第76号：聞けば答える

先日、会社で情報セキュリティマネジメントシステム(以下、ISMS)のマネジメントレビューを行った。マネジメントレビューというのは、簡単に言うと、マネジメント（＝経営者）がISMSをレビュー（＝見直し）することである。

当社では、期末に部門長会議の場で、ISMSが引き続き適切で、妥当で、有効であることを確実にするために、１年をふりかえって、その年度のISMSがうまくいっていたのか社長が見直し、改善が必要ならばその旨指示を出す。それが当社におけるISMSマネジメントレビューだ。

ISMSの見直しに必要な情報は、内部監査の結果や是正処置の状況、利害関係者からのフィードバックなどいろいろISO/IEC 27001に規定されている。そのISOが要求するマネジメントレビューへのインプットの一部を、当社ではグループウェアのアンケート機能を使って全社員から集めている。

それで、そのアンケートで集めたマネジメントレビューのインプットのひとつに「利用できるキャスターの数が足りない」というのがあった。車輪と情報セキュリティにどういう関係があるのか不思議に思っている読者ばかりだと思う。たいへん申し訳ないが、当社では、引き出しに鍵がかかるキャスター付きのサイドチェストのことが、略して「キャスター」と呼ばれている。省略しすぎだろうとか残すところがおかしいとかという批判は甘んじて受け入れよう。

鍵付きのサイドチェストが足りなくて機密性の高い書類が野ざらしになっているかもしれないということはISMSにとって非常にリスクのある状態だ。すぐに対処すべきことなのになぜこのタイミングで出てくるのか。マネジメントレビューなんて１年に１回しかないのにそのときまで寝かせておくネタじゃない。

まあ、そんな感じで、重要なものから些細なものまで、改善情報というか不平・不満というか、さまざまな意見が集まる。面と向かっては言いにくいのか、Webページから入力するのがいいのか、と思いかけたが、当社では、組織の標準プロセスの変更要求もイントラネットでいつでも受け付けているが、いまではあまりあがってこない。なので、Webを使えばいいってもんでもないらしい。

アンケートにするとグループウェアのトップページに表示され、アンケートに回答するまで消えない。このうるささが改善情報の収集を促進しているかもしれない。

CMMIのGP3.2は「改善情報を集める」となっている。待っているだけではだめだ。問題はないですか、改善案はありますかと定期的に聞いたほうが、たくさんの意見を収集できる気がしてきた。

これからはアンケートで組織プロセス資産の改善情報も集めてみようと思う。自主的に改善案を出す人がいなくなるかもしれないが、改善案がないよりはあったほうがいいだろう。ちょっと試してみようと思った。