企業の情報セキュリティ対策推進の問題で「経営者の理解が得られない」は いつも情報セキュリティ対策の障害として上位にランクインする課題です。 特に中小企業を対象とした調査では大きな課題と言わざるを得ません。そこで、 典型的な中小企業（株式会社ディアイティ）の経営を行ってきた小生の経験を踏まえて、 この問題を考察してみました。 考察の視点は、一般に声高に言われている情報セキュリティ対策の必要性、 つまり、脅威が増しているとか、被害を受けるとか、取引先からなどの社会的要請に 応えるべきであるとかの視点ではありません。社長の視点から、 情報セキュリティ対策を導入することによる効果について述べたいと思います。 最初に言い訳をしておきますが、小生の経験のみをベースとした意見であり、 記述する内容についてその正確性や信憑性については何ら検証されていないことを 明記しておきます。そして、以下に述べる社長とは、従業員数100人未満の企業の社長です。 これ以上の規模の企業は経験していないので何もわかりません。

さて、それでは本論です。

当社に情報セキュリティマネジメントシステム（ISMS）を導入したのは 2005年です。2000年に日本ネットワークセキュリティ協会を設立してして から5年も経っています。少々時間がかかっています。この理由は、 当時当社は2002年に相当な経営危機に陥り、その対処が最優先事項であったからです。 その応急的処理も完了した翌年に、この経営危機の原因の一つは、 社内情報（営業情報から社員の行動などすべて）が私に迅速かつ正確に伝わらない、 または、私がそれらをあるがままの姿で直視しないことだと考えました。 また、別の側面では、この日本ネットワークセキュリティ協会を主体的に 牽引している者として、当社のセキュリティ対策も強化しなければならない こともありました。そのような中で、経営の視点から、ISMSに改めて向き合う決意をしました。

もちろん、当時の一般的なITセキュリティ対策は導入済みであったのですが、 どうしても運用がシックリ行っていない感触がありました。 どのような感覚かと言いますと「なんとなくいつも対策が後追い、 先手を取っていないなあ、これでいいのだろうか」のような感覚です。 もちろん、ISMSを知ってはいました。が、そのための体制作りやシステム投資 などが経営を圧迫するという危惧があり、何となく躊躇していたのが事実だった と思います。当時の我が社の規模は社員数40名程度、営業利益は数千万円でした。 この規模なのだから、わざわざISMSを導入しなくてもやっていけるはずだとの考えもありました。

一方で、わが社の経営危機を招いた原因は、中途半端な権限委譲と 不適切な権限分離ならびに実効性のないチェック体制であったことは認めざる 得ないことに、私は気づいていました。つまり、経営もPDCAサイクルを回さな ければならないのですが、PDca（caが小文字に注意してください）になっていました。 もしかしたら、PDPDだったかもしれません。このPDCAは経営者だけが実施すればいいの ではなく、細分化された組織ならびに個人までもすべからく浸透させないと意味があり ません。つまり課題は明白であり、組織の隅々までPDCAをきちんと回すことだ と再確認したのです。

ここまでPDCAの問題だと書いてきましたが、これは実はあと知恵です。 ISMSを導入しなければと考え、一方わが社の経営危機の根本対策について思い悩む中で、 両者は同じマネジメントシステムの問題であると気づいたのです。鍵はPDCAであると 思い至りました。そこで私が考えたことは、ISMSの導入をすることによって、 経営にPDCAを定着させ、社風を変革することでした。

中小企業の場合、社員数が少ないことから各業務を担当する人数は少なくなり、 また、同じ業務を長年担当することが多々あります。極端な場合は一つの業務 または職務を一人で担当することも多くあります。多人数で職務を担当している場合は 自然とその担当者相互で牽制が働きますが、少人数の場合はその牽制が働かず問題が 経営者まで上がってこないことが発生します。この状況を改善しようとしたときに、 まともにその職務遂行の方法にPDCAを求めると、自らの権限を侵された、 または信用されなくなったという反発を招きかねず、経営者が思うところの改革が進まない ときがままあります。ただし、両者とも会社のために良かれと思っていることが前提であるこ とは言うまでもありません。

一方で、情報セキュリティという共通の認識、つまり、我が社に対する 情報セキュリティ的脅威や社会的要請に何らかの対処をしなければ我が社の安定は見込め ないという認識を活用して、情報セキュリティマネジメントシステムを構築することの コンセンサスを形成することは容易なことです。担当者にとって直接自らの業務に踏み込まれる 問題ではないからです。（なお、最近の報道でもいまだにしばしば見られるような、 情報セキュリティに関する認識が無いという経営者並びに社員で形成されている企業は問題外で、 この方式は通用しないと思います。）

そのようにして、情報セキュリティシステムを構築することに社員と合意形成でき、 目標共有できたならば、そのときこそ、経営者として従来の権限委譲、権限分離、 チェック体制の再確認と再構築ができる機会であると認識すべきです。 情報セキュリティ対策において、経営者の指示と経営者への報告が迅速かつ正確に行われ、 その体制が維持されて行くことができると、それを情報セキュリティ関係だけでなく、 事業遂行にも同様の思考方法で当てはめることができます。それによって、 自社の事業上の脆弱性と脅威を再認識し、その対策について社員一人ひとりが考えることができます。

これが、中小企業の社長にとって情報セキュリティ対策を推進する効果、 それが経営にとって意味するものなのでは無いかと考えます。