« ACCS事件 懲役8月 <-> 無罪 | Main | ソフトウエア等の脆弱性関連情報に関する届出状況 »

2005.01.25

ISMSの形骸化

 こんにちは、丸山満彦です。最近ではCSR(社会的責任)についての認証制度の話が欧州を中心に議論されました。(現在のところ、ISO化するが、認証制度にはしないということになっているそうです)。認証制度に対しては、様々な批判もあります。ISMS制度についても、「ISMSは形骸化する」という議論が多いように思います。でも、私としては「ISMSははじめから形骸なので、形骸化しようがない」と思っています。こういう話をセミナーですると、聴講者からのフィードバックが悪いです。特にISMSのセミナーでこういう話をすると最悪です。そこで今日は、私の真意について書いてみたいと思いました。

 
 認証制度全般(ISO9001、ISO14001、ISMS・・・)や、COSOの内部統制のフレームワーク、商法のコーポレートガバナンスのフレームワーク、このよう制度というものは、形でしかないと私は思っています。商法のコーポレートガバナンスについても欧米型と日本型のどちらがよいのか?という議論がありました。「それは、使う人次第」と私は思っていました。制度は所詮「道具」でしかないんですよね。重要なのは、道具を使って目的を達成する「人の心」だと思うんです。

 「ISMS認証取得をしたら、セキュリティがしっかりしている企業として広告になる」と思って、認証取得しようと思っているのであればどうでしょうか。
 
 「ISMSの認証取得がないと、入札ができない」と思って、認証取得しようと思っているのであればどうでしょうか。

 「はじめから心がないISMSは、はじめから形骸でしかない。」と私は思います。

 ISOなどの認証制度は、心が無くても形が整っていれば認証取得できる。そういう制度なんです。国際標準ですから、ある程度客観的に評価できる部分を標準化しているに過ぎないんですね。そういう意味で、マネジメントシステム認証制度は形骸にしかなりえないんですね。

 ISMS制度は道具にすぎない。そもそも形骸です。中身があったものが無くなって形骸化したのではなく、そもそも中身がない形骸にすぎないのだから、心を常に入れておかなければならない。と思ったほうがよいのではないでしょうか。もちろん、日本人であれば、形から入り魂を入れるという考え方も理解できます。武道、茶道、華道、歌舞伎なども、形の重要性も強調しますから。でも、最終的には精神を極めることが重要なのですね・・・

 ISMSは経営者の誠実な心を常に置きつづけることが重要だと思うんです。心が無ければ骸骨だし、悪い心だと悪い人になる。組織というのは、常に経営者の心がけ次第で、よくも悪くもなる。当たり前の話が、ISMSにもあてはまると思います。

 ISMSやISOの認証制度は国際標準だからすばらしいと思いたい気持ちがわからないわけではないのですが、形がすばらしいよりも、心がすばらしいほうがよいと思うんですね。

 そういう意識になれば、ISMSの認証取得をしている企業との付き合い方もどうすればよいのか見えてきますね。



このブログの中の意見は私見であり、所属する組織の意見ではないことをご了承ください。

|

« ACCS事件 懲役8月 <-> 無罪 | Main | ソフトウエア等の脆弱性関連情報に関する届出状況 »

Comments

丸山さん
初めまして、トーマツ福岡事務所の小寺と申します。「ISMSの形骸化」を拝見しました。丸山さんの“ISMSは経営者の心がけ次第”のご意見に賛成です。
私は昔担当者としてISO9000取得を経験し、いまは「個人情報保護法対応」で経営コンサルをやっています。確かに担当者としてISO9000取得を経験した時は、“ISOなんて形でしかない”と思っていました。しかし、いまはISO9000やISMSのような基準の必要性を痛感しています。
私はISMSのような基準は会社の設計書だと思います。その設計書からどんなシステム(会社)を作るかは経営者の手腕だと思います。いい会社も悪い会社も経営者次第ということなんですよね。

Posted by: 福岡の小寺 | 2005.01.25 15:19

小寺さん、コメントありがとうございます。トーマツも大きな会社となったので、社内でもなかなか顔をあわせることができませんね。(すみません、社内メールでやれって話ですかね・・・)
ISMSも仕組みはよいので、これを活かす経営者の心、力が重要となってきますね。そういう意味で、本当の経営力をつけるために、ISMSをどのように活かせるかという観点から、私たちもお客さんの力になれればよいですね。

Posted by: 丸山満彦 | 2005.01.25 20:19

丸山 様

こんにちは♪

私が現在のISMSのやり方に対して批判的な立場をとっていることは周知のことと思われますが(笑),ちっとだけコメントを・・・

私は,プロシージャコントロール型の管理システムは,すべて形骸だと思っていますし,形骸でなければならないとも思っています。
この点では,丸山様のご意見に完全に賛成です。

