個人情報保護対策（その２

個人情報保護対策をはじめ、２００８年に施行されるＳＯＸ法対策においても、従業員の日々の業務における認識が重要になると思います。

基本的に日々業務で発生する情報というものは社外秘ではないだろうか？　クライアントから何らかのアウトプット（広告などの印刷物）を依頼されたとしても、社内の承認処理があって初めてクライアントへ提出されるべきで、製作の過程でかってに社外へ持ち出したり外部の人間の目に触れるようなことがあってはいけないのかと思う。ちょっと語弊があるかもしてません。要は仕事で作成されるアウトプットというものは個人の持ち物ではなくて会社のもちものであるということ。分りきっていることかもしれませんが、以外に自分が手間かけて作った成果物というものにはExceで作った顧客一覧表であっても仕事をした充実感とともに愛情がわく。そうなると社外秘や機密情報という意識が薄れるのではないだろうか・・・

ワールドカップ

さて、昨日の日本　対　オーストラリア戦ですが、具合が悪くて寝てしまおうと思ってたのに思わず見てしまって結局寝ずに最後までというか3点入ったところまで見てしまった。特にサッカーファンではないが、こういうときは愛国心もりもりで見てしまう。見ていた人はみんな歯がゆさを感じていたと思うのですが、攻めてていざゴールの近くに行くと萎縮してしまうのか、よっぽど敵のプレッシャーが強いのかボールのコントロールができていないような、気持ちと体がついていっていない感じがしました。たぶん気持ちで負けていると思います。ヒンギス監督は選手に自分たちは世界に十分通用する自信を与えるそうで、自信を持ってプレーができる精神力つけるようです。試合をみていても大胆で日本の選手よりも周りが見えていたような気がします。身長差とか体格をテレビのアナウンサーはいっていましたが多分それはあまり関係ないような気がします。オーストラリアの選手は自信をもって間違いなく勝てるという気持ちでプレーをしている感じがしました。その気持ちが日本の選手は弱かったのでうわの空でプレーをしているような感じになってしまったのではないかと思いました、間違いなく勝つという気持ちは日本はＧＫ川口のくらいしかなかったのではないでしょうか。素人が言えることではないですが・・・川口は自信をもって勝つ確信をもってプレーをしていたように見えました。はらはらの2時間でしたが、きっと次の試合では目が覚めて本来の力を出したプレーがみれると期待したいと思います。以上、勝手な意見でした。

個人情報保護対策について

あるＩＴベンダーの担当者と個人情報の対策として一番効果的なものという話題で、性悪説で対応してもコストにみあった完全なツールはなく、結局扱う人間が節度を持って情報なりツールを使用しないとセキュリティホールができてしまう。結局一番のリスクは人間であって、その教育がやはり一番重要なのではないかと・・でも、現場というものは教育にあまり時間をかけたがらない、しかも直接売上げにつながらない教育はあまりしたくない。また管理部門もいつまでも現場に出向いて教育なんてできるものではない、前にも書いたとおり現場は人の入れ代わりが激しい、女性は平均３ヶ月、営業マンは平均５年である。一度教育した人間は数ヶ月、数年でいなくなる。よって時と共に現場の意識レベルは低くなってしまいます。となるとコンプライアンスの対策として有効なシステムはe-learningなのではないか・・・聞いたら１０００人以上の従業員をもつ企業の６０～７０％は教育システムを持っているとのこと・・　

一番リスキーなのは、通常業務を行いリスクのある情報を扱っていることを認識していない人間ではないか。これを防ぐ第一歩はツールではなく、現場の意識レベルを維持し続けることではないでしょうか。リスクのある情報を扱っていることを認識しないとツールを導入しても正しく利用されない。認識の無いなかでセキュアな環境をつくることは難しいのでは、性悪説に基づいたツール導入だけでは業務効率が落ちいずれルールを守らない人間が現れる、セキュリティホールができる、これをケアしないままでいるとそれはどんどん広がってツールの存在意義はなくなる。業務効率を維持しセキュアな環境を作りには情報を利用する人間の意識改革が重要となる。セキュリティ対策は情報倫理があって成り立つものとつくづく感じました。

内部統制セミナー（続き１

内部統制の一歩としてアイデンティティ管理というのはわかりますが、その前に現場での教育システムの確立も大事なのではないかと考えます。そうなると教育システム確立に重要となります。現場教育システムの確立。人が入れ替わっても常に一定の教育が受けられ同じ水準で業務ができる知識を早く植え付ける。業種にもよりますが、性悪説を前提としてセキュアな環境にするためのツール導入より、現場の知識水準を維持し続ける活動の法がコストを抑え且つ効果的なのではないでしょうか。

