当社では先日，セキュリティ認証ISMSを取得した。なにしろ初めての経験であり，どのような監査が行われるのか非常に興味を持って審査にのぞんだ。

　当初は，チェック項目の基準に対して，どこまで網羅できるかで，合否が判定されると予想していた。

　しかしながら現実のユーザー企業のシステム部の現場は，簡単なチェック項目で解決できるようなものばかりではない。それこそ人間の数によってその手法が変わるものがある。単純にWebサーバーのセキュリティを守ると言ってみてもその手法やツールは多数ある。このような複雑な問題に対して，そのような基準で判定するのだろうか。

　結論から言うと，一定の基準で判定されることは確かにある。ＯＳのＩＤ認証に関するところなどがそれにあたる。ただその他のものに関しては，形式的なことよりは，むしろ企業の情報システムに対するスタンスが重視されているように感じた。

　人間，適当にやっているところはシドロモドロになるものだ。逆に信念を持って努力しているところは熱心に解説するものである。また問題視されるようなところは，大方システム部門も問題と認識している。そのことに対して「隠蔽するのか前向きに解決するよう努力するのか」が問われているような気がした。

　この審査を受けて，「裁判所は結構いいところです」と検事や弁護士がテレビで話していたことを思い出した。つまり，判決には心証が加味されるということであり，優秀な弁護士を雇えるような立場にない社会的弱者であるからといって，不利な判決になることはないということだ。

　様々な企業があり，そこでは様々な人が働いている。一律に同じ条件での判定では無理がある。

　また，セキュリティを高めることで，過度の負担（人的，金銭的）となって会社が不利益を得るようなことになっては何もならない。合格したから言うのではないが，極めて審査員は人間的な方であった。

　仮に１００％のセキュリティでなくても，なぜそのような運用をしているのか堂々と主張して持論を展開したらどうだろうか。会社のシステム部門をよりよい方向に導こうと努力する姿勢に大しては応援してくれるのではないか（確約はできないが）。

　ISMS認証の取得やJ-SOX法対応の作業は，通常業務以外に更なる負荷が増えてもうたいへん…となりそうであるが，冷静に考えてみるとシステム部門の作業や体制を見直す好機と捉えることができる。

　企業のシステム部門には体制的な不備も多々ある。ISMSやSOX法という“黒船”を利用して，正当な手法で経営者とシステム部門のあり方を議論し，理想の体制の実現に向けて努力するよい機会ではないだろうか。