最近、あるコンサルティング会社の方とお話しする機会がありました。その方は、ISMS認証の審査員もされていて、数多くの企業の審査を行ってきたそうです。その中で気づいたことは、審査を受ける企業の「ドキュメントが多すぎる」ことでした。
ISMS認証に限らずプライバシーマークなどの認証を取得しようとすると、多くの場合コンサルタントが雇われます。もちろん、そのコンサルタントに課せられた使命は「認証取得させること」です。そこが問題だったのです。審査に合格しなければならないので、過剰に規程を策定したり、情報セキュリティ対策が運用されているエビデンス(証拠)を準備しようとします。コンサルタントは、コンサルタント料をもらうために、金額に応じた「分厚いバインダー」を積んで帰ります。一説には500万円で分厚いバインダー1冊とも言われています。
認証取得を依頼した企業は、その過剰とも言えるコンサルタントの業務を見て「さすがプロ」と感心したりするのです。そして、その分厚い規程を徹底させるための教育が行われます。社員にはさまざまな負荷が増えます。でも、「セキュリティはこれくらいやらなきゃ」くらいの気持ちで真面目に取り組みます。
ISMS認証を取得した関係者の方はお分かりと思いますが、とても煩雑な作業が永遠に残されることになるのです。コンサルタントが残したドキュメントが確かに役に立っていればいいのですが、中には形式だけにとらわれた作業も少なくありません。「ノートPCの持ち出しには事業本部長の許可が必要で、さらに管理簿に記載」という規定があったとして、どれくらい真面目に行うでしょうか。あるいは本当に記録が残されるでしょうか。