たとえば,刑事訴訟手続は,捜査機関にとっては厄介な存在かもしれない。
しかし,刑事訴訟手続は,被告人にとってのガードであるだけではなく,長い目で見れば捜査機関にとってもガードになっているのだということを十分に理解し,形式主義を貫くべきだと思います。

何が「正義」であるのかは,本当はよく分からないことです。
だから,次善の策として,一定の手続を遵守することによって暫定的な正義を確保するとともに予め想定されている過誤や危害を避けるための手順をマネジメントの中に明確なかたちでビルトインしオペレーションしようとするのだろうと思います。
もしその手続が誤っているのであれば,行動基準を改善・改訂していけばよい。それが手続的正義の基本だと思います。
その意味では,PDCAのサイクルというモデルは少しも新しいものではなく,英米流の司法手続の中では当然の基本原理とされているものの一部を構成するものとして,かなり昔からあったのだと理解することも可能でしょう。

法律による行政の原理にしてもそうで,税務担当官庁の意見の変更だけで課税基準が簡単に修正されてしまうのは,法律による行政の原理からすれば「悪政の極み」とでもいうべきだろうし,そのようなやり方に加担する裁判官も「悪奉行」そのものであるか無知蒙昧であるのかのいずれかでしょう。法科大学院に入学して最初から勉強をやり直してもらいたいという気持ちさえします。

行動基準は,あくまでも明確であり事前に用意されているのでなければ行動基準として機能しません。

ISMSでも同じですね。

しかし,現実には,他に考えなければならないこともたくさんある。

つまり,なぜ形式主義を採用しているのかという根本哲学を理解せず,文字通りの形式主義で「かたち」だけコピーのセキュリティポリシーを掲示するのは百害あって一利もないです。
加えて,そのような無自覚な経営者につけこんで暴利をむさぼるコンサルタントが数え切れないほどいるという現状を見ると,ISMSの仕組みが詐欺的な人々によって濫用されていると評価せざるを得ない面もあります。

どんなことでも,設計の前提となった理想と運用の結果としての現実との間には落差があります。しかし,これほどまでに人の無知につけこんだ厚顔無恥な行為が横行している場面も珍しいのではないかと思います。

「セキュリティ文化 Culture of Security」の重要性が唱えられているのは,こうした側面とも関係のないものではないように思います。

情報セキュリティに限らず,すべてのことがらに関して,Awarenessが最初の第一歩であることを忘れてはいけないのでしょうね。

Posted by: 夏井高人 | 2005.01.26 10:50

夏井先生、コメントありがとうございます。ストックオプションの話まで飛んでいますが・・・、この点について私も同感です。

 さて、話をもとに戻して・・・ISMSですが、確かに形式主義であるべきですね・・・と、同時に、なぜ形式主義であるべきかということ、形式主義であるべきところと、実質が伴うべきところを区別して考えると言う意見にも賛成です。セキュリティにAwarenessが重要というのも賛成です。適切なAwarenessが全ての出発点ですね。

Posted by: 丸山満彦 | 2005.01.27 02:44

丸山 様

おはようございます。

モデルを単純化すると,危険を予測して可能な限り回避する,そのための手順を構築し,手順がまずければ手直しする,というだけのことですよね。

危険を予測するためには即物的な観察能力が必要なことはもちろんのこと,かなり豊かな想像力と,ある種の直観力と,予測を正確に表現する能力が必要で,これは勉強しても身につくものではないでしょう。才能が必要です。誰にでもできることではないので,有能な人材を求めなければならない。

次に,予測された内容に対応する行動計画を樹立するための人材・組織も必要で,そのための人材は,かなり訓練された人々である必要があります。

そして,行動を現実に実行するのは普通の人々なので,そのような人々の意識を改革し,普通の人でも容易に実行可能な行動の基準と方式を定める必要があるのですね。だから,この場面では,形式主義が必須になるわけです。
個人プレーでやっていい場面もあると思いますが,多くの場合には組織だって行動しないと力量を最大限に発揮できないことになるので,形式主義が必要です。
なお,悪しき官僚主義と一種にしないことが秘訣かもしれません。

このようなモデルは,情報セキュリティだけではなく,およそ人間の行動に関するあらゆる場面で必要になってくるわけだし,程度の差や内容や重要性などの差を無視すれば,日々の人間の行動の中に自然に実行されていることだろうと思います(もちろん檻の中に入れられるべき懲りない面々もたくさんおりますが・・・)。

その無意識になされていることを意識・認識可能なものとしてモデル化し定式化するのが理論家の仕事ですね。

Posted by: 夏井高人 | 2005.01.27 06:12

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference ISMSの形骸化:

» ISMSの形骸化 [ICHINOHE Blog]
まるちゃんの情報セキュリティ気まぐれ日記: ISMSの形骸化 トーマツの丸山さん [Read More]

Tracked on 2005.01.26 15:43

« ACCS事件 懲役8月 <-> 無罪 | Main | ソフトウエア等の脆弱性関連情報に関する届出状況 »