2018年1月15日

【第4話】「情報セキュリティ管理者」はなぜ必要か(渋屋隆一)

セキュリティ対策を実施・運用する上で鍵となるのが「情報セキュリティ管理者」の存在です。必要な知識や人材の適性など、中小企業のセキュリティ対策に役立つ情報を紹介。

1. 情報セキュリティ管理者の仕事とは?

これまで全3話を通じて、情報セキュリティの基本的な考え方や対策を紹介してきました。今回は、企業の情報セキュリティの中心的な役割を果たす「情報セキュリティ管理者」がテーマです。どのような仕事をするのか、だれがやるのが適任なのか、人材をどうやって育てればよいのかなど、情報セキュリティ管理者について詳しくお話します。


情報セキュリティ対策の実施体制


情報セキュリティ対策を実施する体制は、一般的な中小企業では下図のようになります。 

体制を明示することには、2つの目的があります。1つは、社内で情報セキュリティ対策をしっかりと行うことの意思表明です。情報セキュリティ対策は、多くの社員にとって面白くない仕事です。売上などの成果に直結するわけではありませんし、主業務が忙しいと面倒に感じることもあるかもしれません。だからこそ社長が強いリーダーシップを発揮することで、対策が滞らないようにするのです。もう1つは、社外に対して安心を与えるためです。「御社の情報セキュリティ体制はどうなっているか?」と尋ねられたときには、役割や責任を定め、情報セキュリティ管理をしていることを伝えることによって、安心して取引できるパートナーと認められます。

中小企業における情報セキュリティ管理者の役割

情報セキュリティの実施体制の中で、社長・情報セキュリティ管理者・各部門(従業員)に求められる役割は以下の通りです。

まず社長(経営者)には、全社員が情報セキュリティに取り組むためのリーダーシップが求められます。情報セキュリティ管理者を指名し、体制を構築するのも社長の仕事です。このプロセスの中で、必要があれば、対策への投資も行う場合もあります。このほか、従業員に対する模範となることも、社長の重要な役割です。社長が機密情報を口外するなどしていたら、「口だけの対策」であると思われ、従業員はついてきません。率先して情報セキュリティ対策に取り組む姿勢を見せることが求められます。

情報セキュリティ管理者は、情報セキュリティ対策の全てに関わります。過去の記事でも説明しましたが、情報セキュリティ対策は以下のようなプロセスを経て実施されます。 

このプロセスすべてに責任者として関わるのが、情報セキュリティ管理者の役割です。守るべき情報が何であるのかを特定するために、経営者や各部門へのヒアリングを行い、リスクを想定します。情報セキュリティ対策を企画し、必要に応じて経営者へ投資を求めます。情報システム部門との連携が必要になることもあります。その後、各部門の協力を仰ぎながら対策を実行します。その結果を受けてルールを作り、社内の情報セキュリティ教育を企画・実行します。また、緊急時・事故発生時の対応が求められますので、正に中心的な役割です。

各部門(従業員)は、情報セキュリティ管理者の指示を受けて、日々の対策を実行します。部門の人数が多かったり、拠点が複数に分かれていたりして、情報セキュリティ管理者が全従業員と接するのが難しい場合は、各部門に情報セキュリティ担当者を立てることもあります。

なお、ここでは3者の役割について触れましたが、規模の小さな会社では社長が情報セキュリティ管理者を兼務することもあります。それぞれの会社の実情に応じて、読み替えていただければと思います。

2. 情報セキュリティ管理者に求められる人物像とスキル

セキュリティ対策の最前線に立つ情報セキュリティ管理者は、さまざまな立場を考えながら、最適なセキュリティ対策を考え、実施していくことが求められます。セキュリティ対策を遂行するためには、どんなスキルが必要なのか、具体的に挙げてみましょう。


・部門や立場を越えた調整力

中小企業の場合、情報セキュリティ管理者は専任ではなく兼務であることがほとんどです。しかしながら、体制図からお分かりのように、情報セキュリティ管理者は特定の部門ではなく、全社を俯瞰する立場です。経営者のような視点に立って、情報セキュリティ対策を計画・実行することが求められます。

計画を実行する上で、ある部門から反発を食らうこともあります。例えば、顧客情報の入ったパソコンを持って外出することを禁止したら、営業部門から「仕事にならない」と言われることなどです。このようなとき、言いなりになって持ち出しを許可することも、頑なに禁止して営業効率を下げてしまうことも、正解ではありません。全社として、どうあるべきなのかを模索・調整し、各部門と調整する力が求められるのです。


・利用者としてのITスキル

昨今、情報の大半はデジタル化が進んでいます。したがって、情報セキュリティ管理を行うには、ITスキルが求められます。ただ、必ずしもシステムを開発する技術者のようなスキルが求められるわけではありません。むしろ一般利用者としてのITスキルが求められます。日々、メールを使っていれば、誤送信することや、怪しいメールを開いてしまうリスクに気付きます。顧客情報を営業担当者ごとにバラバラに持っていたら、1人の営業担当者のパソコンが壊れただけで、顧客情報を失ってしまうことに気付きます。利用者の目線で、セキュリティリスクを理解していることが重要です。日常的にパソコンやシステムに触れていると良いでしょう。 

