Tyzoh.jp

　うちの社員証はビルの売店や食堂でキャッシュレス(給料天引き)でお買い物ができます．最近は自動販売機も Edy 対応なので「Undy(TM)カード」などを持ってると，ビル内の生活には現金が不要です．
　豊洲の「プロント」に寄ってから出社することが多いのですが，ここでもプロントの Edy カードを持ってると，現金が要らないだけでなく，コーヒーなどが 10% off なので節約にもなってます(ちなみに，12/9まではこのプロントカードで 20%off．って，私はプロントの回し者じゃないです^^;)．
　会社の帰りにコンビニに寄り道すると，今度はJR スイカの利用．かくして，一日中現金を使わないというのが当たり前になってきてます．どこかでチャージしなければならないわけですけどね．

　話を戻して社員証．これで買い物ができるということと，身分証明や入退出管理としてのカードの機能は，分離した方がうれしいかも，と思っています．そう思う一方で，何枚もカードを持つのはいやだなぁ，という思いも．

　ukon さんが社員証を作り直す，あるいは別なカードを作ることについて「その投資分は業績に響いてきます」と書いています．これは文脈から解釈すると，悪い意味で「響く」ということだと私は解釈しています．
　つまり「そんな無駄な出費」ということですね．

　そこで，最近，情報セキュリティの投資をプラスに転じられないか，ということが話題になっています．

　去る 11 月 18 日(土)に，株式会社ディーアイティーの創立 20 周年記念講演(テーマは「情報セキュリティガバナンス」)の招待に預かり，経産省の田辺課長補佐，IBM ビジネスコンサルティングサービスの CSO 大木栄ニ郎さん，dit の河野さんをモデラーとするパネルディスカッション(三菱総研の川口さんにも久々にお会いした，と言っても一ヶ月ぶり)などを聞いてきました．その中でも，しきりに情報セキュリティによる企業価値向上の話がとりあげられていました．

　「情報セキュリティガバナンス」については，12月9日に情報セキュリティガバナンス シンポジウムが開催されるので，興味のある方は参加されると良いと思います．

　さて，私も「攻める情報セキュリティ」というのを考えています．
　突然ですが，企業法務の役割には三つあると言われていますが，その三つが何か知っていますか？

　それは「予防法務」「臨床法務」「戦略法務」の三つだそうです．

「予防法務」は契約などに代表される，問題が起こらないようにするための法務機能．「臨床法務」はコトが起こってしまった後の裁判対応などの法務機能．そして最後の「戦略法務」は営業活動などに積極的に参画し，利益拡大に貢献するための法務機能だそうです．

　これをそのまま「情報セキュリティ」にも当てはめようよ，というのが私の持論です．語呂が悪いので「情報」という言葉ははずしてしまいますが，「予防セキュリティ」「臨床セキュリティ」「戦略セキュリティ」と呼んでいます．

「予防セキュリティ」は文字通り，事故を起こさないための予防策．「臨床セキュリティ」は事故が起こった後の対応策．そして「戦略セキュリティ」が利益を生むためのセキュリティ．

　経済産業省が推進する「情報セキュリティガバナンス」も，その一環として「報告書」を公開することを推奨していますが，これがその戦略セキュリティの一つです．情報セキュリティを実施することで企業価値を高める．10 年前に「環境」がやろうとしていたことと同じです．今や CSR 報告書の中で環境への取り組みを取り上げるのは当たり前になっています．同じ考え方を情報セキュリティでもやりましょう，ということです．

　情報セキュリティの対策は今までは利益を生まないコストとしか捉えられていなかったものを，利益を上げるための「道具」としてセキュリティ対策を実施するのです．そのためには，企業がトップダウンで一丸となって，情報セキュリティに取り組むこと，すなわち「情報セキュリティガバナンス」が重要な意味を持つことになります．

　そう，情報セキュリティガバナンスというのは，情報セキュリティ対策をコストじゃなくて企業の価値に変える「攻め」なんです．

追伸：三菱総研の川口さんがブログを書いていると仰っていたので覗いてみました．トラックバックできないんですね，残念．．．orz
本日付で，川口さんの新しい記事が出てました．

追伸２：まただらだらと書いて，長くなってしまいました．すみません．