監査をする人を監査人といいます。
もともと、当事者ではない第三者が、
独立、客観的な立場で、
判断の元となる基準(監査基準)に対して、
評価することが監査(Audit)です。
したがって、
Auditの意味を考えると、
他の人の目で見る、
第三者評価という意味が含まれています。
Auditを漢字にあてはめると、
監査という固いイメージのする単語が使用されていますが、
本来は、自己評価ではなく、他人の評価なのです。
自己評価ではないので、
お手盛り評価や自画自賛ではなく、
他人も認めた評価として、価値が高まります。
しかし、
セキュリティ監査では、、
過去に発生した事実を
「不具合が発生した」
「発生した不具合に適切に対処できず、損害が拡大」
「違反が発生して、情報漏えいの原因となった」
というよに、事実を確認する場合が多いのです。
これを、
「不具合が発生することを防止した」
「不具合に適切に対処したので、最小限の被害ですんだ」
「違反を検知して遮断し、情報漏えいを防いだ」
というより積極的な行動に換えることはできないでしょうか。
被害が大きくならずにすむのであれば、
その作業が簡単にできることであれば、
経営者も担当者も喜んで、ルールを受け入れ、
そのルールを実践します。
これからのセキュリティルールには、
関係者を歓びつくりの活動に巻き込む、このような視点が大切です。
歓作をする人を、歓作人と呼んでいます。