3. 情報セキュリティ管理者育成のヒント

ここまで紹介してきたことを考えたとき、社内で誰が情報セキュリティ管理者として適任か、思い当たる人材は見つかったでしょうか。「この人がいい」と思える社員がいればそれに越したことはありませんが、人手不足が深刻な中小企業では、適任者が見つからない場合もあるかもしれません。そのようなとき、情報セキュリティ管理者の役割を「だれが」「どのように」果たせばよいのでしょうか。人手不足や情報セキュリティ人材の不在を解決するヒントを紹介します。


・中小企業では「基本」に注力する

中小企業が専任者としての情報セキュリティ管理者を育成するのは現実的ではありません。上述のように、多くの中小企業では情報セキュリティ管理者は兼任です。本業とは別に、専門的な情報セキュリティのスキルを求めるのは無理があります。中小企業における情報セキュリティ管理者は、まずは「情報セキュリティの基本」を押さえることが重要です。

中小企業向けのセミナーに参加したり、IPA(独立行政法人 情報処理推進機構)が公開しているようなガイドラインを参照したりすることで、ほとんどコストをかけずに情報セキュリティの基本を押さえることができます。企業によって、「守るべき情報」は異なりますが、パスワードを他人に教えないなどの基本的な対策は同じだからです。


・専門スキルは外部リソースを活用

高度な専門スキルが必要になったときには、外部リソースを活用しましょう。情報セキュリティ対策を行う上では、情報システムや法律の専門家が必要になることがあります。また、経営全般の意思決定が必要となるシーンでは、経営者の支援が必要になることもあります。それぞれのケースに応じて、システム会社やITコンサルタント、弁護士、中小企業診断士などを訪ねてみましょう。

ここまで述べてきたように、情報セキュリティ管理者は非常に幅広い業務に対応する大変な業務です。経営者はそのことを理解し、情報セキュリティ管理者に丸投げするのではなく、リードやサポートをする意識を持ちましょう。 

著者:渋屋 隆一(しぶや・りゅういち) 株式会社 B.S.JAPAN
大手システムインテグレータにて、ITエンジニアとマーケティングとして活動。2012年に中小企業診断士登録後、2015年に独立。以降、中小企業を中心に、IT導入支援やマーケティング支援を行っている。
著書:『【図解】コレ1枚でわかる最新ITトレンド』(技術評論社)、『「埋もれた数字」が利益を伸ばす 社長はデータをこう活かせ!』(日本実業出版社)など

関連するコラム
  • 記事を読む
“あおり運転”から営業車両を守るドラレコ

自動車社会の深刻なリスク「あおり運転」。このリスクに対しては、一般のドライバーのみならず、営業車両を保有し、日々の業務に活用している企業も対策を講じなければなりません。そうした対策としてのドライブレコーダーの有効性についてご紹介します。

  • 記事を読む
セキュリティ管理が重要な医療現場でのモバイル利用

医療現場では、モバイル端末で患者や医療に関する重要な情報を日常的に扱うため、セキュリティ管理が重要です。今回は医療現場でのモバイル端末の利用法をご紹介します。

  • 記事を読む
データで確認!情報インシデントの傾向と対策

情報セキュリティは重要と知っていても、どんな施策がいいか悩むことがありますよね。そんな悩みを解消すべく、いま気になる情報セキュリティ対策についてご紹介します。

  • 記事を読む
新入社員を情報漏えいリスクから守る

社会人一年目の社員の方は、スマートフォンを仕事で使うことに慣れておらず、安全対策上のミスを冒してしまうリスクがあります。そのリスクを低減する方策をご紹介します。

関連する導入事例
  • 記事を読む
クラウド型ビジネスツールで市議会運営を効率化

秋田市議会の運営を行う議会事務局。2018年度にタブレットを導入したが連絡業務に費やす時間に頭を悩ませていた。しかし、Gsuiteの導入により議員との意思疎通もスムーズに。他にも多様なビジネスツールが事務局職員を助けている。

  • 記事を読む
タブレットの紛失盗難対策を強化して営業効率アップ

富国生命の営業活動を支えるタブレット端末。ドコモの運用管理サービスを導入してセキュリティ対策を強化したことにより、大切なお客様情報を守りつつ、活用頻度が向上。営業効率のアップに成功した。

  • 記事を読む
スマホで変える銀行のコミュニケーション

愛媛県松山市に本拠を構える伊予銀行は約2,850台のスマートフォンを一挙に導入し、ビジネスチャットとクラウド電話帳によるコミュニケーションの効率化を推し進めている。

  • 記事を読む
通話を効率化する「オフィスリンク+」で働き方改革
サブ画像

「最もお客さまに支持される損害保険会社」をめざす、損保ジャパン日本興亜株式会社。全国に約6,000名在籍する営業社員の業務効率化を図るため「オフィスリンク+」を活用しています。

メールマガジン登録

Biz Solution by docomoでご紹介する導入事例や最新ビジネストレンドなどの記事を無料でご案内いたします。

お問い合わせやご相談はこちら

サービスについて詳しくお知りになりたい場合は、
メールまたはお電話でご依頼ください。