ITベンダーの部長職から転職して『ユーザ側のシステム部長』になってしまった物語（７）ー　委員活動への参加ー

予算だ、事業計画だ、のあとに訪れてきたのが、委員会活動である。J-SOX委員会、機密管理委員会、災害対策委員会、どれもSIerにいたときにはかかわることがなかったものである。J-SOXについてどこまで理解しているかは別として、ERPを入れると内部統制がキチンと出来ます、とか、セキュリティについては、ERPのユーザ権限管理は、こうなっています、とか、システムのDR対策はこのような方法があります、とか、ひと通り、自分が関係しているところについては、前職で提案段階やプロジェクト開始後にお客様に説明してきた。しかし、その内容は、ユーザ企業から見るとほんの一部であり、全く会社全体の取り組みの姿が見えていたわけではない。

システム部の部長は、機密管理委員会の副委員長となる規程となっておりますので、よろしくお願いします、と言われ、「そうなってんだ」と心のつぶやき、経験があるとか／ないとか、やりたいとか／やりたくないとか、わかるとか／わからないとか、など、本人の意思は関係ないのだ。機密と言えば、セキュリティなので、SIerの私は全て分かっている体の扱いである。だが、私はセキュリティビジネスの担当ではないし、前職で会社のセキュリティ活動に加わったこともない、セキュリティ活動を推進するところが展開する教育を受けてきた立場である。

委員会活動の議論の内容と言えば、昨年度計画の振り返り、繰り越した課題、その対策についてである。いくら経験がないとは言え、話していることは分かるし、前職ではすでに取り組み済みの内容もある。しかし、今期の新たな計画の議論となると話は別で、何に取り組むかとなると、そもそも機密管理の活動全体の知識が足りないので、意見を問われても経験に裏付けされたことが言えない、これは、困った、「これは、まずい、ボロが出る前に、本を手に入れて勉強しなければ」と。

次にJ-SOX委員会である、J-SOXについては、2006年6月に金融商品取引法が成立した際に規定されたものであるが、その当時、ITコーディネーターの勉強会に参加して勉強したことがあるものの、やはり、SIerとしては、具体的にかかわることが出来なかった領域である。つまり、何も分からない状態でいきなりの委員会への参加で、こちらもIT部門としての繰り越し課題があり、状況について問われたが、何も分からないので、持越しとさせていただいた。まったく役に立っていない、IT部門の責任者としての力量のなさを痛感することとなった。

災害対策委員会にも呼ばれた。こちらは、3.11の東日本大震災を受けて、会社として取り組み始めた段階で、保険会社のコンサルの方の提案をベースに検討されていた。ITは、基本的にネットワークがつながらないと話にならないというのは当たり前のことだが、他の部門が検討している内容にとても興味を惹かれた。海に近い工場では、南海トラフ発生時の津波の想定が30cmとのことで、土嚢で対応出来そうだが、いくつ土嚢を用意すれば良いのか、自家発電では工場を何時間ぐらい運営出来るのか、サプライヤが被害に遭って部品調達出来ない場合の代替のサプライヤを一覧化しておく必要はないか、また、そのサプライヤを自動車メーカーのBCPのシステムに登録しておく必要がいつ、誰がやるのかとか、帰宅後に地震等が発生した場合の対策本部の立上手順や、管理職ですぐに本社に出社できる人は誰かなど、各部門で連携しないと成立しない計画を立案していくのがとても面白かった。最後には、作成された計画に沿って、実地訓練が行われた。Sierにいた時には、ビル火災が発生し、決められた順番で取りまとめ役について非常階段を降りるぐらいの訓練しかしたことがなかったので、一般の企業の災害対策は重層的で多面的だなと思った。

災害対策委員会は、1年で終了したが、J-SOX、機密管理委員会は、継続的な活動で、在職期間中、セルフディベロップメント、会社の仕事を通じて多くのことを学んだ。特にJ-SOXについては、システム管理基準追補版（財務報告にかかわるIT統制ガイダンス）平成19年3月30日経済産業省発行の資料を読み込み、IT統制の何たるかを把握し、分かった風なことを語ることが出来るようになった。ユーザ企業に来なかったら、こんなにIT統制について理解したり、実践したりすることはなかっただろうと思う。機密管理に関しては、安全確保支援士の教材で改めてセキュリティの勉強を行った。システム部門の責任者として高いレベルでやっていこうとすると幅広く、深い知識と経験が必要で、ひよっこの私は、勉強、勉強であった。
では、また。