Pマーク取得するプロセスを目の前でみてたのですが(今月書類提出)、そんな関係で気になった記事。

セキュリティ対策はどこまで行えばいいのか － ＠IT情報マネジメント.

ISMSやプライバシーマークを取得することもセキュリティ対策の一種だが、それらを取得することだけでセキュリティ対策が完了するわけではない。

取得してみようと思って取り組んでみれば分かるが正直辛い。しかしISMSやPマークは確かに最低限のハードルであることも実感できる。

セキュリティ強化によってユーザの利便性が低下することが原因で、ユーザーから一斉反発を受けた。セキュリティが強化されると一般的に利便性は低下する。よってセキュリティを強化する上では、よほどの理由がない限り社内での支持は得られにくい。

セキュリティ対策を施して便利になる話など世の中には無いわけで、施せば絶対的に不便になるのは当たり前の話。諸手を挙げて歓迎する現場など何処にもありません。

経営会議で発表した。必須項目に関してはすぐに承認され、グレー項目に関しても各項目ごとに議論してもらい、いくつかが承認された。こうして経営陣からのお墨付きを得ることで、ユーザーからの反発の問題を解決することができた。

って、これって解決なんですか？単に反発を抑え込むのに経営陣を使っただけなのでは？お墨付きをもらった後に反発の問題へ取り組めるのであって、それは終わりではなく反発問題対策への始まりでしかないはず。

セキュリティ対策の最重要課題は現場が理解し推進することにあり道具やツールはその先。単純に経営陣を使って押さえ込むと結果として推進する際の障碍にしかなりません。現場に運用を求める限り明確な目標と理解が必要なのなのは、何もセキュリティの話だけに限らない。トップダウンで結果オーライなら良いが、セキュリティ対策は明らかに現場にメリットがなく負荷をかける行為なので、現場への啓蒙・理解・協力が必要。でなきゃ運用できません。

と、ここまで書いて気がついたのだけど「プライバシーマーク・ISMSを取得するだけで完了するわけではない。」って書いてあるよね・・・

あの～Pマーク・ISMSが取得出来てたらこの辺の話って済んでるかと。もしや、取得の経験ないのでは？完了するわけではないっていうなら、取得した先の話をしなきゃ駄目じゃん。「完了するわけでない」の一文がなきゃ、まぁ一般的なセキュリティ対策の話だと思うけど、「完了するわけでない」と振っておいてこれでは・・・

と言いながら、主導していた立場ではないで自分で書けないのは棚に上げておく。