あなたを守る情報管理！情報セキュリティとリスクのマネジメント

戦略的なPDCA
せっかく構築したPDCA体制も、激変する事業環境の中では、事業戦略とともに、タイムリーなリスクマネジメント体制と実践の見直しが必要です。
S-PDCAは、PDCAの実践を支援する戦略サイクルを提案します。
まず、最初のシリーズでは、情報セキュリティ戦略を提案します。

先月、紹介させていただいた歓作人は、
実は１年ほど前に、新しいタイプの監査人として、
発想転換、行動転換のすすめとして話をさせて頂いたものです。

自分自身は、率先実践して、
企業経営者が関心を持っていただくように業績向上の成果を
示そうと、事例集めのための行動転換をしています。

従来と同じ考え方では、前向きの発想に至らないからです。
今の状況は、これまでの考え方の結果です。
今業績が悪い、思うような結果が出せていないのは、
発想が後ろ向きだからです。
（マイナスのリスクばかり考えているから、
　プラスのリスクであるチャンスに気づかず、
　実は、マイナスばかりが目に付くので、マイナスを拾っている）

監査人も、大胆に行動を転換して、
歓作人型の監査を提案しています。

これまでと同じやり方では、前向きの行動に至らないからです。
今の状況は、これまでの行動の結果です。

今年は、少しは金持ち監査人になる方法を提案しています。

なぜなら、これまでと同じ考え方・やり方では、
前向きの発想と行動に至らないからです。
今の状況は、これまでの考え方と行動の結果です。
（できなかった、やらなかった行動は、
　できない、やらないという判断の結果です。）

監査人自身が、自分で実践した結果、
少しは経済的にも豊かになると、信頼性も増すでしょう。

監査の基本は、客観性ですが、
業績を伸ばす監査に必要な要素としては、
実際に、成長戦略、業績急拡大を経験した監査人のほうが、
より業績改善につながる指摘ができると思うのですが。

長期的に見て、
どちらが企業経営にプラスの成果をもたらすでしょうか。

監査という観察力を、
プラスに活用するか、
マイナスに活用するか、
両方が必要なのですが、比重のかけ方を調整すると、
もっと成果に結びつく監査ができます。

そのような監査をめざし、実践しています。

先日、喜びを作る監査人（歓作人）の話をさせて頂きました。
一部の方ですが、すごく好評です。

なぜかというと、
監査人のイメージはしかめっ面をして、
いつも渋い顔をしている方が多い。

そのような雰囲気では、
なかなか都合の悪う資料は出しにくい、
嵐の去るのを待ちたい、という気持ちになる、というのです。

でも、
監査人が、喜びを作ってくれる歓作人なら、
都合の悪い情報もさらけ出して、どうすれば改善できるか、
一緒に考えてもらえるので、うれしい。

あなたはどちらのタイプでしょうか。
長期的に見て、
どちらが企業経営にプラスの成果をもたらすでしょうか。

監査をする人を監査人といいます。

もともと、当事者ではない第三者が、
独立、客観的な立場で、
判断の元となる基準（監査基準）に対して、
評価することが監査（Audit）です。

したがって、
Auditの意味を考えると、
他の人の目で見る、
第三者評価という意味が含まれています。

Auditを漢字にあてはめると、
監査という固いイメージのする単語が使用されていますが、
本来は、自己評価ではなく、他人の評価なのです。

自己評価ではないので、
お手盛り評価や自画自賛ではなく、
他人も認めた評価として、価値が高まります。

しかし、
セキュリティ監査では、、
過去に発生した事実を
「不具合が発生した」
「発生した不具合に適切に対処できず、損害が拡大」
「違反が発生して、情報漏えいの原因となった」
というよに、事実を確認する場合が多いのです。

これを、
「不具合が発生することを防止した」
「不具合に適切に対処したので、最小限の被害ですんだ」
「違反を検知して遮断し、情報漏えいを防いだ」
というより積極的な行動に換えることはできないでしょうか。

被害が大きくならずにすむのであれば、
その作業が簡単にできることであれば、
経営者も担当者も喜んで、ルールを受け入れ、
そのルールを実践します。

これからのセキュリティルールには、
関係者を歓びつくりの活動に巻き込む、このような視点が大切です。

歓作をする人を、歓作人と呼んでいます。

セキュリティ活動を進めるためには、組織的な対応が必須で、
そのために会社としての方針、規程を作ります。

全社員がセキュリティ活動で、
・確実にやるべきこと
・やってはいけないこと
を正しく理解して行動するには、
方針書、規程書としてドキュメント化したものを
用意したほうが、伝わりやすい。