内部統制セミナー参加

5月末ですが、あるセキュリティベンダー主催のセミナーへ参加しました。品川の東京コンファレンスセンター行われました。数年ぶりに品川駅をおりたが、駅構内の工事が終わって近代的な外観に変わっていたのにびっくり。構内にはレストラン、本屋がある。中央口をおりると吹き抜けた高い天井、明るい景観。しばらく工事が続いていたので品川駅はとても歩き辛くてあまり寄りたくない駅でしたが、イメージを一層されました。私的にはモノレールの天王洲アイル駅が好きでビジネス街であるため休日の人の少なさと静けさがとても好きです。特に第一シーフォートホテルが好きでレインボーブリッジの夜景がなんとも心を打たれます。さて、今回は内部統制に向けたアイデンティティ管理ということで、情報収集のため参加しました。前日の寝不足がたたって１つ目のセッション（外資系システムベンダー）は眠いのをこらえながら聞いていました。外資系でＳＯＸ法対策を実施済みの会社であったので、経験を元に話しをききたかったのだが、あまりに淡々と話す口調であったのでほとんど覚えていない・・・幸、資料がわかりやすかったのでそれを読み返した。ポイントは職務分掌の明確化と情報システムではそれをアクセス権限に反映するということと思います。取引の承認や決済を正しい権限を持った人間が行うように定義してそれをシステムに反映させる、これを継続させ、監査証跡を残す。こうする為にはシステムを利用する人のアイデンティティ管理が重要であるということ。日本の組織によくある、縦割りの組織、縦割りのシステムではなかなか職務分掌の明確化が難しいと感じます。特にアカウント管理においてはシステムオーナー部門ではなく情報システム部門が管理するケースがあり。ＩＤ発行などのプロビジョニングはシステム部門が責任部門になったり、利用者まかせになったりする。そうなると利用されないＩＤが残りっぱなしだったり、退職者のＩＤを引継ぎ者がそのまま利用したりという状況が起こり得ます。こういった状況はなかなか経営層までは伝わらないことが多いと思います。

業務効率重視の文化を変えないことにはいくらシステム基盤を整備してもそれを活かすことができません。その文化を如何に変えたかはセミナーでは聞くことがなかなかできません。経営層の意識ではなく現場の意識を如何に変えるかが難しいと感じます。現場は人の入れ代わりは多く、且つ現場での教育システムが確立されていることはまずありません。新卒の新人教育はカリキュラムが組まれるが、現場での派遣者、パートにはきちんとした教育をする時間もとれません。

次回へ。

本の紹介

情報処理技術者試験 情報セキュリティアドミニストレータ標準教本〈2006年版〉 著者：岸本 了造 販売元：日本経済新聞社 Amazon.co.jpで詳細を確認する

カバンに入れて持ち歩けるサイズなので通勤電車のお供に良いのではないかと思います。内容も実用的で実際の業務においても参考になる知識が入っています。

脱線ついでに

話が脱線したついでに、ボーナスについでマネーの話題でしがないサラリーマンが少しでも富を増やす方法をいろいろ考えているところ・・・最近話題のＦＸ（外国為替保証金取引）を調べているところで、バーチャルゲームをやっています。自分はまったくの素人で最近、ＦＸということを知ったくらいなので、初心者ともいえないくらいです。海外の通貨を買ってレートの上がり下がりを見て売り買いしその差を利益とする金融取引。保証金取引というのがポイントで取引には実際の金額は必要なく保証金を用意して小さなお金で大きなお金を動かして利益を得る、株の信用取引のようなもので、以外にリスクが高いと感じる。バーチャルゲームなのであまり緊張感なくできるが、これが実際自分のお金でリスクをとってできるかといったら気の小さい私には無理と思った。取引の仕方に閾値を設けて大損しないような制御をかけられるようだが、レートの上がり下がりが気になって仕事どころではなくなる。しがないサラリーマンにはとても無理な話であります。やはりしがないサラリーマンは汗水流して働くのが一番安心するのです。投資の手段としてＦＸを否定しているわけではなく、銀行預金や郵便預金のように万人ができることではなく、リスクを理解して世界市場を理解して状況を判断し冷静に対処できることが必要と思います。

マイナスイメージだけを伝えるのは良くないと思うので、具体的なところで、バーチャルゲームで十数回の取引をして1万2千円の利益を上げています。主に米ドルと円での取引をしてみました。1回の取引で2万ドルを買って利益は手数料引いて３，０００円程度。1万ドルの取引をするには保証金が20万円必要なので1回の利益率は０．０１５となる。2週間で20万の保証金を回して1万2千円の利益。銀行に預けるより効率は確かにずっとよいと思います。但しゲームなので精神的負担がまったくないので、これを実際にリスクをおって取引する自信は私にはないと感じています。世界市場と世界経済を学ぶということでバーチャルゲームを楽しんでやるには私にはいいかと思いました。

