第709号コラム:佐藤 慶浩 理事(オフィス四々十六 代表)
題:「成功の鉄則と失敗への道:情報セキュリティ・ガバナンスの構築」
情報セキュリティ・ガバナンスの構築について相談を受けることが増えている。企業などの組織において、それを構築することが必要あるいは重要だと見聞きしてきて、やってみようと思ったけれど、いざどうすればよいのかについてがわからなくなったので相談したいというのである。
相談されたときには、「情報セキュリティ・ガバナンスってどういうことだと考えていますか?」を伺うようにしているが、漠然としていることが多い。このとき、governanceを日本語に訳そうとしてもわかりやすい語は見当たらないはずだ。だからといって、とりあえず、企業内でやることだから企業内統治などという日本語に置き換えて、「情報セキュリティに関する企業内統治に取り組むことなのだろうな。」というかんじで始めるのはやめた方がよい。
単語だけで一意に認識できない場合には、その定義を決めることをまずすべきである。
ただし、情報セキュリティ・ガバナンスを構築する場合には、情報セキュリティ・ガバナンスを定義するよりも、ガバナンス構築から定義するべきだ。
ガバナンス構築の場合には、その定義に一般解はなく、組織に馴染むようによく議論して決めるのがよい。ただし、少なくとも以下の観点を含めることが必要である。
1.明文化
全員の理解に齟齬がないようにするために、文章として定めることが必要である。
2.理解と同意
全員が目的と必要性を理解し、それに取り組むことについて全員が同意していることが必要である。
3.目標と計測
何を目標にするのかを定め、その達成度をどのように計測するのかをあらかじめ決めて、計測しながら目標を達成することが必要である。
ガバナンスを考えるとき、通常は、その接頭辞に取り組もうとしている対策の名称が付く。情報セキュリティ対策であれば、情報セキュリティ・ガバナンスになるわけだ。
その対策を講じるために、ガバナンスを構築するというのが共通した枠組みとなる。
ガバナンスの構築は、その対策のための手段であるということを意識するのがよい。
このとき、対策ごとにガバナンス構築の定義を決めるのではなく、企業内で共通のものにすることが重要である。情報セキュリティ・ガバナンスの構築と、その他の対策のガバナンス構築を異なるものにしない方がよいということである。
それをどうやって決めるのかを考えるときに、情報セキュリティ対策をどうしようかと考えるべきではない。その発想は、情報セキュリティ・ガバナンスの構築が情報セキュリティ対策特有のものになってしまう危険性がある。
むしろ、既に、達成されているか又は達成度がある程度高くなっている対策を探し、仮にその対策をガバナンスの構築として考えたなら、どのように見立てられるかを考えるのがよい。
たとえば、交通費の精算期限を遵守するというようなことでもよい。一部の人は守れていないかもしれないが、大多数の人は守っているということを何でもよいので社内で見渡して探すとよい。
この成功事例を探すことは、企業文化の確認になる。企業文化は、社長が言えば上司に言われなくてもやる文化、逆に社長が言っていても上司に言われなければやらない文化、社長や上司との関係性ではなく同僚がやっていればやる文化、誰かに言われても自分が必要性を納得しないとやらない文化などさまざまである。なんで、このことはみんながよくやっているのだろうという背景を考えてみるのがよい。それを確認した上で、その企業文化に則した、企業ごとのガバナンス構築を定めるのがよい。
そのことが、なぜ達成度が高いのかを改めて考えてみることが、その企業におけるガバナンス構築の成功因子を見出すことにつながる。実のところ、どんな企業にもガバナンス構築の鍵は社内に既にあると考えてよい。逆に、そこに新しいやり方を持ち込んだ場合には、社内に馴染まない可能性があると警戒した方がよい。
そのようにひとつの対策を分析したら、それに該当しない社員がいないかを確認する。交通費の精算の例であれば、外回りをしない社員は該当していないことになる。内勤の人が該当する別の対策を探して、同様にそれを分析し、共通項を見出せるかを確認する。見出だせればよいが、見出だせない場合には無理に共通なものに整理する必要はない。その場合は、ガバナンス構築に種類があるものとして整理すればよい。
以上のことを意識しながら、既にできていることに基づいて、これからのガバナンス構築を計画していくのがよい。つまり、あなたの会社になんらかのガバナンスは既に構築されており、そこに新たに、情報セキュリティ・ガバナンスという対策を当てはめるという枠組みにすることが重要である。このときに、情報セキュリティ・ガバナンス特有のことにならないようにすべきである。そのようにすることは、情報セキュリティ対策特有のことなのではなく、いまある企業文化に馴染まないことを持ち込もうとしている危険信号だと思って、慎重に検討するのがよい。
実際に冒頭のご相談を受けた場合にも、これから情報セキュリティ・ガバナンスの構築に取り組もうとしているチームメンバーの方々と、ここで述べたことの意見交換を最初におこなっている。その答えは部外者である自分の中にはなく、参加したメンバーや、これをきっかけにして呼びかけた社内関係者が答えを導き出すため、コンサルティングというよりは、カウンセリングをしている。
そのように枠組みを作った上で、明文化、理解と同意、目標と計測の項目についても、それぞれ留意すべきことがあるが、それはまた別の機会があれば紹介したいと思う。
ガバナンスの構築は特定の大きな対策について達成度を徐々に向上するのではなく、高い達成度合いを見込める容易な対策について、まずやって達成するのがよい。その成功体験を活かしてより困難な対策に展開していくという順番である。つまり、小さな成功体験を繰り返すことで、大きな成功につなげるという計画をたてるのがよい。
冒頭でガバナンス構築そのものを定義することが大切であると述べたが、ガバナンスが構築できているか否かは、その達成度が100%である状態だけをできていると定義するのがよい。ガバナンスの構築が95%できているという表現はしないということだ。100%未満であれば単にガバナンスが構築できていないと表現すべきだ。企業が取り組むべきガバナンスには多種多様な対策があることになるが、達成度95%のものが乱立した中では、それ以上の改善は望めない。情報セキュリティ・ガバナンスであれば、その達成度が95%ならば、それは情報セキュリティ対策が95%できていると表現し、100%になったときにだけ初めて情報セキュリティ・ガバナンスが構築できたと表現するのがよい。
ガバナンス構築という言葉は、100%達成できた対策だけに与える称号のように使うのがよい。その意味では、ガバナンスの構築と考えずに、ガバナンスの確立と考えて取り組むとわかりやすいかもしれない。
【著作権は、佐藤氏に属します】