就業規則で会社のルールは決まっていても「セキュリティ に関するルールが決まっていない」というケースもあるかと思います。
できない理由
これまでできなかった理由はいくつかあると思いますので、その理由に対しての対策を検討していきましょう。
- 率先する人がいない。
- 予算がない。
- 知らなかった。
- 知識のある人がいない。
「率先する人がいない」ケース
往々にして「言い出した人がやらされる」、「余計な仕事を増やしたくない」という理由で「やらなければならない」と分かっていても誰も声を上げない風潮は日本社会には根強くあります。
情報セキュリティが進まない訳
情報セキュリティ は、IT技術を前提とする業務にとっては必須のものですが、IT技術を前提としない業務において、後からIT化がなされた場合、情報セキュリティは軽視しがちになります。それ故に情報セキュリティに関するルールやポリシーの作成などの優先順位が落とされがちになり、場合によっては無視してIT技術の導入が進められるケースも少なくありませんでした。
「率先する人がいない」ケースを打開するには
このケースの責任はほとんどのケースで経営者にあります。
そもそもは経営者が情報セキュリティ対策については率先してやるべきことなのです。それができていないのが大問題であり、経営者自身の考え方を大きく改める必要があります。
とは言え、経営者もITや情報セキュリティについてあまり詳しくない場合、認識が甘くなる傾向にありますので、経営者の周辺が認識を正して行く必要があります。その際に、日頃から経営者に対して意見が言える職場環境を作っておく必要があり、それは情報セキュリティにかかわらず、ビジネス全般について言えることです。
1stステップ 「経営者の理解を得る」
貴方が経営者でない場合、先ずはあなた自身が率先して動く必要があります。そのためには経営者と話し合いを行い情報セキュリティの必要性を理解してもらう必要があります。
※【経営者に情報セキュリティの必要性を理解してもらう方法】は別の機会に記載します。
2ndステップ「推進のリーダーを決める」
経営者に一定の理解を得られた場合、情報セキュリティ対策を推進するリーダーを決定してください。本来は経営者自身が情報セキュリティ対策の推進する立場ですが、経営者自身がリーダー役を行うことができない場合は、経営者がリーダーを専任します。情報セキュリティ対策を行おうと思われたあなた自身、もしくはあなたの協力者をリーダーとするのが良いかもしれません。経営者に協力して頂き、経営者の意向としてリーダーの指揮の元、情報セキュリティ対策を推進します。 その際に、経営者からリーダーが情報セキュリティ対策の責任者であることを組織内に周知して頂きます。
各部門の部門長からは情報セキュリティ対策について否定的な意見が出る可能性もありますが、その際は経営者同様に情報セキュリティ必要性を理解してもらいます。
※経営者と同様に情報セキュリティについて理解いただけない場合は、別の機会に記載する【経営者に情報セキュリティの必要性を理解してもらう方法】を参考にして、理解いただけるように説得してください。
「率先する人がいない」ケースのまとめ
結局のところ誰かがリーダーにならなくてはなりません。現状で情報セキュリティ対策が進んでいないということは、経営者は自ら進んでリーダー役を引き受けることは無いと思われます。
「やらなくてはならない」と感じたあなたがキーマン
「やらなくてはならないと」感じたあなたがキーマンです。その気持ちを率直に経営者に伝えてみましょう。ここであなたが動かなければ、現状維持のまま、これまでとなんら変わることはありません。必ずしもあなた自身がリーダーになり必要はありませんが、以下の通り推進してください。
- 経営者の啓蒙
- リーダーの選出
- 経営者から従業員へのリーダーの周知(情報セキュリティ管理責任者の任命)
