ISMSコンサルの思い出

　佐藤@IT雑貨屋です。

　ISMSの件や個人情報保護マネジメントシステムに関連する記事を書かせてもらっていますが、私がこういったISMSやPマークの営業兼コンサルタントを行ていたのは、2008年頃なので、すでに16年近く経ってしまっているんですよね。

　時の経つのは本当に早いものです。

　当時は就業していた会社で「情報コンサルティング事業」なるものを立ち上げて、徒手空拳でひたすら走り回っていましたが、当時でも個人情報の流出や、情報セキュリティインシデントはそれなりに起きていて、たびたび社会では話題となっていました。

　個人情報の漏洩などは、起こしてしまった場合には、大きなダメージを企業に与えるので、私個人としては、そういう事を抑止する一助になればと営業活動に励み、時によっては自分がコンサルタントとして取り組んでいた事もありました。またそういう中で企業間のつながりができれば、当時いた会社は小さなソフト会社でもあったので、業務の新規営業にも寄与できると真面目に考えていた訳です。

　しかし新規事業で、かつ営業という立場もあったので、社内ではそれなりに風当たりも強い日々でした。

　要は「今月何件、来月何件やれるのか。いくら売り上げが上げられるのか」を常に経営層から問われ、その為にテレアポをはじめとして様々なつながりの中を模索しながら新規案件を追い続ける日々だったのです。

　そういう中で、とある印刷会社から「Pマーク」を安く取得したい。できれば手間かからないマネジメントシステムを構築したいというオファーをもらった事があります。印刷業界の中でも、やはり自社の信用度を少しでも上げるべくPマークを取得して、会社として大々的に営業先に言いたいという事だったんでしょう。

　この時は「ギャップ分析」という事で、実際にその印刷会社に訪問して、社内の情報（特に個人情報関連）の取り扱い状態を確認したのですが、案の定、そんな「個人情報保護の考え方」は皆無の状態でした。そこで私が考えたのは、この個人情報保護マネジメントの業務を自社で請負い、まずは「力技」でもいいから短期間でPマーク認証にこぎつけ、その後のPDCAサイクルの中で、お客様の社内の教育や、保護の仕組みを提案して構築するという、いわば「短期取得」のための方策を提案しました。

　しかし結果的には、アウトソーシングするにもそんな費用は払えない。それ以外の方法で安い費用で何とかせよ！

　それがお客様側のオーダーだったのです。私はこの状態に「ダウト」しました。何故なら多少、費用を安くできたとしても、経営層が現状の情報取り扱いの問題点を理解せず、いわば「バッチ」のごとくPマークを取得させたところで、それでは意味がありません。強引ともいえる方法で、たとえJIPDECの審査を通したとしても、その後も低賃金でバッチ維持を課せられるのは目に見えて明らかだったからです。

　でもこの「ダウト」したことは、当時の自社の経営陣からも結構責められましたね。何故なら「お前の事業の人件費はどうするんだ！」とお叱りを受ける立場でしたので。

　当時は、協力コンサルタントも幾人かいましたが、その中でも個人事業主として評判のコンサルタントの方もいまして、このいわば「理想と現実のギャップ」について相談しましたが、やはり中小企業では利益を上げるのも厳しく、その中で情報セキュリティは「利益を生まない支出」と捉える雰囲気も強くあったので、そういった話はざらにあると聞きました。

　それなりの規模の企業であれば、CIOなどがを立てて情報セキュリティに取り組む事は可能なのでしょうが、やはり中小規模で特に小規模の企業にとっては、この情報を取り扱うリスクよりも、月々日々の利益を上げる事で汲々としてしまう事から、認証取得という側面、また社内での取り組みにかかる人件費なども、その捻出は厳しいですからね。

　別に認証取得をせずとも良いのです。社内の中で従業員が個人情報をはじめとして情報資産への意識が少しでも変わり、それら情報を大事に扱えるようになれば、それだけでも情報資産のリスクが減るわけですからね。情報は「会社」にとっての大事な「資産」ですから、まずはその情報に対する意識を変えれば業務への取り組みも変わってくる。そう思っているのです。

　なかなか情報セキュリティへの取り組みというのは、現実の中では難しい事もあるわけです。