情報セキュリティ対策は、経営者が神経を尖らせるテーマの筆頭である。にもかかわらず、取り組みの国際比較をすると日本企業の「弱気」が目立つ。本来なら「経営者に一番近い部門」が対策を主導し、効果を測るべきだ。情報システム部門は関わり方について覚悟を決め、経営者と議論を。
「とにかく監督官庁に呼ばれないようにしてもらいたい」。情報セキュリティ対策に関して、こう指示する経営者がいる。顧客情報が漏れたり機密情報が入ったパソコンを社員が紛失したりすると、経営者は監督官庁に行って善後策を説明し、頭を下げなければならない。「それだけは嫌だ」と言われた担当者は、情報アクセスの極端な制限やパソコンの持ち出し禁止など、現場を無視した対策をとってしまう。
後ろ向きの理由からとはいえ、経営者は情報セキュリティを懸念している。情報システム責任者に「うちは大丈夫か」と聞いてくる場合もある。折角の機会をとらえ、うまく応対して「情報セキュリティは経営問題、情報システム部門の手には本来余る」という点を理解してもらいたいところだ。
グローバル調査で動静をつかむ
経営者との対話に備え、情報システムの責任者は情報セキュリティに関する動静を把握しておく必要がある。経営者に情報セキュリティ投資の増額を要請するにせよ、「経営に近い部門が対策を主導してほしい」と進言するにせよ、「他国ではこうしています」「他社の取り組みはこうです」と説明してからのほうが、経営者から合意を取り付けやすい。
