山口「柾、柾」
デスクで仕事をしていた私を呼ぶ声が聞こえる。 ドアの所を見ると、精度管理部品証課の山口が手招きをしていた。
山口「ちょっといい?」
ちらりと課長(名前はまだなし)のデスクを見る。特に何も言われないので、私は湯沸室経由でいいかどうかを尋ね、山口の了解を得て打ち合わせスペースに向かう。
打ち合わせスペースの席に着くと、山口は持っていた書類をテーブルの上に広げる。図面データや何かしらのリストデータなど、いろいろ存在する。
山口「ちょっと、うちの会社の情報管理について頭が痛くてなぁ」
そういって、山口は書類のいくつかの場所を示し、整合性が取れていない旨を私に伝える。
私は、情報の最適化や管理については、ISMS事務局の畑ではないかと質問する。
山口「駄目なんだ。どうにも、ISMSや情報管理というのは、情報セキュリティのことを意味するという先入観が強くて、情シスやISMS事務局の連中は『現場できちんと管理すれば?』と他人事なんだ」
彼の言う情シスとは、情報システム課で、情報システムに関する全般(エリアセキュリティなども含まれる)の管理を行っている部門である。
山口「はっきりいって、情報の整合性やデータの更新(最新化)について、課長もやりたくないようでな、、、ただ、このままだと情報の齟齬によるトラブルがいつ発生するかわからないんだよ」
私は、なるほどと思った。彼の持ちかけた問題には二点のポイントがある。
1.情報管理で音頭を取るべき部門であるISMS事務局が、自らの職務を放棄していること。それに対して自覚もない事。
2.各課長ともに、面倒事は避けたいということ。言いだしっぺの法則という奴にはなりたくないという奴なのだろう。
他の部門情報には価値がある。という事は各部門ともに理解しているだろうが、言葉だけでどの程度の価値があり、最新化を図らないことでどの程度の損失が発生するかわかっていないという状況である。
情報リスク(事象発生の不確実性)に情報の適合及び整合性が該当しない。ととらえている事務局にため息をつきたくなる。
情報を管理せずに、どうやって情報の価値を識別しているというのか。セキュリティは言ってみれば、情報の整理整頓の範囲であり、情報管理の先に持ってくるものである。
文書ファイルや書棚に情報セキュリティの識別すればよく、中身の情報については関与しないというスタンスでは、セキュリティ基準の大本である「情報の価値や秘匿性」のレベルを維持することができない。
価値を損なった情報の秘匿レベルを継続するということは、当然そこに秘匿の為の管理コストが発生し続ける。価値が無くなった情報は当然その秘匿レベルも落ちるのだが、それも情報が収集され続け評価されてこそ可能な行為である。また、古い情報の誤使用というリスクも存在し、それらは企業リスクとして特定されるべき事項でもある。
専用の部門があるならともかく、そういう部門も無い以上は情シスの連中の所掌範囲だろうにと、ため息を吐きつつ山口の意見に同意する。
山口「そう思うだろ? ISOの観点から、なんか説得できないのか?」
なるほど、彼らを攻撃する武器を探しているということらしい。
4.4.5 文書管理(Control of documents)
環境マネジメントシステム及びこの規格で必要とされる文書は管理する事。記録は文書の一種であるが、4.5.4に規定する要求事項に従って管理する事。
組織は、次の事項に関わる手順を確立し、実施し、維持する事。
a)発行前に、適切かどうかの観点から文書を承認する。
b)文書をレビューする。また、必要に応じて更新し、再承認する。
c)文書の変更の識別及び現在の改訂版の識別を確実にする。
d)該当する文書の適切な版が、必要な時に、必要なところで使用可能な状態にあることを確実にする。
e)文書が読みやすく、安易に識別可能な状態であることを確実にする。
f)環境マネジメントシステムの計画及び運用の為に組織が必要と決定した外部からの文書を明確にし、その配布が管理されていることを確実にする。
4.5.4 記録の管理(Control of records)ISO的に最適化を要求しているところはこんなところである。
組織は、組織の環境マネジメントシステム及びこの規格の要求事項に適合並びに達成した結果を実証するのに必要な記録を作成し、維持する事。
組織は、記録の識別、保管、保護、検索、保管期間及び廃棄についての手順を確立し、実施し、維持する事。
記録は、読みやすく、識別可能で、追跡可能な状態を保つこと。
山口「ISO的には要求されているとみていいんだな」
山口の質問に、私は規格で言うところの「識別する」というのは当然のことながら、セキュリティ事案も含み、「維持する」というのは状態の維持も含み、状態は常に変化するため、状態を記した情報も常に変化すると当然見なされる。
ISMSがマネジメントを謳うのであれば、セキュリティの識別を「確実にする」ことは要求されているだろうと予測され、そこから「どのようにしてそれを確実にするか?」「どのようにして確実にしているか?」という部分が適切に要求事項を満たしているかどうか。満たしていなければ当然「不適合」となりえる懸念は十分あることを説明する。ISMS的に「不適合」となることを「証明」することができれば、ISMS事務局と言えども動かざるを得ないだろうと、初見を述べる。
山口「なるほど、んじゃちょっとこっちでその辺をつついてみるわ」
それでその場はお開きとなった。
山口が立ちあっさあと、私は、やりたくないと思っている連中に対しては、何を言っても釈迦の説法だろうという危惧をする。
こういう連中は、不適合を不適合と認めずに揉み消す。内部監査でも同様で、第三者の審査の場ですら、本当に不適合を出さなければならない事例に対して、審査員が遠慮してしまうようなことがあることを知っている。
ISOにしろ、何にしろ、どうでもいい不適合ばかりが取り上げられ、真の不適合が抽出されない組織体制(コンプライアンス違反でもある)や社会体制が是正されない。
山口のような正論を述べる者は、年功序列の村社会システムから発祥した当社のような会社にとって、今の競争型社会に適合するためには必要な人材であるとは思う。
が、今の世の中の仕組みに、「人が適合しない」とどうしようもないのではないか?
情報の最適化、つまり古い情報の廃棄と上書きは、同時に人の持つ価値観を構成する経験という情報に対しても適合させ、最適化が必要なんじゃないのか?
彼の行動の結果がどうなるのかわからないが、私はそんなことを思いつつ、執務室に戻った。
0 件のコメント:
コメントを投稿