宮城県女川町のいま(2011/9/18)
セキュリティ
会社の資産 – お金、社員、ノウハウ、お客様情報、取引先情報、商品などなど有形・無形を問わず – を守るための方策・仕組みのことを“セキュリティ”と呼びます。SECOMなどの警備、ガードマン、出入り管理システムなども、セキュリティの一部です。
セキュリティといえば「情報セキュリティ」と考える場合が多いですが、情報セキュリティはコンピュータやネットワークに対する保護策です。もう一つの大きな分類として「物理セキュリティ(物理的セキュリティ)」があります。こちらは鍵と錠前に始まり、入退室管理システムや監視カメラ、ゲートなど、主に人の出入りに関わる対策や金庫、金庫室(Vault)などの物の保管に関わる対策のことです。両方大事。片方だけでは、機能しません。
その上位に、人とか制度のセキュリティがあります。情報セキュリティも物理セキュリティも、設置しただけでは無効です。会社のセキュリティ方針に基づくルールを定めること、そしてそれを従業員に教育し守らせること。監査して不具合を見つけ修正すること。定期的に見直し改善すること・・・このような組織としての取り組みが、実は最も大事なセキュリティ対策です。
まず現状評価をしませんか
個人情報の扱いやセキュリティを見直したいと考えたとき、まず行うべきは現状を評価することです。守るべき資産(お金、社員、ノウハウ、お客様情報、取引先情報などなど)は何か、どのようなリスクがあり、我が社の今のやり方にはどこが弱点か・・・これをまず明らかにすることから始まると考えます。それはなぜか・・・
一番の弱点を補強することが、最も安く最も効果的なセキュリティ対策です
事務所入り口に非接触カードによる出入り管理システムを設けても、裏口の鍵を適当に管理していたら何もしていないのと同じです。セキュリティのレベルは、一番弱いところのレベルなのです。セキュリティには“一点豪華主義”はありません。
総合的に見直して、一番弱いところのレベルを上げるだけで、どこにも大きな弱点のない安全管理の仕組みが、相対的に安価にできあがります。
セキュリティは“仕組み”にしましょう
セキュリティのもう一つの特徴は、今日は十分に安全でも、明後日には十分でなくなることがあること。経営環境や業務プロセスの変化、攻撃者の技術の進歩などにより、リスクが変容するからです。PDCAサイクルが必須の所以です。定期的に見直すことで、会社のセキュリティは、環境に合わせて強度を維持できるのです。
会社の仕組みとして、ルールを明文化して、見直しを年間の行事に組み込んで、維持・改善する習慣を整備しましょう。
リスク管理に興味があれば
中小企業から中堅企業まで、上記のような監査とコンサルのサービスを提供しています。
セキュリティをどうするか、あいまいな段階からでけっこうです。ぜひご相談ください。
