セキュリティポリシーというものが日本で一般的になっていない時代に、セキュリティポリシーを広めようとして、私が本を書いたり講演をしたりしていた頃、セキュリティポリシーとは「ポリシー」であり、組織としての基本的な考えを宣言するものでした。実際の手順などを詳しく定義するものは「プロシージャ」と呼ばれていました。つまり、基本的な考えを宣言する部分とルールは分かれていたのです。
それから、多くの方がセキュリティポリシーについて取り組まれた結果、現在セキュリティポリシーを持たない会社はほとんどないでしょう。少なくとも、個人情報保護に関する基本的な宣言など、何かしらは持っているものです。
私がお手伝いしているある会社でセキュリティポリシーを見直そうということになりました。実際の中身を見てみると、まさにそこはルールの羅列でした。最初にできたものがルールの基本部分で、付随する書類で細則を決めていたのです。そして、改定が繰り返されて、いつの間にか膨大なルールブックとなっていました。
日本には憲法があります。憲法には国民として守るべき基本的なルールが示されていますが、前文を見れば分かるように、きちんと「ポリシー」が記されています。そのルールを定めた理由が述べられており、後世の人が見ても理解できるようになっています。
しかし、前出の会社ではルールの羅列だけで、今になって見てみると、なぜそれが禁止されていたり守らなければならないかが分からなくなっていました。我々日本人はルールに縛られるのが好きなのかもしれませんが、とにかくルールを決めるとなると徹底的に自分で自分を縛ろうとします。
ところが、セキュリティポリシーにはポリシーを書くべきであって、「禁止」「守らなければならない」などを羅列するだけではいけないのです。記述されているルールのポリシーが記述されていないので、後で修正することができなくて、結局「追加」ばかりになっていくのです。
その会社ではセキュリティポリシー及びその付随する規定類の書類で、すでに数百ページに達しており、はっきり言って「誰も読んでいない」状態でした。ひたすらルールを追加していった結果なのです。
それぞれの規定集などの改定履歴を読んでいくと、その時々の様子がうかがえます。例えば、ノートパソコンの紛失があったときにはノートパソコンの紛失に関する規定が、自宅からP2Pソフトによる情報漏えいがあったときにはP2Pの利用禁止に関する規定が、それぞれ追加されています。
