第11回　指針を“有形無実”にしないためにポリシー運用における原則

ポリシーの実効性を高める

セキュリティの確保に際しては、組織的に取り組むことが重要であることは、折に触れて述べてきた。苦心の末にようやくセキュリティ・ポリシーを定めても、従業員のコンセンサスが確立できなければ、実効性はそがれる。ポリシーの実効性を無視しては、効果的なセキュリティは成立しないのである。

現在、セキュリティ・ポリシーの実効性が上がらないと悩む企業の実態を見てみると、情報の重要度やビジネス上の価値に応じたランクづけを行わないままに、規則のみを羅列して、それを“ポリシー”と称しているケースが多く見受けられる。

情報を守るために不可欠な項目を洗い出すことなしに、従業員にセキュリティの重要性や必要性を理解させるのは至難の業である。自社のビジネス戦略に基づいて情報の価値を見極め、なぜその情報を守るべきなのか、なぜセキュリティ体制を確立する必要があるのか、といった明確で説得力のある基準を設けなければならないのである。

また、セキュリティの対象となるべきものの位置づけが曖昧である場合も少なくない。また、仮に対象が定まっていても、それが単なる努力目標なのか、あるいは必ず守るべき重要事項であるのかといった規定が明確になっていないこともある。部門ごと、または社員ごとに認識が異なってしまうようでは、組織的なセキュリティ確保は難しいと言わざるをえない。情報の価値に応じたセキュリティ・レベルを明確にすることで、優先的に守らなければならない情報を周知させるべきである。

さらに、セキュリティ・ポリシーの内容そのものにも気を配りたい。特に注意しなければならないのが、現状の業務のあり方や進め方と矛盾した、あるいは乖離したポリシーやルールを策定してしまうことである。ポリシーを細かく設定するのもよいが、従業員が「規約や規定を忠実に守っていたら本来の業務が進まない」と、根を上げてしまうほど高レベルな要求を強いるのは考えものである。あくまでも現状の業務のあり方を考慮したうえで、実現可能なポリシーやルールを定めるべきなのである。

従業員の意識を向上させる

読者の中には、熟考を重ねてセキュリティ・ポリシーを策定し、周知徹底を図っているにもかかわらず、その効果が上がらないとお悩みの方がおられるかもしれない。その場合、まず原因として考えられるのは、従業員のモチベーションを高める仕組みが欠けているということである。「きちんと守ったら評価され、守らなかったら罰される」というような仕組みを明確にすることも、セキュリティ対策の重要な要素だ。つまり、従業員の意識を改革するのである。

従業員は、往々にしてセキュリティよりも業務の効率や利便性を優先させがちである。そして、この傾向は従業員個人のみの問題ではなく、各事業部門や組織全体にも当てはまる。

「セキュリティに配慮していたら仕事が遅れる」、あるいは「余計に手間がかかる」といった従業員の深層心理に根づいた意識を転換させるには、しっかりとしたセキュリティ方針の伝達と継続的・組織的な教育が必要になる。

この場合の対策としては、社内研修が効果的である。従業員を集めることが難しい場合には、社内のイントラネットを利用したり、ポリシーとその運用法を記載したCD-ROMを配布したりするのもよいだろう。

米国などには、研修の成果を確かめるためのテストを定期的に実施している企業もある。テストは署名式で行われるため、理解していない従業員を一目で判別することが可能だ。そうすることで、セキュリティに関するポリシーやルールを守ろうという気運を高めているのである。こうした方法を参考にするのも一案であろう。

実際の運用にあたっても、チェック体制の確立は欠かせない。セキュリティへの配慮が欠けたり、業務の効率や利便性に流れがちになったりといった従業員が最も陥りやすい状態を防ぐために、定期的に内部監査を実施し、違反行為を正すのである。一般的には各事業部門ごとにこうした監査を実施するケースが多いが、例えば、電子メールの私的な利用などをチェックしようとする場合には、情報システム（IS）部門の協力が不可欠であるように、場合によっては、他部門と協力し合うことも検討しなければならない。ちなみに、米国では電子メールの私的な利用について罰則を設けているところもあり、実際に従業員の解雇理由として適用されたケースすらある。

こうした監査に加え、防災訓練と同様に、システムの緊急事態を想定した訓練を定期的に実施するという選択肢もある。そうすれば、システムの見直しやセキュリティ体制の必要性が明らかとなり、改善点も自ずと見えてこよう。

なお、ポリシーの表現が抽象的であったり、難解であったりするのはもちろんだが、ボリュームが多すぎて覚えるのが困難であったり、あるいは必要なときに手軽に閲覧できなかったりするような愚は避けなければならない。

運用のための体制作り

セキュリティの組織的・継続的な運用を進める過程においては、CIOの舵取りがその効力を左右する。セキュリティ確保について、それぞれの立場から責務を担う「IS」「総務・人事」あるいは「法務」といった各部門を取りまとめながら、セキュリティ確保のための運用体制を確立していかなければならないからだ。

そのためには、各部門と横並びに位置する「IS部門の長」ではなく、その上位の立場から全社的な視点を持つことが求められる。トップダウンの手法で全社に周知徹底させるようなリーダーシップが必要なのである。ときには、経営者を動かし、ビジネス戦略とセキュリティ運用の調整も行わなければならない。

例えば、自社のメール・アカウントで意見投稿するときのルールを作成するようなケースでは、システム的な問題よりも法務、総務的な視点が必要になる。そのうえ、部門の問題としてのみとらえるのではなく、企業全体にとっての利益、不利益の観点からプロジェクトを推進させなければならない。そうした役割は、誰もが負えるわけではない。

部門レベルでポリシー運用を進める場合にも、CIOは各部門に情報管理担当者を設置するなどして、運用の指導や支援を行うことが望ましい。あくまでもCIOが中心となり、草の根レベルのコンセンサスを得られるよう努力すべきである。

また、生産部門で採用されているQC（品質管理）の概念を持ち込み、「セキュリティのQC」とも言えるような仕組みを作るのもよいだろう。

セキュリティの必要性についての理解を全社的に深めるという周知徹底策と、実際に行動に移すために必要な体制作り――もし、この取り組みのどちらかが欠ければ、セキュリティ・ポリシーは、実効性の伴わない形だけの存在となってしまうのである。