイドラインが発表されました。
ほぼそのまま使える機密保持条項のテンプレートも含まれており、活用できるかと思います。既に策定している企業であっても、再度、抜け漏れが無いよう見直すことも肝要です。

参照:
情報処理推進機構：情報セキュリティ：中小企業の情報セキュリティ対策ガイドライン

事務局長　久保田

先日来より話題の定額給付金の給付が開始されています。
(私が住んでいる横浜市は 5月末が目途らしいので、まだ先の話ですが)
それに呼応して、振り込め詐欺のニュースも聞かれるようになりました。個人情報が悪用される悪い例でもあります。個人として断固と対応できるよう注意が必要です。

参照先:
「定額給付金」の給付をよそおった振り込め詐欺等にご注意！！(報道発表資料)_国民生活センター

事務局長　久保田