Our "Security" Credo~我がセキュリティ信条~
セキュリティポリシーに加えて「セキュリティクレド」なんていうのはどうでしょうか。
日本の多くの情報システムでセキュリティポリシーが制定されています。セキュリティポリシーとは、情報システムのセキュリティに関する基本的な方針です。主に以下の3階層から構成されます。
- セキュリティ基本方針(経営者の姿勢、宣言)
- セキュリティ対策基準(ガイドライン)
- セキュリティ対策手順・規定(ルール)
セキュリティポリシー - Wikipedia
http://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC
お決まりのパターンは『我が社もプライバシーマークを取得しよう!⇒ならばJIS Q 15001を取得しよう⇒セキュリティに関する規定を作成して文書化しよう⇒外部のセキュリティに強い会社に頼もう⇒ではセキュリティポリシーを作りましょう』という流れではないでしょうか。
セキュリティポリシーはすべてのルールや手続の根幹となる重要なものですのでゼロから作成するのは大変です。日本ネットワークセキュリティ協会から配布されているセキュリティポリシーのサンプルなどをベースとして、専門家に自社に固有の状況を加味して作成してもらうのが良い方法であると思います。
NPO 日本ネットワ-クセキュリティ協会
http://www.jnsa.org/policy/guidance/index.html
しかしこういったポリシーは経営者から社員に対して「当社ではこのようなポリシーで行くので遵守すべし」と通知される一方的なものである感が否めません。その事と関係があるかどうかはわかりませんが、プライバシーマークの取得業者による個人情報の漏洩も少なくありません。ここはひとつ、社員自らが頭を使って自分達のために作成する「クレドー」を作ってみてはいかがでしょうか。
クレドとはラテン語で信じるとか信条とかいう意味だそうです。しばらく前にワールドビジネスサテライトで、社員ひとりひとりが「お客様第一」というようなクレドが書かれたクレド・カードを身に着けて仕事をするというスーパーが取材されていました。困っているお客さんに対して店員さんが率先してサービスをする事が当然であるという雰囲気を作り出すことに成功しているそうです。
私がクレドを知ったのはジョンソン・アンド・ジョンソンの会社説明会でのことでした。J&Jには「Our Credo(我が信条)」が大切にされているという話を聞き、一緒に働いてみたいなと思いました。最終的にはJ&Jの選考中に今の会社に内定し、迷った上でJ&Jへ面接のお断りの電話を入れました。J&Jではクレドーに基づきこんな事もあったそうです。
1982年に米国で何者かに毒物を混入されたタイレノール(頭痛薬)が売られ、7人が死亡するという事件が起こった時、ジョンソン・エンド・ジョンソンは直ちにすべてのタイレノールを回収し、異物を混入できない構造にした。これは危機管理の模範として伝説となっている。
ジョンソン・エンド・ジョンソン - Wikipedia
http://ja.wikipedia.org/wiki/%E3%82%B8%E3%83%A7%E3%83%B3%E3%82%BD%E3%83%B3%E3%83%BB%E3%82%A8%E3%83%B3%E3%83%89%E3%83%BB%E3%82%B8%E3%83%A7%E3%83%B3%E3%82%BD%E3%83%B3
我が信条(Our Credo) | ジョンソン・エンド・ジョンソン
https://www.jnj.co.jp/group/community/credo/index.html
今のところgoogleで検索した限りで「セキュリティクレド」というのは見つかりません。私オリジナルのアイデアでしょうか。一番乗りということでクレドのセキュリティ版を考えてみました。セキュリティというと企業秘密や機密保持契約など色々あるでしょうが、王道ということで個人情報に関するクレドの案です。
あなたの情報があなたの知らない誰かの目に触れたらどう思いますか?
個人情報の手続に関してはポリシーに「最重要情報」であり「漏洩は企業の存続を揺るがすリスク」のようなことが記載されます。続いて個人情報とみなす情報の定義やその取扱のルールや手続が定められます。これらはすべて「漏洩された本人が不快な思いをする、最悪の場合犯罪に巻き込まれる」というようなところに落ち着くものであると思います。
そういったことを社員の1人1人に喚起するにはセキュリティポリシーというのはあまりに記述する内容が多く、またかっちりしすぎていると思います。セキュリティ担当者でもない限り普通はほとんど正確な内容まで思い出せないでしょう。そこで、もっと簡単なクレドを作成し誰でも覚えられるようにしておくのが良いのではないでしょうか。
クレドはセキュリティポリシーのように他のガイドラインやルールの根拠となるほどしっかりしたものではありませんので、社員から公募して作ることもできそうです。さっと覚えてしまえるくらいの短いものが良いようですので、作るのもそう難しくないと思います。特に情報漏洩を過去に起こしてしまった会社などではその経験をプラスに活かして良いクレドが作れるのではないでしょうか。