第4回　万全のセキュリティは全社情報の把握から始める情報を“棚卸し”する

守るべき情報はどこに

「情報は（「お金」、「人」、「物」に続く）第4の経営資源である」――この考え方は、すでに「経営の常識」と化している。

にもかかわらず、いまだに多くの企業が、「情報」という経営資源をきちんと把握し、管理し切れていないようだ。

実際、他の経営資源（お金、人、物）に対しては厳格な管理体制を敷いている企業ですら、「情報の把握や管理」に対する意識が低いというのが実情である。当然のことながら、企業が自社の経営資源を最大限に生かすためには、「その実体」を正確に把握していることが大前提となる。それは、情報についても同じことだ。

企業が情報の戦略的な活用を図るには、「自社がどのような情報を持っているのか」、「その中で価値ある情報はどれか」をきちんと理解していなければならない。また、こうした認識から、「価値の高い情報は、しっかりと守らなければならない」という意識が生まれてくることになる。

それゆえに、情報のセキュリティを検討する前に、まずは自社が現在持っている情報の「棚卸し」を実施していただきたい。情報セキュリティの確保に向けた第一歩は、「社内のどこに、どのような情報があるのか」、また「それらは、どのように蓄積され、どのように活用されているのか」をしっかりと把握することから始まるのである。

部門ごとに囲い込まれる情報

では、現実問題として、情報は企業内のどこに、どのようなかたちで蓄積されているのだろうか。

大抵の場合、そうした情報は企業内の各部門ごとに収集・蓄積され、そこで完結してしまっている。つまり、経理部門も、企画部門も、そして営業部門も、それぞれの情報を個々に抱え込んでいるのである。しかも、極端なケースでは、部門の担当者が個々に情報をしまい込んでいる場合もある。例えば、営業部門に属するスタッフ（営業マン）が、それぞれの顧客情報を個人的に抱え込んでしまっている例は珍しくない。

ちなみに、最近ではナレッジ・マネジメント（社員・部門が個別に蓄積しているノウハウや知識を共有化し、全社的に活用すること）の必要性が盛んに唱えられているが、これはある意味で、そうした情報の共有化がこれまでほとんど行われてこなかったことのあかしであろう。

実際、これまで企業では、各部門が独自にシステム化を進めてきた。つまり、それぞれの部門が、自分たちの業務効率を向上することだけを目的に、システムやデータベースを個別に構築してきたわけだ。

このような現場主導のシステムやデータベースが増えてくると、企業のIT部門としてもそれらを管理し切れなくなる。その結果、IT部門が把握できない（すなわち、全社的な管理がなされていない）情報が各部門に蓄積されていったのである。

もちろん、ビジネス部門が独自にシステムを導入し、情報を蓄積すること自体は悪いことではない。問題なのは、経営資源である情報を、その部門内で完結させてしまうことなのだ。しかも現時点では、ほとんどの企業が部門ごとに蓄積された情報を管理するための全社的なルールを明確化していないようだ。それどころか、部門内においてすら、「情報に対するアクセス権限があるのは誰か」、「その情報はどんな目的でどのように利用されるべきなのか」、さらには「その情報で問題が発生した場合には、誰が責任を取るのか」といった決まり事がないケースも少なくない。これでは、全社的な情報セキュリティを確立することはまず不可能であると言わざるをえない。

棚卸しのプロセス

では、「情報の棚卸し」はどういった手順で進めればよいのだろうか。

多くの場合、全社レベルでの情報の把握がきちんとなされていないのは、企業経営層が情報を「IT寄りのこと」としてとらえ、その管理をIT部門に任せ切りにしてきたことに原因がある。したがって、情報の棚卸しに取りかかる前に、まずは経営層がそうした意識を変革する必要があるだろう。そして、経営的な視点から各部門の持つ情報の重要度を判断できるCIO（もしくはCIO的な役割を担う人物）を中心にして、「情報の棚卸し」を組織的に進めることが肝心だ。

以上の準備を終えた後に、いよいよ情報の棚卸しのプロセスに入ることになる。
その最初のプロセスは、「現在自社内の各部門はどのようなシステムを構築しているのか」、「また、それはどのような目的で構築され、どのような効果を上げているのか」、さらには「その管理はどのように行われているのか」をチェックすることである。

ちなみに、これらの作業を進める際には、システムの費用対効果を常に念頭に置いておく必要がある。

また、IT部門が全社的に管理しているシステムについても、上述したような点を明確化しておかねばならない。

上記のプロセスの次になすべきことは、それぞれのシステムに蓄積されている情報についての点検である。要するに、各システムの情報に関して以下の項目をチェックしていけばよいわけだ。

• その情報が何のために蓄積され、どのように利用されているのか
• アクセス権限はどうなっているのか
• 責任体制はどうなっているのか
• 情報管理はどのように行われているのか

もちろん、情報はデジタル・データだけとは限らない。したがって、紙ベースの情報についても、上記の項目に沿ってチェックを実施していかねばならない。加えて、情報の収集から管理・活用、廃棄に至る一連のプロセスが、どのように行われているのかを知ることも必要だろう。

このようにして、「情報の棚卸し」を実行すれば、情報の所在や管理体制が明確になる。そのうえで、システムや情報の重要度を測定し、それに応じたセキュリティのレベルを検討したり、各部門に共通した情報管理のルールを策定したりするといった段階へ進めばよいのである。

当然のことながら、企業の各部門はそれぞれが保有するシステムと情報こそが、自社内で最も重要なものであると主張するだろう。また、彼らは、自分たちがこれまで守ってきたシステム管理と情報管理のルールを変えることに強い抵抗感を示すかもしれない。したがってCIOは、このような現場の声に耳を傾けながら、全社的な情報戦略と各部門のニーズとの調整役を演じていかねばならないのだ。

繰り返しになるが、全社レベルでの情報の把握がなければ、真の意味での情報セキュリティを確保することはできない。つまり、全社規模での「情報の棚卸し」を実施することと、社内の各部門が情報に対して共通の認識を持つことは、「重要な情報」を外敵から守るうえでの最初の、そして極めて重要なプロセスなのである。