ボーナス

早速、話題がコンセプトからズレてしましましたが、ボーナスの時期ですね。最近は年棒制の会社が増えていると思いますが、半年毎の楽しみ、且つ季節感を感じるものとしてボーナスというものはいいものと思います。・・・しかし景気というものはいつまでも回復したという実感がわかない・・。ここ数年はボーナスをもらう度に心臓に良くない。私が勤める会社はいかにも日本企業という感じで縦割り組織、本社には部長、課長がはびこっている会社である。終身雇用という思想が薄れ、競合他社との競争が激しくなる中、利益を食いつぶす部長、課長をつまでも雇っている立派な会社であるとつくづく感じる。実際ビジネスを遂行している私達が金銭的に報われるのはいつなのだろうか・・・、２年ほど前からボーナスからも健康保険、厚生年金などの控除が始まり余計、ボーナスが寂しくなっている。私達の年代は国からも会社からもより高度な能力を要求されていると感じる、給料は下げられ税金は多くとられ、子供の補助金はおむつ代にもならない。そんな状況下で効率よく仕事して成果をあげ、少ない給料から税金をとられ、家庭を守る為に節約をする。サラリーマンのお父さんは哀しい。最近はほとんど外で飲むこともない、スーツを新調することもない。昨年頃はクールビズとかでアパレル関係の業績が上がったようでスーツ専門店なども多く出店していますが、どういった業界の人たちが購入しているのだろう・・・共稼ぎで子供がいなければきっと問題ないのでしょう。子供がいたら自分たちを飾る余裕など今の自分の経済状態では全く無理であろう、こういった状況が婚期や子供を産むことを躊躇する要因になっているのでしょう、私の２０代後半の同僚も結婚に対しては後ろ向きである、恋愛もどこか中途半端で何かはぐらかしている感じをうける、余計なことで傷つくのがいやなのだろうか、でも仕事はまじめにしている、残業はつかなくても遅くまで仕事をして任務を全うしようとする姿勢がある。今日は話がコンセプトから脱線してしまいました。

次回は話題を最近、参加したセミナーについて書いてみたいと思います。

ブログ開設！

さて、ブログを開設しました。

記念すべき今日は普通の休日を自宅で過ごしております。

午前中は天気がよく、海にでも行こうかと思い趣味仲間に連絡をとったところ用があるといわれ昼寝をしてしまった、休日とはあっというまだ・・・

そんなところで・・・記念すべき初日記となってしまったが、このブログ開設の理由などをかきたいと思います。プロフィールにもありますが、私はある製造業の情報システム部門に勤めて１０数年のシステムエンジニアです。仕事的には自社のシステム構築の企画、開発設計、テスト、導入をおこなっていますが、実際の構築は外部ベンダー様に請け負って頂いています。私の情報システム部門はシステム構築するための要件分析・企画作成・予算策定・提案依頼書（一般的にＲＦＰのこと）・ベンダー評価・計画作成・開発支援・テスト・導入・検収といったことが主な業務となります。もうすこしクダケテ言うとシステムを企画して予算取りしてベンダーに提案をもらって見積もりもらって各社評価して請負先を決めてスケジュール作ってスケジュール管理するといった感じです。もっとクダケテ言うと社内ユーザ部門の要求をシステムをベンダーが理解できる仕様に翻訳して伝え、且つ出来上がるシステムをユーザ部門が理解できるように翻訳して伝え仕様を確定し作成されたシステムが仕様にあっているかチェックする、且つユーザ部門が希望する納期にシステムを稼動させる為にあらゆる活動をするといった感じです。ユーザ部門とベンダーとの板ばさみの環境で日々仕事をしているわけです。これはストレスです。そんな訳で愚痴でもブログにぶつけようかと考えていたのですが、それだけではつまらないので、ユーザ企業の情報部門として如何にシステムの品質を確立するか、システムの開発工程を如何に管理していったらいいかを思うところを書いていきたいと思います。

記載内容は決して裏づけがあってのことではないので、ブログの名前を「独り言」としました。あくまで主観です。ばかげたことも書くと思いますがご了承下さい。

また、最近は情報セキュリティについて勉強をしておりまして、仕事的にも自社内のセキュリティシステム構築に携わっております。内容的にはそちらが濃くなるかと思います。