これは多くの企業で経験している事実です。

言葉だけで伝えても、
伝言ゲームのように、
その意味は異なって伝わります。

時間の経過とともに、
組織の活動内容やルールの意味や解釈が、
変化していきます。

したがって、
その方針書、規程書も、
たまには（できれば事業計画に合わせて）見直しが必要です。

さて、
現在取り組みされているセキュリティ活動では、
「やるべきこと」と「やってはいけないこと」
のどちらが多いでしょうか。

また、
「やるべきこと」と「やってはいけないこと」
のどちらが、印象に残っているでしょうか。

こんなに多くの「やるべきこと」
「やってはいけないこと」を確認するため、作業が増えた
という状況はないでしょうか。

セキュリティ対応を進める組織では、
社内でどのように感じられているか、という
感じ方を把握することが大切です。

なぜならば、
ルールは守ってもらうために作成するわけで、
守らなくてもいい、遵守が大変、
という状況があると、
せっかく制度化した方針、規程、手順
が形骸化し、意味のないものになってしまうからです、


社員の皆が、
喜んでルールに従うような
ルール作りが大切です、

喜んで実行するルール、規程であれば、
ルール違反は発生しません。

監査（歓作）では、
方針、規程、ルールの作成は、
社員が喜んで実践するような作り方をしているか、
を確認します。

したがって、
規程や手順書があればいい、
という監査では、
組織力は向上しないのです。

監査というと固いイメージがして、
どうしても監査を受ける立場にいると、萎縮してしまいます。

監査というプロセスが、
悪い部分、できていない部分を指摘されると思うと、
その後の是正・改善の仕組みの改善が目に浮かぶからです。

できれば、
その指摘事項、改善を要する項目は、
少ないほうがいいと思います。

実は、監査する側も同様です。

監査の基準となる、
規程や手順書のルールに沿って運用されているか、
正確に事実を評価して、
正しく報告しようとすると、
どうしても事務処理的になりがちです。

しかし、
そもそも監査は何のために実施しているかというと、
業務の改善、
業務効率、業績の改善、
顧客の満足度を高めることで、
その組織の継続的な事業価値を高めることにあります。

だとすれば、
ルール違反や短所を改善することは当然として、

もっと、長所を伸ばすことに着目してはいかがでしょう。

監査（かんさ）ではなく、
歓作（かんさ）と表現して、
関係者が喜んで活動に参加するAuditを展開している
監査人（歓作人）がいます。

その活動に着目、しています。

ついに首都圏で確認。
世界で最も人口密度の高い都市である首都圏での対応に、全世界も注目。
日本は感染の確認は、遅いほうだか、その拡大スピードは以上に速い。
できるだけ外出を控えて、寝ているのが一番。

空港での水際作戦では、
すり抜けが心配でしたが、やはり「すりぬけ」が現実のものに。
タイミングが難しい。

経営革新の基点となったヤングレポート、米国の競争力強化委員会、デミング賞、経営品質賞の研究を始めてから気になっていた方にやっと会える機会が見つかりました。
次の研修会です。一緒に参加しませんか。

−−−−−−−−−−−−−−−−−−−−−−
デミング経営哲学から学ぶ戦略プロジェクト運営
【スピーカー】株式会社吉田耕作経営研究所　吉田耕作　氏

【アブストラクト】
アメリカは現在の金融危機に至るまでに国際競争力世界一を維持していた。　そしてそれは90年代のIT革命によるところが大きいと多くの人々は信じているようである。　

それならば小渕内閣の時、日本政府が巨額の金をIT化のために注ぎ込んが、なぜIT革命が起こらなかったかの答えがみつからない。

アメリカでは80年代にデミング革命が起き、製造業でも、非製造業でも、トップマネジメントから現場の人たちにいたるまで意識革命が起きていた。　彼等はいわゆるTQMの理論と手法を学び、小集団を形成して、ソフトやハードを入れる前に、人の流れ、情報の流れ、モノの流れ等に関して、適確に把握し、それをソフトに反映させ、ハードと合わせてIT革命が初めて可能になったのである。　

