経営層を巻き込むにはどうしたらいいか、本音トーク
セミナーの最後には細川氏と山野氏の2人で「最低限のセキュリティ対策」について率直なトークが交わされた。
冒頭、裁判所でのやりとりをよく見ている細川氏がこんな教訓を示した。「裁判所でたまに耳にする言葉があります。それは『(委託先などに)おまかせしていました』です。これはNGワードです」。裁判所でうっかり証言したら足をすくわれかねない言葉だという。
委託先を信頼していたからこそ、素直に「おまかせしていました」という言葉が出てしまうのかもしれない。しかし問題が起きてから裁判所でこう証言してしまうのはよくない。なぜか。「私はなにもしていなかった」と明かすのに等しく、責任を放棄していたとみなされてしまいかねない。だからNGワードというわけだ。
個人情報など重要な情報を扱うのなら、きちんと方針から運用まで把握している必要がある。その過程で専門家に意見を求めたり、作業を委託するのはありだ。しかし「丸投げ」とみなされるような態度を出してしまってはよくないということだ。任せるものと、任せられないものをきちんと区別しておく必要がある。
普段から「任せているのだから、うちは何もしなくても大丈夫」という考え自体がNGと肝に銘じておいたほうがいいだろう。
今回のセミナーでは山野氏が指摘するように、セキュリティ対策における経営層の関与の重要性が大きなテーマとなる。この重要性をいかに経営層に理解してもらうか、どう説得すればいいかは実際とても難しいところだ。
山野氏は難しさについて重々理解を示しつつも「まずはサイバーセキュリティ経営ガイドラインを経営層にインプットするところから」をスタート地点に挙げた。何も手がかりがないと難しいが、このガイドラインなら経営層をターゲットにしておりポイントがまとめてあるので説得するにはいい材料となりうるだろう。
細川氏は「共有する努力が出発点です」と話す。直近で起きたことがらなどを経営層から社員まで共有することで、危機感を共有し意識を高めることにつながる。例えば「昨日は社員のパソコン盗難事件が起きました」と朝礼や掲示板などで共有する。
具体的なインシデントから(被害者を責めるのではなく)、どのような問題に発展する可能性があるか意見を出し合うことは危機感を共有し、意識を高めていくことに効果があるという。セキュリティ対策は日々気を緩めることなく、改善を積み重ねていくことが重要であることがあらためて示された。
