クリエイトバリュー中村宏      「弱者の情報戦略」

竹田ランチェスター経営「弱者の戦略」を実践するための「弱者の情報戦略」を考察します

現場で使えるリスクアセスメント法のご案内

情報セキュリティの組織づくり タブレット部長の相談室

2か月ぶりの投稿です。
忙しくなるとどうしても情報発信が後回しになってしまって・・・
すごく大切なことなのですが・・・我ながら反省しています。


さて、今日は以前から計画していたことがようやく実現できたので、
そのご報告と新サービスの紹介を兼ねた投稿です。


このサイトでは、
「身近なリスクを監視して、しっかりと未然防止の手を打つ」
ことをテーマにお伝えしています。


しかし現実には、機密管理の最前線となる各職場で使えるツール
管理手法で使い勝手の良いものはなかなか見当たりませんね。


ISO27001やPマークの認証プログラムで基準に使われることが多い
JIS TR X 0036などを活用したリスクアセスメントは、
「蟻の入る隙間も見逃しません!」という完璧さを追求するためか、


やや大がかりな作業が必要なものが多く、
日常の業務の中でのリスク監視に使うには少し無理がありそうです。
年1回程度がやっとではないでしょうか。


でも実際には・・・
正式なリスクアセスメントで想定していなかった事態が
日常の現場で起きることは決して珍しいことではなく、


こんな時は各職場の知恵を活用してカバーすることが
どうしても必要になります。


そこで6月に「機密管理マインドBLD」の啓発教材として、
リリースした「簡単リスクアセスメント」に続き、


実際のリスク監視活動をサポートするためのツールとして
「機密管理リスクMGR(マネージャ)」の提供を開始します。


Excelベースで開発されたツールですから、
誰でも簡単な操作で使うことができるものです。


1.専門知識はなくてもリスク管理ができます!


機密情報の取り扱い方(プロセス)をチェックすると、
発生しやすい典型的なリスク、未然防止策、点検のための指標などの
ひな型の情報が表示されます。


このひな型をベースにして自部署の業務スタイルやリスクを話し合い、
自分たちに即した取り組み方を検討してもらうように作られています。


例えば、表示されたリスクについて、
リスクの程度や影響度などを選択肢から選べば
リスク対策の緊急度が表示されるようになっているなど。
これを見て、着手時期を検討することができます。


対策の緊急度の分析


リスク管理は一般的に専門的な勉強が必要だと言われますが、
業務のリスクを一番よく知っている各職場の知恵を活かすことを
何より優先した結果、
この方式が一番現実的な方法に違いないという結論に至りました。


2.各職場のリスクと会社のルールとの懸け橋になります


各職場での関心事は、会社として完璧なリスク対策を行うことではなく、
自職場で発生するリスクを認識して確実な防止を行うこと。
つまり、自分の仕事の責任を果たすことです。


しかし、ただ漫然と規定やルールを実行していても、
職場で機密情報が守れるかというとちょっと危ういと言えます。


なぜなら、各ルールの目的やねらいを良く理解していなければ、
現場の仕事は多様に変化するものなので
実際の仕事の現場ではどう対応して良いかわからなくなるからです。


その結果「これくらいなら、まあ良いか」と勝手な判断をして、
仕事をすることになってしまいます。


これは大変危険なことであり、
前以て、各職場での取り組み方を良く話し合って、
「うちはこう取り組もう」と具体的な活動の仕方を
決めておくことが必要です。


規定やルールは会社の全部門共通の言葉で書かれているので、
各職場の特殊事情を考慮した取り組み方を決めることが
大変重要なのです。


そこで、「異常への気付き」、「基本的な取り組み」、「職場の組織力強化」の
3つの視点からレベルアップを促進するためのガイドラインを表示します。
さらに標準的な未然防止策までも表示します。


従来のリスクアセスメント作業なら
「それを考えるのが仕事だよ」ということになりますし、
ちょっと過剰サービスかな、という気もしましたが、


ひな型になる材料としてのたたき台がある方が
現場では早く、かつ具体的に議論が進みますので、
自職場の取組みを話し合う材料として活用していただきます。


これらのガイドラインを活用して必要な事柄をチェックし、
ひな型をベースにして必要な修正を行うことで、


「資料を作る」などという、
アセスメントの本質と関係ない事務作業を徹底的に減らし、
話し合いや検討の時間を生み出すことをねらっています。


そして、少ない時間を活用して、
自職場に即した取り組み方を検討できるようにしています。


ガイドラインの表示


そして、ものすごく大切なことですが、
検討した職場のリスクと会社のルールとのひも付けを行うために、
該当する関連規定や通達の場所を記入できるようになっています。


これによって、ただ漫然と書かれたルールを実施するというのではなく、
自分たちの職場で「どのように実践するか」を具体的に決めることで、
ルールへの理解をより深め、応用力を付けることができます。


それから、リスクの検討の段階で、もう1つ工夫したことがあります。
リスクに対する対策と、実際の機密情報の対応を取ることは、
現実の仕事の中で必要なことなのですが、通常は大変煩わしい作業です。


この該当する「機密情報」と「リスク」を対応させる作業も、
機密情報管理台帳の該当項目をチェックすることで
簡単に行えるようになっています。


どうしてこのようなサービスが提供できるかというと、


実は機密情報の取り扱いプロセス、典型的なリスク、標準的な未然防止策、
自主点検に必要な指標のひな型を収録したルールベースを内蔵しているからです。


さらに、このルールベースは様々にアレンジすることできるようになっていて、、
目的に応じたレベルのリスク管理活動が行えるようになっています。


ここまで読んでいただくと、
認証取得や継続のために実施していた従来のリスクアセスメント作業とは
大きく異なるイメージを持たれると思います。


「職場の、職場による、職場のためのリスク管理活動」を推進するため、
話し合いや検討のプロセスに力を入れていただきたいと考え、
開発した強力な支援ツールです。


是非、HPのご案内を見ていただきご検討ください。


「機密管理リスクMGR(マネージャ)

クリエイトバリュー 代表 中村 宏