【第4話】「情報セキュリティ管理者」はなぜ必要か（渋屋隆一）

これまで全3話を通じて、情報セキュリティの基本的な考え方や対策を紹介してきました。今回は、企業の情報セキュリティの中心的な役割を果たす「情報セキュリティ管理者」がテーマです。どのような仕事をするのか、だれがやるのが適任なのか、人材をどうやって育てればよいのかなど、情報セキュリティ管理者について詳しくお話します。

情報セキュリティ対策の実施体制

情報セキュリティ対策を実施する体制は、一般的な中小企業では下図のようになります。 

体制を明示することには、２つの目的があります。１つは、社内で情報セキュリティ対策をしっかりと行うことの意思表明です。情報セキュリティ対策は、多くの社員にとって面白くない仕事です。売上などの成果に直結するわけではありませんし、主業務が忙しいと面倒に感じることもあるかもしれません。だからこそ社長が強いリーダーシップを発揮することで、対策が滞らないようにするのです。もう１つは、社外に対して安心を与えるためです。「御社の情報セキュリティ体制はどうなっているか？」と尋ねられたときには、役割や責任を定め、情報セキュリティ管理をしていることを伝えることによって、安心して取引できるパートナーと認められます。

中小企業における情報セキュリティ管理者の役割

情報セキュリティの実施体制の中で、社長・情報セキュリティ管理者・各部門（従業員）に求められる役割は以下の通りです。

まず社長（経営者）には、全社員が情報セキュリティに取り組むためのリーダーシップが求められます。情報セキュリティ管理者を指名し、体制を構築するのも社長の仕事です。このプロセスの中で、必要があれば、対策への投資も行う場合もあります。このほか、従業員に対する模範となることも、社長の重要な役割です。社長が機密情報を口外するなどしていたら、「口だけの対策」であると思われ、従業員はついてきません。率先して情報セキュリティ対策に取り組む姿勢を見せることが求められます。

情報セキュリティ管理者は、情報セキュリティ対策の全てに関わります。過去の記事でも説明しましたが、情報セキュリティ対策は以下のようなプロセスを経て実施されます。 

このプロセスすべてに責任者として関わるのが、情報セキュリティ管理者の役割です。守るべき情報が何であるのかを特定するために、経営者や各部門へのヒアリングを行い、リスクを想定します。情報セキュリティ対策を企画し、必要に応じて経営者へ投資を求めます。情報システム部門との連携が必要になることもあります。その後、各部門の協力を仰ぎながら対策を実行します。その結果を受けてルールを作り、社内の情報セキュリティ教育を企画・実行します。また、緊急時・事故発生時の対応が求められますので、正に中心的な役割です。

各部門（従業員）は、情報セキュリティ管理者の指示を受けて、日々の対策を実行します。部門の人数が多かったり、拠点が複数に分かれていたりして、情報セキュリティ管理者が全従業員と接するのが難しい場合は、各部門に情報セキュリティ担当者を立てることもあります。

なお、ここでは3者の役割について触れましたが、規模の小さな会社では社長が情報セキュリティ管理者を兼務することもあります。それぞれの会社の実情に応じて、読み替えていただければと思います。

セキュリティ対策の最前線に立つ情報セキュリティ管理者は、さまざまな立場を考えながら、最適なセキュリティ対策を考え、実施していくことが求められます。セキュリティ対策を遂行するためには、どんなスキルが必要なのか、具体的に挙げてみましょう。

・部門や立場を越えた調整力

中小企業の場合、情報セキュリティ管理者は専任ではなく兼務であることがほとんどです。しかしながら、体制図からお分かりのように、情報セキュリティ管理者は特定の部門ではなく、全社を俯瞰する立場です。経営者のような視点に立って、情報セキュリティ対策を計画・実行することが求められます。

計画を実行する上で、ある部門から反発を食らうこともあります。例えば、顧客情報の入ったパソコンを持って外出することを禁止したら、営業部門から「仕事にならない」と言われることなどです。このようなとき、言いなりになって持ち出しを許可することも、頑なに禁止して営業効率を下げてしまうことも、正解ではありません。全社として、どうあるべきなのかを模索・調整し、各部門と調整する力が求められるのです。

・利用者としてのITスキル

昨今、情報の大半はデジタル化が進んでいます。したがって、情報セキュリティ管理を行うには、ITスキルが求められます。ただ、必ずしもシステムを開発する技術者のようなスキルが求められるわけではありません。むしろ一般利用者としてのITスキルが求められます。日々、メールを使っていれば、誤送信することや、怪しいメールを開いてしまうリスクに気付きます。顧客情報を営業担当者ごとにバラバラに持っていたら、1人の営業担当者のパソコンが壊れただけで、顧客情報を失ってしまうことに気付きます。利用者の目線で、セキュリティリスクを理解していることが重要です。日常的にパソコンやシステムに触れていると良いでしょう。 

ここまで紹介してきたことを考えたとき、社内で誰が情報セキュリティ管理者として適任か、思い当たる人材は見つかったでしょうか。「この人がいい」と思える社員がいればそれに越したことはありませんが、人手不足が深刻な中小企業では、適任者が見つからない場合もあるかもしれません。そのようなとき、情報セキュリティ管理者の役割を「だれが」「どのように」果たせばよいのでしょうか。人手不足や情報セキュリティ人材の不在を解決するヒントを紹介します。

・中小企業では「基本」に注力する

中小企業が専任者としての情報セキュリティ管理者を育成するのは現実的ではありません。上述のように、多くの中小企業では情報セキュリティ管理者は兼任です。本業とは別に、専門的な情報セキュリティのスキルを求めるのは無理があります。中小企業における情報セキュリティ管理者は、まずは「情報セキュリティの基本」を押さえることが重要です。

中小企業向けのセミナーに参加したり、IPA（独立行政法人　情報処理推進機構）が公開しているようなガイドラインを参照したりすることで、ほとんどコストをかけずに情報セキュリティの基本を押さえることができます。企業によって、「守るべき情報」は異なりますが、パスワードを他人に教えないなどの基本的な対策は同じだからです。

・専門スキルは外部リソースを活用

高度な専門スキルが必要になったときには、外部リソースを活用しましょう。情報セキュリティ対策を行う上では、情報システムや法律の専門家が必要になることがあります。また、経営全般の意思決定が必要となるシーンでは、経営者の支援が必要になることもあります。それぞれのケースに応じて、システム会社やITコンサルタント、弁護士、中小企業診断士などを訪ねてみましょう。

ここまで述べてきたように、情報セキュリティ管理者は非常に幅広い業務に対応する大変な業務です。経営者はそのことを理解し、情報セキュリティ管理者に丸投げするのではなく、リードやサポートをする意識を持ちましょう。 

著者：渋屋　隆一（しぶや・りゅういち）　株式会社 B.S.JAPAN
大手システムインテグレータにて、ITエンジニアとマーケティングとして活動。2012年に中小企業診断士登録後、2015年に独立。以降、中小企業を中心に、IT導入支援やマーケティング支援を行っている。
著書：『【図解】コレ1枚でわかる最新ITトレンド』（技術評論社）、『「埋もれた数字」が利益を伸ばす 社長はデータをこう活かせ!』（日本実業出版社）など