情報セキュリティチェックは本音で回答した方がいいのでは？

いろんな組織に共通して、それぞれの職場で取り扱う＂情報＂とは、とても大事な財産だと思います。

◎個人情報を扱ったり
◎外部とメールのやり取りをしたり
◎職場のパソコンを外に持ち出したり など

様々な場面で＂情報セキュリティ＂についての規約を設けていると思います。

◎情報管理者の許可をとって個人情報を扱ったり
◎情報の機密性に段階をつけてファイルに明記したり
◎USBフラッシュメモリを原則使えなくしたり など

規約でいろいろと対策が示されていると思います。

ところで、皆さんは規約を守れていますでしょうか？
ちなみに私は、全部は守れていません。
規約が非現実的なところは遵守しようにもそもそも無理です・・・。

情報のように、セキュリティ規約に反すると
◎自分達の組織の信用に関わる
◎取引先など、相手に不利益を与える恐れがある

このような案件に対しては、＂正直な現状＂を知る方が対策が打ちやすいのではないでしょうか？というお話です。

──────────
情報セキュリティチェック
──────────
そもそも規約があるのは、それだけ情報に価値があるからです。
情報が漏洩しないためには → セキュリティを強化する
セキュリティを強化すると → 仕事の効率を下げることもある

どちらかを取るにはどちらかを切り捨てなければいけない。トレードオフって言うやつですかね。

先日、職場で情報セキュリティに関する現状チェックがありました。
依頼元は、職場の本庁の情報セキュリティ担当課です。
組織の各課の情報セキュリティに対する規約の遵守状況を確認するものでした。

私は対策できてないところについては正直に回答しようとしたところ、「セキュリティチェックで＂✕(規約を守れていない)＂をつけると、後で本庁からうちの課に問合せが来るのでやめてくださいね」との注意がありました。

確かに言うこともわかるけど、これって感覚マヒってないですかね？

そもそも情報セキュリティの規約を守るのは当たり前ですが、守る人達は人間なので・・・人間とは間違える生き物で・・・

完璧な人間なんていないわけで・・・ってことは規約だって今のものが完璧とは限らないわけで・・・

なので、規約守れない人もいる。
そもそも守れない規約もある。 → だから定期的にチェックする。

定期的にチェックしても守れないなら
🤔規約が良くないのか？
🤔どの部分が良くないんだろ？
🤔ヒューマンエラーというよりシステムエラーなのか？

ってな感じで現状把握 → 反省 → 改善を繰り返して現状に則した規約になっていく。

そのために定期的なチェックがあるのではないでしょうか？

そこで自分を偽って回答してしまうと、摘み取るべきリスクの種がどこかに埋もれてしまって、本来あるべき組織の信用を失ったり、相手へ不利益を与えてしまったりなど自らそれらをしてしまっているのではないでしょうか？

仮に、誰かが情報セキュリティに違反して、組織の信用をなくした場合
「誠に遺憾です。」
「再発防止に努めます。」

という決まり文句をトップは言うのでしょうが、その後また偽りの情報セキュリティチェックを求めてしまっていては、その言葉こそ偽りになるのではないでしょうか？

なので、職員には本音で回答させないと、裏でコソコソと情報セキュリティ規約違反したり、取り返しがつかないことやらかしてから明るみに出たりすると思います。

結論、情報セキュリティなど、相手への信用に関わるチェックは、＂正直な現状＂を知る方が、
対策すべきことが見えてきて、改善すべきところがわかりやすくなり、信用も守れるのでは？と思いました。

どんなに利益を出している組織でも、信用はお金では買えないと思います。