前回ISMS担当部署（担当者）についてお話しをしましたが、今回もISMSの担当部署（者）を支援したことについてお話しをします。

　ITシステムは業務を進めていくために不可欠なもので、その使い勝手がよくないともっと使えるようにしてくれという要望がでてきます。それに応えてしまうと情報セキュリティのリスクが高くなってしまいます。

　特に上層部からこのような指示が出た場合、業務の利便性とセキュリティ対策の安全性とどうバランスをとるべきなのかを担当部署（者）はなかなか判断ができず立ち往生してしまいます。そのような状況で、当社でどのように支援をしてきたのかをお伝えします。

関係者を巻き込み、心理的負担を取り除く

　この場合の担当者の心情としては、そのような対策を導入後に情報資産の紛失や機密情報の漏えい　等の事件が起きた際に想定されるインパクトについて誰が責任を問われてしまうのかという事になります。

　もちろん事件を起こした当事者に責任がある事は当然ですが、情報セキュリティの担当部署（者）にも事件への対応を始め、責任が追及される事も考えられます。

　一方で、高いセキュリティ対策をとる事で顧客との商談での活用や社内での意思疎通・情報共有が必要な時に出来ないことで売上・受注に悪影響を及ぼしてしまう事もあります。

　ただ、どちらにしても情報セキュリティの担当部署（者）は、事件・事故の発生を防ぐ事と責任を回避したいと、「機密性」や「完全性」に重きを置く取り組みをとろうとします。

　この心理的な圧迫を抑えるために、当社では、情報セキュリティの担当部署には、リスクアセスメントで、「機密性」「完全性」のセキュリティ重視の観点と「可用性」の利便性の観点の2つ側面からどんな脅威があるのか具体的に特定し、リスク評価を行うことを要請しました。その際にユーザー側からも情報を収集するようにしました。

　机上でのセキュリティ担当者の視点だけでなく、ユーザーの視点を取り入れる事で、お互いの立場と状況を共有してもらう事をしました。お互い相反する立場であり、なかなかスムーズにいかない事は想定されたので、双方の責任者に相互理解の必要性を伝え、それぞれ上司を巻き込み、意思疎通を得る機会を作りました。

　情報セキュリティ担当者からは、すぐに理解が深まったとはいえませんでしたが、お互いが情報セキュリティについて率直に伝え合ったことで一歩前に進んだ感触があったとの事でした。

自分達で決めない

　リスクアセスメント実施後は、その結果をもとに上層部に判断してもらう情報を収集し、対策をまとめて報告し、判断を仰ぐ事です。
　
　その際に気をつけなければいけないのは、先ほどの「機密性」「完全性」の観点と「可用性」の2つの側面についてリスクアセスメントをした事を上層部に理解してもらう必要があります。

　それをしないと、「何でこれは出来ないのか」、「何でここまでしかできないのか」　等と問い詰められ、冷静に判断していただけない状況に陥ってしまうからです。なまじっか知識がある上層部がいるとやっかいですが、そういう事を当初から想定して準備をしました。

　もう一つは、上層部の判断に必要な情報を載せられるかです。これは、実施したリスクアセスメントの精度と実施範囲の広さがポイントになります。通常はよほどの事が無い限り、複数の対策の選択肢を用意します。

　ずるい言い方になりますが、自分達の役割は上層部に最適な情報を提供するまでで、最終的なゴーサインは上層部の承認者が決める事だと割り切る事も必要です。当社は、そのスタンスの維持を事あるごとに担当部署（者）に伝え続けました。

　　結果として、複数の選択肢の中から「可用性」にも配慮した取り組み決断していただき、導入を進めていきました。

　少数で構成されている事が多い中小企業の情報セキュリティの担当部署（者）が孤立し、機能不全に陥らないようにするには、上層部を含めて意思疎通の機会をとって関係者を巻き込み、自分の考えを伝え、他者の意見に耳を傾けること。それにつきると改めて実感しました。