クリエイトバリュー中村宏      「弱者の情報戦略」

竹田ランチェスター経営「弱者の戦略」を実践するための「弱者の情報戦略」を考察します

日常業務でらくらくリスクチェック

情報セキュリティの組織づくり タブレット部長の相談室

尖閣列島での中国漁船事件に関わるビデオ映像の流出が
世の中の大きな話題になっています。


国民の知る権利を代弁した内部告発だ、というような意見や、
情報管理が甘すぎる、もっと性悪説に立った管理を徹底しろ、
というような意見が聞こえてきます。


「これは社会正義だ」という意見については、
また別の機会にお話をしたいと思いますが


「取り締まりを強化しろ」という意見に対しては、
そんな単純な考えでは絶対に漏洩は防げない、と
声を大にして言いたいと思います。


なぜなら、情報の流出に関わった人間の意識が原因だからです。
防護の仕組みをどんなに厳しくし、取り締まりを強化しても、
システムには「脆弱な抜け穴」というものが必ず存在していて、


意図的に、それを利用されれば打つ手はありません。
今回の事件の関係者は、その脆弱性を巧みに利用しています。
人間の意識を高めるしか根本的な対策はないのです。


そもそも、社会正義の是非はあるでしょうが、
1人の国民の判断で、
公安当局の信頼、ひいては我が国の国際的な信用が
大きく傷つくような行動が容認できるのか?


数年前の海上自衛隊からのイージス艦情報の漏洩がきっかけで、
米国が最新防衛兵器の情報供与を拒否したことが思い返されます。


このブログでは、独立し自律した個人1人ひとりの
情報モラルを高めるテーマを繰り返し取り上げています。


その方法は「職場での全員参加」によって、
「自ら判断し行動できる組織文化と行動規範」を作ることです。


先月、サービスを開始した「機密管理リスクMGR」は
このテーマに正面から取り組むものです。
「機密管理リスクMGR」を活用した情報モラルの向上策について、
これから数回お話をしたいと思います。


1.なぜ「機密管理リスクMGR」なのか?

情報活動に関わる個人の情報モラルを高めることは、
情報セキュリティ活動の効果を高める上で避けては通れません。
情報管理の根源に関わるテーマです。


こう書くと、「社内教育を徹底すれば良いじゃないか」という声が
聞こえて来そうですが・・・・


集合教育で、1人ひとりの意識を高めることができると、
そうお考えならば、残念ながらそれは間違いです。


全体研修では、知識や技術を効率よく学ぶことができますが、
それによる動機付けは一時的なものに過ぎません。


学んだことをベースに「どのように行動するか」を一人ひとりが考え、
日々実践する中で、ようやく意識は高まって行くものです。
だから「日々実践できる具体的なもの」がさらに必要なのです。


このために「機密管理リスクMGR」を開発しました。
日常の業務を通じて、情報管理のモラルを高め、
機密管理の職場力を高めることができるものです。


機密管理リスクMGR


2.日常では「らくらくリスク・チェック」が必要

職場の「リスク」について、以下の2つの特性を
認識していただきたいと思います。


1)職場ごとの取り組み方(落とし込み)が必要
情報管理活動は、ルールに書かれたことをただ漫然と行っても、
効果はあまり期待できません。
それどころか、活動がマンネリ化して、
リスクに対する感受性が下がってくるのが一般的です。


ルールは各部門に共通の言葉で書かれていますが、
実際のリスクは職場の仕事の状況で多様な局面があります。


従って、各職場の実情を踏まえて、
各職場のリスクに応じた具体的な取組みをしなくてはなりません。
これが「落とし込み」です。


2)環境の変化への対応(職場の知恵の活用)が必要

お客様、取引先、社会の需要などにもとづいて、
業務の状況は日々変化します。
従って、業務の最前線における情報漏洩のリスクも常に変化しています。


これを規則やルールでカバーすることは現実的ではなく、
機密情報を取扱う現場の担当者が気付き、
機転を利かして臨機応変に対応することが何より大切です。
これが「職場の知恵の活用」です。


いずれにしても、今まで気付かなかったリスクへの気付きをもとに
日常業務の中で職場の仲間と課題認識を共有することがポイントです。


機密管理リスクMGR


3.誰でも、どこでも操作できる簡単ユーザインタフェース

日常業務の合間で気になった時にワンタッチでチェックができるように、
できるだけ簡単な操作で使えるように工夫しました。


1)仕事のプロセスにチェックを付けるだけ
今から取りかかる仕事で気になるもの(質問)をチェックするだけで、
検証していただきたいリスク情報を即座に表示します。


表示されたリスク情報を、
あなた自身が認識しているかチェックしてください。
職場の他の同僚にも話を聞いてみてください。


職場全体で認識が希薄なら問題提起のための話し合いをしましょう。


2)Excelベースのチェックツール
Excelベースのツールなので、操作はいたって簡単です。
社内の共有サーバに入れておくと、
職場の全員で同じ基準でリスクチェックが行えます。


ノートPCで持運べば社内のどこにいても話し合いができます。


3)専門知識は全く不要

認証のリスクアセスメントでは、リスクの期待値とか残存リスクとか、
厳密な検討が必要ですが、


このツールは、職場の担当者にリスクを認識してもらう
ことが目的なので
完璧さには少々目をつぶっていただきたいと思います。


気になった時に、気になる個所を、迅速にチェックするため
JIS TR X0036などの専門知識はなくても、
現状が的確につかめるように工夫しました。



以上、機密管理マインドBLDの
「らくらくリスクアセスメント」をシステム化し、
「小さな組織のリスク管理」を実践するツールとして位置付けています。


これまで実践された活動や啓発教材と比較してみてください。
「機密管理リスクMGR」の特徴と威力を
良くご理解いただけると思います。


次回は、「機密管理リスクMGR」で表示される情報を解説し
職場で「気付き」や「共有」を進め、
職場の相互啓発につながるポイントを解説します。


機密管理リスクMGR


クリエイトバリュー 代表 中村 宏