
~違反させないための情報セキュリティ規程~
昔、サークルやクラブチームでバスケットボールをやっていて試合をしたり、時には試合の審判をしたりしていました。今は、小学生のミニバスケットボールのコーチや審判をしていたりします。で、プレーヤーでも当然なのですが、特に審判やコーチをするとルール、正式には「競技規則」というものを細かいところまでちゃんと理解していなくてはいけないわけです。そりゃそうですよね、審判なんかはプレーヤーがルールを守っているかどうかを判定しなくてはいけないのですから。
また、バスケットボールとミニバスケットボールではいくつかルールが異なったりしているので、両方にかかわる人はその違いも知っておく必要があります。
プレーヤーでも、違反・反則を避けるためルール理解しておく必要があります。なので、プレーヤーであっても「競技規則」を読む必要があるわけです。
さて、組織における情報セキュリティで、バスケットボールの「ルール=競技規則」にあたるものが情報セキュリティに関する社内規程・規則になります。
これらの規程類には、セキュリティに関する社内組織、セキュリティ対策として守るべきルール、例えば、情報セキュリティ担当役員の職務に関する規定、セキュリティ教育に関するルール、パスワードに関するルール、入退に関するルールなどが書かれているわけで、組織に所属する人はその内容をちゃんと把握していないと、本来は仕事をする上で不都合がでるため、規程類を読んでおく必要があります。
しかしながら、現実にはそうでない状況になっています。仕事でISMSに関連して情報セキュリティ教育を行うときもあり、その時に受講者の皆さんによく、
「就業規則を読んだことありますか?」
と質問して挙手してもらっています。どのくらいの人が手をあげるかというと、対象部署が人事担当部署でない限り、2割以下です。同じように、情報セキュリティ関連規程についても質問してみると、ちゃんと読んでいる人は2割以下くらいでした。
まあ、「この程度しか読まないからセキュリティ教育やるんだ」というのも分からないではないですが、それ以前に「何故みんな読まないのか?」を聞いてみると、以下のような理由が出てきますが、それらについて考察してみます。
理由:「実際の現場のルールと内容が異なっている」
意外にこの理由は少なくないです。このケースの場合、現場のルールと規程のどちらが正しいのか?もしくは、どちらも間違っていて、正しいルールは別にあるのか?を明確にして、正しいルールに規程と現場を合わせる必要があります。でも、この理由が出るということは、現場のルールと規程が異なっていることに気付いているのですから、なぜ、声を上げないのでしょうか?
理由:「自分に関係のないことも書かれている」
結構多い理由です。規程を作成する場合に、規程毎に対象者を明確に絞って書かれているケースは経験上少ない場合が多いです。規程が数ページのものであれば、これでもいいのですが、ページ数が多くなったりすると、読み手にとっては、自分に関係ない部分は「時間の無駄」と感じることも多くなります。私個人としては、規程によっては対象者を絞った形での規程を作成することをお奨めします。
理由:「読んでも良く分からない」「読みにくい、読みづらい」
結構多い理由です。こうなる原因はいろいろあります。日本語として読みにくい、難解な用語を使用する、複数の似た用語(紛らわしい用語)が出てくる、規程全体の構成が構造化されていない、等々。個人的には、規程を文字だけで書こうとしているのが良くないと思うのです。規程に文字以外を入れてはいけない、というルールがあるわけでもないので、図表をもっと使って、分かりやすく作成すればいいと思うのです。
あと、純粋に日本語の使い方とか文書の構造化とか、そのあたりの能力がない人に規程を作らせることが原因になっている場合も多いです。
理由:「読まなくても通常業務に支障がない」
そこそこ多い理由です。ただ、これについては、規程という文書の性格上、通常業務には支障がないが、規程には書いておかなくてはいけないことはあります。また、すでに現場で使っているルールを敢えて規程化しているため、「もう、分かってるよ。」という部分も多いです。ただ、規程を作成するにあたっての非常に重要な視点として、「事故等で裁判沙汰になった場合にどうなるか?」というのがあり、それを考えるとそういった部分を規程に盛り込まなくてはいけないのです。なので、これについては我慢してもらいましょう。
ということで、規程がちゃんと読まれない理由を考察してみましたが、規程は社内における「法律」です。社内で活動する以上、規程に書いてあることは守らなくてはいけないはずで、その規程を知らなかったからといって「違反」が許されるわけではないです。「違反」をしないためにも規程類は読むべきですし、「違反」をさせないためにも「理解しやすい」、「読みやすい」、「間違っていない」規程を作ることは非常に重要だと思うのです。
今回は情報セキュリティというより、コンプライアンスの話になってしまいましたが、まあ、共通のネタということでお許しください。

中島 浩光
東京工業大学大学院理工学研究科経営工学修士課程修了。
アンダーセン・コンサルティング(現アクセンチュア)、日本CA、インフォセックほか。
アクセンチュア在籍時においては主にIT関係の各種の上流から下流のプロジェクトを数多く経験。SI、ネットワーク導入、合併対応、アーキテクチャ設計・開発、IT要件定義、セキュリティ・アセスメント、プロジェクト管理支援等。
日本CA在籍時においては、セキュリティ製品のプリセールス担当として、メディア、セミナー、セールス現場において、それまでの製品ベンダーがなかなか踏み込めなかった顧客の業務上の要求におけるセキュリティ製品の価値・位置づけを説明。
インフォセック在籍時においては、情報セキュリティのコンサルテーションを数多く実施。ISMS/Pマーク取得支援、セキュリティ設計レビュー、セキュリティ・アセスメント、ISO20000取得支援、等々。