システム管理者としての、自治体内の情報化やネットワーク構築、情報セキュリティ対策、職員教育などノウハウをお伝えできます

情報セキュリティ・個人情報保護の方法論としては、人的セキュリティや物的セキュリティなど多岐に渡りますが、それで対応できていると本当に思いますか？

企業間での取引など、今日では秘密保持契約はもちろんのこと、セキュリティポリシーの策定やプライバシーマーク、ISO27001認証の取得が取引要件とされるケースが増えています。そのため、取引に影響があるからという経営上の理由から対策を行い、情報セキュリティや個人情報保護という本来の目的から乖離しているケースが見受けられます。
実際、国や業界団体からセキュリティポリシーの策定を義務付けられたけど、当然そのとおり実施するにはコストがかかり過ぎるので、いかに抜け道を見出して「対応していることにする」ということを支援しているコンサルタントも存在します。

もちろん私もセキュリティポリシーやISO認証の運営手段は大切だとは思います。
ただ中小企業などにおいては、実際に内部監査や外部監査、更新に費用がかかり、それらをしっかり実施したところで生産性が向上する訳ではないし、リスクがゼロになるものでもありません。
それよりももっと大切なことは、日頃からの外部からの不正アクセスやウイルス対策、それと個人情報の流出などのインシデントをおこさないようにどうするか考えること。それはファイアウィールやUTMなどの機器、統合監視ソフトウェアやウイルス対策ソフトウェアの導入も当然ですが、社員の意識をいかに高めるか。
実は私が経験上一番意識をしていて、かつやっかいな問題と感じているのが、社員の情報リテラシーという人的セキュリティ対策なのです。

入場ゲートの管理は厳しいのだけど、入ってしまえば勝手にオフィス内を歩き回れる。
入退室管理の機器を付けることが義務付けられているからと、認証機器を取り付けているけど、簡単に取り外しができてしまう。
入口には鍵がかかっているけど、横の窓にはカギがかかっていない。
さらにはその窓の中をのぞくと、背中越しにＰＣの画面が見える（ショルダーハック）できる。
鍵がかかる棚にPCを格納しなければならないと、簡易な南京錠で要件を無理やり満たしたことにする。
真夏にサーバ室のエアコンが不調だからと、サーバ室に入口のドアを開放している。
部屋の入退室管理簿に記載しようもボールペンのインクが切れている。
などなど。

これらは、私がオンサイトでいろいろな会社さんを訪れたりして、私が実際の状況を見てきたことの一部です。
私の考える情報セキュリティ・個人情報保護の方法論とは、ポリシーの運用や机上の検証作業よりも、実際に日々職員の意識を高めて、いかにインシデントを防ぐか、またリスクを軽減させるか。
ベンダーがセキュリティー機器などをどんどん提案してくる中で、それをどう見極めるか。もしかしたらそれよりも職員の研修費用に充てた方がベターかも。
私は、システム管理者として、そしてICTコンサルタントとして両方の立場を経験している中でのアドバイスを行っています。

■その他
地域: 神奈川県
役割: システム管理者
規模: 120