情報セキュリティ対策はどの部門が主管になるべきか?
1.実際の対策がITがメインとなるので、IT部門
2.危機管理のひとつであり経営課題でもあるので経営企画部門
3.対策の最後の砦はヒトなので、総務部門
三輪(S&J):企業内でセキュリティ対策はどの部署が中心として主導していくべきか。実務や予算を握るIT部門か、経営課題でもあるので経営企画か、あるいは対策の砦でもあり、扱うデータが個人情報なので総務なのか。一番まずいのは「どこでもない」と誰もが当事者意識を持たないこと。それぞれ一言いただけますか。
▲S&J 代表取締役 三輪 信雄氏
高(ヤフー):これには正解はないと思います。主管となるべき組織が持つべき機能は2つ。会社のリソースを強権で動かせること、平素から経営に近いこと。こうした機能を持つ部門ならIT部門でも、経営企画部門でもかまわないと思います。
北村(大成建設):一番いいのは3つがうまく連携をとることです。ITの脆弱性に関する技術的な部分はIT部門が粛々と進めていくべきでしょう。ただし会社の制度を変えるとか、リスク管理として会社として対応しなくてはならないときは、会社のリスク管理体制に合わせる必要があります。インシデントが発生した際に、「総務を担いで」でも対応しなければならないこともあります。
三輪(S&J):高さんは企業システム、これから話す川島さんは地方自治体システムを専門でやられています。省庁や政治が関わるところでは、組織構造が異なります。川島さん、どうですか。
川島(公共イノベーション):事象の深刻性により違います。前に私が置かれていた立場は最終決断と対外的に責任を持たなくてはならず、極めて厳しい立場でした。早くレスポンスしなくてはならない圧力がありつつ、インシデントの切り分けがきっちりできない。1に全部を任せてしまうと、正確性を期そうとするため出足が遅くなる可能性があります。2が前に出ながらも、1が側面にいるのがいいかもしれません。
三輪(S&J):実践的なアドバイスありがとうございます。お三方が言うように「ここだけ」というのはないなという気がします。会場の回答で最多だった2の経営に近い部分が大きな役割を果たしつつも、それぞれ連携することも必要です。しかし連携といっても主体が不明では連携はできません。北村さんが言うように「総務を担ぐ」とか、どこかキーとなる組織がいります。
結局は人であるということ。「人が柱」というつもりは全くありません。キーマンの存在が必要ということです。北村さんの場合で考えると、おそらく大成建設では北村さんがキーマンとして社内を奔走しているのでしょう。誰かが世話係として、周囲の背中をたたく存在が必要です。
単一企業体の場合、企画・実施・監査をどの部門で実施すればいいのか?
1.部門連携型 :経営企画が企画し、ITと総務が実施、監査室で監査
2.IT予算主導型:対策の予算のほとんどがIT関連なので、IT部門が企画、予算取りを行い、実施し、監査室で監査
三輪(S&J):「単一企業体」とは純粋に1つの企業で成り立つ企業を想定しています。企画、実施、監査をどの部門で実施すべきか。
▲ヤフー 社長室リスクマネジメント室 プリンシパル
高 元伸氏
高(ヤフー):お互いに歩み寄るしかないと思います。専門的なことまでは分からなくても、経営企画はITが何を意味するのか、ITは業務が経営にどういうインパクトを与えるのか、互いに理解する必要があります。経営側は適切なバランスがとれるような方針を定めること、世間的に妥当なITの使い方を学習していかないと。IT側はITが経営にどのような影響を与えるのかIT部門は経営側に分かるようにかみ砕いて説明する必要があります
北村(大成建設):ITやセキュリティ部門がプロフィットセンターにいるのか、コストセンターにいるのかで異なります。事業が利益を生み出しているか否かです。弊社はコストセンターという意識があるので、部門連携です。IT予算は社長直下である程度統制、連携がとれていて問題ないかなと思います。総務部門の存在も大事です。例えばパソコンの盗難防止には物理的な対策も必要なのでITだけではできないからです。
現場は全国1000にも及ぶため、監査は現場すべてを回れません。弊社では「セキュリティもひとつの品質」という考えから、安全や品質管理のパトロールにセキュリティの遵守事項を入れて支店から品質管理を行うようにしています。
三輪(S&J):監査とは「書類ありき」です。社内規定に照らして抜けがあるか指摘するため、現場は満点を取ろうとします。しかしそれが本当にあるべき監査なのでしょうか。紙を超越して本当にやるべき対策を指摘するべきなのでは。ただし、監査の力は大きいです。指摘されたら経営で対応しなくてはなりません。だとしても監査部門は償却がどうかにはこだわらず、必要な指摘をしてほしいと思うのです。
北村(大成建設):代弁してもらえてありがたいです。監査は毎月社長に報告し、指摘があれば是正します。しかし監査は指摘するまでが役割です。現場の人間が「海外ではこんな危険があります」「海外ではBYODがここまで進んでいます」と報告したとき、どうコントロールすればいいか考えていかなくてはなりません。もっとこまめな点検、やりとりが必要と感じています。
川島(公共イノベーション):監査についていうと、私は外部監査を徹底して欲しいです。予算的な制限があると内部監査になりがちですが、それだと形式的なチェック監査で終わってしまいます。だから監査は外部がやるのが重要です。もともとの問いに対しては、トップと経営企画のITリテラシーを助けるなら1です。一般論として要件設定やサービスレベルの定義は経営企画です。IT自体の仕様書、調達もITと考えると2ではないでしょうか。
