セキュリティマネジメントシステムにおいてはPDCA(Plan-Do-Check-Action)は基本中の基本で、そのこと自体に疑問を呈することは許されないことです。しかし、私はPDCAサイクルを回しています、と自信を持っておっしゃる会社に出会ったことがありません。
ルールの見直しを定期的に行っているということ指してPDCAを回していると言っている場合がありますが、それはチェック(Check)しているだけで、スパイラル上にセキュリティレベルが向上しているというよりも「追加」されているだけというケースがほとんどです。定期的な見直しを行うというだけでいいなら、DCAだけで回していると言ってもいいでしょう。
現実的には、PDCAとは「定期的に見直す」という考え方だけを参考にして、自社に適合した形で「文化」として取り入れるべきものです。日本人は生真面目なので、言葉を文字通りに理解し実行しようとします。しかしながら、PDCAそのものはそういうものではないので、結局は年に一回の規定見直しをPDCAと呼んでお茶を濁してしまっているのではないでしょうか。
私はこのようなPDCAに対する考えを有識者の方とよく話題にするのですが、多くの方がPDCAに関しては文字通り実行しようとすることに疑問を思われていたと言ってくれます。ある大きな組織では、Pは最初だけで、日常的にはDCAだけでよい、と言われる方もいます。私も同様で、むしろセキュリティはよくよく考えてから実行するよりも、まず実行してみてから考えるようなアプローチでもいいと考えています。
せっかくなら、改善されたDoをトライする機会が多い方がセキュリティ向上につながると思います。セキュリティは組織の文化としてとけ込む必要があり、かつ、常に更新され続ける必要があります。
必ずしも新しい脅威に対する「追加」だけがレベルアップではなく、関連会社などへの適用範囲の拡大も図る必要がありますし、業務効率の向上とセキュリティレベルのより高い融合のためのセキュリティシステムの導入、そして、セキュリティルール自体の整理統合による合理化、など様々な観点で常にチューニングを続ける必要があります。
また、PDCAを回してればセキュリティ対策をやっていることになっていると思われる風潮が強いですが、ヒヤリハットのような「もう少しで事故につながりそうな事象」が起こったら、そのときこそ規定や運用状況の見直しを図って、大事故につながらないようにカイゼンを講じることもセキュリティ維持には欠かせない活動です。
そのためには、ヒヤリハットの事例を積極的に収集する必要があります。しかし、鞄を電車に忘れてしまったが翌日取りに行ったらあった、などという事例は処罰を恐れて誰も届けないでしょう。まさかそれを褒める訳にもいきません。それなら「匿名」で集めるのはどうでしょうか。匿名であればヤバかったことでも情報収集できるかもしれません。
さて、先月のコラムで忘年会における情報漏えいについて書きましたが、その後、私の知る範囲でもいくつか鞄がなくなっています。そして悲しいことに何らかの「処罰」が行われています。うっかりであれ、ひったくりであれ可哀想だけでは済ませてもらえません。顧客情報の紛失をしてしまえば、会社としても「可哀想だから処分しませんでした」「お酒の入ったときのことですから」とお客様に伝えることなどできないからです。
このコラムが掲載される頃は新年会のシーズンですが、みなさん鞄などの管理はしっかりしてください。とはいえアルコールが入ると管理できなくなる方もいますから、「飲んだら持たない」を徹底し、会社に鞄を置いてきてから飲みに行く、を今更ながらに徹底してください。また、セキュリティ担当者は携帯電話の電波のつながることを常にチェックして移動してください。