今の日本に欠けているのは、正に全体観に基づいた上でのこの現場の理解であり、日本のIT関係者やプロジェクトマネージャー達にTQMの理解が最も求められているのである。
　
そのデミング博士に32年間師事され、右腕、愛弟子として
デミング博士と共に全米各地でのデミングセミナーを指導された
吉田博士にご登壇いただくセミナーです。

⇒　http://www.mpuf.org/pm/es090602.htm

2009年6月2日（火）19:00〜21:00 (受付　18:45〜)
※21：00より1時間は講師を囲んで会場内にて
　質疑応答＆交流会を行います（参加費は受講料に含まれています）

開催日前・銀行事前振込： 3000円
当日現金支払・開催日以降の振込： 5000円
【主　催】Microsoft Project Users Forum(MPUF)
【後　援】マイクロソフト株式会社

NPO日本システム監査人協会が開催する「高度情報化社会を見据えた情報システム・ソフトウェアの信頼性向上に向けた取組み」について、研修会のご案内です。

『今やあらゆる製品やサービスが情報システム・ソフトウェアに依存するようになり、社会の利便性が向上する一方、情報システム・ソフトウェアの障害がこれまで想定していなかったようなトラブルを引き起こす事態も発生している。

安全で安心な高度情報化社会を実現するため、こうした
「想定外のダメージ」を抑制するために信頼性・セキュリティの
「見える化・測る化」を進め、これを活用した総合的な政策
を進めるとともに、こうした取組を通じて新たな社会のイノベーション
を創出し、我が国の強みとしていくことが重要である。』
　　　　　　　　　　　　　　　　　　　　　（奥家敏和　氏）

１．テーマ　　「高度情報化社会を見据えた情報システム・ソフトウェアの信頼性向
上に向けた取組み」　　　　　
2. 日時 　2009年5月25日（月）　18時30分〜20時30分
3. 場所 　御茶ノ水　総評会館
　　　　　千代田区 神田駿河台　3-2-11　電話：03-3253-1771（代）
　　　　　→　総評会館の地図はこちら　
　　　　　　（地下鉄千代田線　新御茶ノ水 Ｂ３直結、または
　　　　　　　ＪＲ御茶ノ水駅　聖橋出口5分）
4. 講師 　経済産業省商務情報政策局
　　　　　情報処理振興課　総括補佐　　奥家敏和　氏
5. 会　費 　SAAJ会員 2,000円　非会員 3,000円
6. 参加申込 当協会のＨＰ（http://www.saaj.or.jp/）から
　　　　　　2009年5月20日（水）までにお申込み下さい。

正確な情報をタイムリーに伝達すると言う意味で、
たぶん、従来の検疫システムには想定していなかった
であろう対応が必要なようです。

外国からの旅行者ならともかく、
パスポートが電磁的にチェックされるようになったのに、
利用目的が違うから、
追跡調査には再利用できないのかと、
事務の効率の観点から不思議に思う部分もあります。
（この写真は感染症とは関係ありません）

今回の水際作戦では、
テレビの映像で見た範囲での想定ですが、
連絡先を記入する申告書が配布され、
分類され、居住地の保健所に送付される
という作業が行われているようでした。

本人を確認して、毎日の情報を記録していくのも、
大変な事務の作業量だろうと推定されます。


現在の医療情報では、病院間の連携が弱点といわれている現状では、
直接個人、しかも多くの場合は一見、健康な個人との接点を求めることは難しいと思われます。

しかし、流行性の感染症という社会的な影響を考えると、
今こそ、強制力をもって感染者の情報を共有して、
感染予防、拡散予防や治療に役立てるための
検疫システムや検疫ネットワークのような統合された仕組み
が必要なのではないでしょうか。

外国での感染拡大の様子では、

いよいよ、
水際の次への対策が必要な時期がやってきます。

鳥インフルエンザのときは、渡り鳥が、
新型インフルエンザ、
さらに次世代新型インフルエンザは人が

保菌者として移動することで、
感染者を増やしていくのでしょう。

黄砂のように風がもたらすかもしれないし、
台風やハリケーンのような大型の異常気象とともに
もたらされるかもしれません。


日本の人口密集の状況で、
どのように拡大を防ぐか、
知恵を出しましょう。