PR

 情報セキュリティ対策にPDCA(plan-do-check-action)はもはや常識とされています。しかし、このPDCAを誤解していないでしょうか? PDCAは「作ったルールを見直して改善していく」という意味ですが、現実にはルールを“追加しているだけ”の組織が少なくありません。

 そんなことからなのか、「来年度は何をしたらいいでしょうか」というコンサルティング依頼が昨年から多くなっています。

 年末、年度末、という季節要因もあるのだとは思いますが、このような問い合わせをいただく企業や団体の多くは、情報セキュリティ対策に真剣に取り組んできていて、一般的に世間で言われているような対策はすでにとられています。確かにそれでもセキュリティ事故は起こるので、やるべきこと、できることはあるのですが、最初の1、2年のような勢いで来年度も……と考えた場合には、それほどやることがないように思えてくるのでしょう。

 しかしながら、情報セキュリティ推進部署にとってはやることはたくさんあります。これまでのセキュリティ対策の推進のための「庶務」で多忙なことが多いのです。策定したルールの周知徹底のための教育、啓蒙と現状のポリシーとの準拠性監査、前回監査の結果による不適合事項のその後のフォローなど、ポリシーの維持管理には相当の事務作業が伴っていると思われます。

 そして、その仕事量を維持したまま新しいことを追加しようとするので、ますます忙しくなっていきます。つまり、「PDCAを実践したつもり」の結果、仕事量は毎年増えつづけているのです。PDCAとはこのような業務量を増やすことが目的ではないはずです。