業務改善サイクルを回すということ（378号）

前回は、情報セキュリティ関連規程の作り方をお話しました。

その中で最初はできるだけシンプルにしようと書きました。
同時に改善を重ねることが重要だとも書きました。

今回は、その改善サイクルを回すという視点でのお話をしたいと思います。

情報セキュリティ関連規程

前回のおさらいです。

詳しくは前号をご参照ください。

　情報セキュリティ関連規程の作り方（377号）2024年10月配信
　https://note.com/egao_it/n/n6e0d0238470d 　

情報セキュリティの関連規程というのは、組織内の情報の取扱いに関する規程です。どんな情報が対象なのか？誰が使うのか？保管や持出しはどんな手順とするのか？といったルールを決めておくことです。

これをイチから作るのは大変ですが、サンプルをIPA（独立行政法人情報処理推進機構）が提供しています。

ところが、このサンプルはかなり分量があり、中小企業が最初に規程を作るには、少々オーバスペックです。

というわけで、前回のお話では、この規程の中から、自分達が最初に取り組めそうなポイントに絞って導入をしようというお話をしました。

ルールを決めたらまず教育

上記のサンプルで第１版の規程を作ったとします。
これで情報セキュリティ対策は万全...なわけではありません。

だって、まだルール決めただけですもん。

次は全メンバにそれを周知し守ってもらうという難題、つまり定着させるというフェーズが待っています。

誰しも思いつくのは、最初の教育ですよね。
実際、最初のメンバ教育というのはとても大切です。

ここでのポイントは２つあります。
一つは最高セキュリティ責任者（中小企業なら社長や専務）の想いを伝えること、もう一つは、各ルールが決まった経緯や理由を説明することです。

前者の責任者の想いを伝えることは本当に大切です。
教育の場で責任者が決意表明をすることには大きな価値があります。

仮にセキュリティ対策を始めた理由が取引先からの要請であってもいいのです。
それでも、責任者には強い想いを持っていただかねばなりません。現代において情報セキュリティ対策の軽視は組織の存続にも直結しかねません。
だから、責任者は覚悟を持って取り組まねばならないテーマなのです。

いくら工夫したって、情報セキュリティ対策を進めれば現場の作業負荷は上がります。
その不満を抑えるには、責任者の「苦しいだろうが、これを乗り越えないとダメなんだ」という強い想いが欠かせないからです。

二つ目の「各ルールが決まった経緯や理由を説明する」も同様で、なぜこんなに手間をかけてまでやるのか？に納得してもらう必要があります。

なぜ、今、このルールを決めたのか？その背景には何があるのか？どんな点に留意して欲しいのか？といった視点で、全員に納得できるように説明をしてください。
情報セキュリティ規程というのは、日常の作業の進め方に踏み込んだ話になります。
メンバの皆さんは日常作業を思い浮かべながら聞くことになります。

実作業への影響まで考えながら聞くわけですから、丁寧に話を進めないと聞いている方は追い付くのが大変です。

情報セキュリティというなじみのない考え方に関する教育です。苦手意識の強い方もおられるでしょう。
その意味でもみんなが「なるほどな。そういう事情か」と理解できるまでゆっくりと丁寧に話をしてください。

個々のルールや細則は「後で規程やマニュアルを見てね」でも構わないのです。教育の場では、理由や目的を中心に腑に落ちる説明をこころがけてください。

なお、この教育についてはルール策定に関わったメンバによる説明がベストです。
ルール決めた当人が経緯を一番よく理解しているからです。

運用準備

次は実運用の準備です。

規程で決めたルールを守るのに必要な台帳などを準備します。
規程やマニュアルを皆が閲覧できる環境も必要です。

また、疑問や質問を受け付けるホットライン（電話やメール、チャットなど）も必ず準備しておきます。

実際に運用を始めてみると、想定していなかった事態が必ず起きます。
現場で判断してもらうと、部署によって結論が違ってしまいます。負荷の不均等も問題ですが、それ以上に情報の取扱い基準が違ってくることは大きな問題です。

疑問に思ったことをスグに聞ける環境があれば、そんな心配をしなくても済みます。

そうそう、準備のやりすぎはよくありません。
完全を目指すと「あれが足りない、これが足りない」となり始められなくなります。
準備がパーフェクトでなくても、運用を始めちゃいましょう。

運用なんてのは、やってみないとわからないことだらけです。
「走りながら考え」ればいいのです。

ここでも「がんばりすぎない」は大切ですね。

運用開始

運用に入れば、規程通りの運用となっているかどうかを確認します。

確認内容は、台帳の運用状態、サーバのログ、質問や要望の類、辺りが定番でしょう。
こういった内容を定期的（例えば毎週や毎月）に記録を残します。

また、月一度のペースで定例会を開きましょう。

この場では、単に運用状況の報告だけでなく 、うまく運用できていない理由や改善策の検討も行います。
最初から全てうまくいくはずもないし、足りない点、気付かなかった点もあるでしょう。
その辺は上で書いた「走りながら考える」で大丈夫です。

また、時間が経つと規程を守ろうという意識が緩むことも多いです。
そんな場合は運用手順の見直しや再教育も必要かもしれません。

後でも書きますが、定例会の場では規程の改版まで踏み込むべきではありません。

定例会で規程改訂を行うと、どうしても視点が直近のことに偏りますし、規程の改版が多すぎると、現場はますます混乱してしまうからです。朝令暮改というやつですね。

現場は（悪い意味ではなく）したたかです。当初は大変だ無理だ、と言いながらも数ヶ月も経てば工夫で乗り越えてくれることは多いものです。

よほどのことがない限り、定例会での規程の改版は抑えた方がメリットが大きいです。

いずれにしても、毎月の記録を残すことは、規程への遵守度合を定量的に把握するためにも大切です。

年に一度は運用課題の棚卸し

運用開始から１年も経てば、定着するテーマもあるでしょうし、逆に課題となるテーマも見えてくるはずです。

ですので、年に一度は課題の棚卸しと同時に規程の改訂検討を行いましょう。

規程の改訂での視点は二つ。

一つは運用を回している時に気付いた、要改善点の抽出です。
規程通りにすると洩れや重複が起きかねない点、規程があいまいで人によって実施レベルが違う点などです。
細則やマニュアル改版で対応できるものについては定例会で決めればよいのですが、規程の改版が必要となる場合は、年に一度の場で改版を行います。

また、当初の規程通りだと現場の負荷が高すぎて、業務が回せないといった状況に陥った場合は、規程の改版を視野に入れて検討を行います。

このように、毎月の状況把握と年に一度の改版を組み合わせることで、規程を「不磨の大典」とせず、組織に合わせて改善が行えます。

逆に言えば、規程を決めた後も地道な作業を継続しないといけないという意味でもあります。

こういった改善サイクルを回すことをPDS（Plan-Do-See）サイクルなどと呼びます。

まとめ

前回は情報セキュリティ規定の作り方について書きましたので、今回はその続編として、規程の運用について書きました。

情報セキュリティ規程を新たに作ることだけでも結構大変です。
しかし、この運用となるとそれだけ日常業務が増えるわけですから、さらに大変です。

一方で、こういった業務改善は、筆者のようなセキュリティ専門家はもちろんですが、中小企業診断士さん、社労士さん、税理士さんといった皆さんの多くが得意とする領域です。

こういった専門家の知見をうまく利用して、皆さんの組織の改善サイクルを回していただきたいと思います。

今回は、情報セキュリティ関連規程の運用についてお話しました。
次回もお楽しみに。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
筆者（ t.shimizu@egao-it.com ) にメールをお送りいただいてもOKです。