022-702-4679 お問い合わせ

リスクへの対応を考えたい

2015年6月14日組織開発

日本年金機構を始め個人情報の流出事故の報道が後を絶ちません。あるテレビ番組で、日本で有数のセキュリティ会社の責任者は、流出するしないは、別としてウイルスを内包しているメールは日常茶飯事に企業、個人を問わず送りつけられており、些細な事故は頻繁に起きているとの話しがありました。実際に個人情報についての事故のサイトには連日起きていることが掲載され続けています。
毎度のことですが、組織の責任者の責任を追及することも必要ですが、それに終始するあまり、肝心の根本原因の追究が疎かになり再発防止の対策がしっかりと取られていないことが散見されています。なぜ、起こってしまうのかについて人的な面だけ取り上げても、多分人の配置を変える、再度注意喚起や教育を行うということがせいぜいだと思います。
今迄いろいろな組織を見てきましたが、責任者や担当者を追及することに留まり、組織の制度、インフラ面、仕組み、協力業者の管理 等の様々な観点から原因を調査する取り組みが希薄なところが多いのが現実だと思います。
情報セキュリティに限らず、品質、環境、労働安全衛生等のそれぞれのリスクアセスメントは、組織にとって何の対策を打つべきか優先順位を決めるために行われているはずです。
ここは、組織としてリスクに対して取り組む際に、どのようなことについて手を打つべきかの定義を明確にして共有することが必要です。
些細な影響の小さいリスクまで全て0にすることは現実的ではありません。
発生の可能性が高く、起きた後のインパクトが大きいのは、当然対策の必要性を皆が認識すると思います。
ただ、インパクトが大きくても発生の可能性の高い作業の頻度が一年を通じて1回か2回あるかないかについてはどうするのでしょうか?
本来、リスクアセスメントは、このように抽出したリスクについて、どのように取り組むのかを決定するために行われるはずですが、組織としてリスクの定義や対策の必要性の判断基準があいまいだと、一体どこまでやるのかという意見が内部で続出してきます。
ここで考えなければならないのは、組織内部の見方と様々な規格やガイドラインの要求とのギャップを内部の人たちだけでどこまで認識することができるかです。内部の見方だけですと、どうしても視野も狭く、内部の論理(自己の都合)が先行して、第三者の視点に基づくリスクアセスメントが実施するのはなかなか大変だと思います。
まず、トップの考えや方針を明確に示して、起きてしまったら組織に対するダメージが大きいことは、漏らさずにリスクアセスメントに取り上げていくことを組織全体にはっきりと伝えていくべきです。
そして、会議体で決めたことや研修で伝えたことは、しっかりとルールとして文書化し、教育と周知していくことを継続することも必要です。
あと、ここがあまりどの組織も行っていないのですが、本当にルール通り実施していることを定期的に、また抜き打ちで監査して確認することです。時々監査は、第三者の専門家に実施していもらうのも有効だと思います。
決めたルールを形骸化させず、継続していくことも、社員への教育以外に仕組みとして落とし込み、任せきりにせずに、組織として継続的に監視していくことが欠かせません。これらの活動を通じてPDCAサイクルが効果的にまわっているのかを確認できるはずです。
組織が事業を継続し、持続可能な組織となるために、上記のような取り組みは必要です。
是非、お手伝いをさせて下さい。
また、様々な事をお伝えさせていただきます。
  株式会社 インフィニット  櫻田 一展  090-3647-9721 i-sakurada@ms-infinite.jp

シェアする

組織開発

  • 組織を改善したいが何から手をつけていいかわからない
  • 人手不足で残業がなかなか減らない
  • すぐに人が辞めてしまう
詳しく見る

お問い合わせ

お問い合わせは無料です。お気軽にお問い合わせください。

(C)株式会社インフィニット All Rights Reserved