2019年06月12日に初出の投稿

Last modified: 2019-06-12

ISMS と言えば、先月の現地審査で終盤になって審査員の方々(今回は先方の審査員の研修も兼ねていたため3名の来訪だった)とアクセス制御の話をしていたときに、TFA や生体認証のような認証方法についても、導入の可否なり運用方法について何か方針やルールのカスタマイズが必要だろうと話していたのだが、僕は昔から「生体認証は個人として勝手に使うのはいいが、企業が他の方法なしに導入して社員に生体情報を要求するのは、端的に言って憲法違反の違法行為である」と主張してきたので、それをそのまま言ったりはしないが、「生体認証のルールを決めるにあたっては、従業員の中でも拒否する人が出てくると思うので、取り扱いは慎重にしたい」と話したところ、なぜか失笑されてしまったのであった。そのときは監査の途中だったので詳しくは話をしなかったのだが、あれはどういう意味合いなのだろうか。

もちろん、情報資産を安全に運用することが ISMS の目的であるからには、一定の範囲で方針に沿った施策を従業員に要求することはあろう。しかし、そういう要求が「情報セキュリティ」という一つの指標だけで会社や社会でいくらでも通用するかと言えば、そんなことはない。だいたい、情報セキュリティ対策の多くが社内で軽視されたり、実効性がなくなったりするのは、もちろん経営者や従業員が情報セキュリティの意義を正しく理解せずに舐めているというせいもあるが、それだけではなく情報セキュリティのマネジメント担当者こそが情報セキュリティマネジメントシステムの適正な構築ができておらず、社内システムの奇怪な仕様にしがみつくロートル社員みたいに形骸化した手順に固執したり、数字や観念だけに訴えて現実の業務内容との整合性を考えようとせずにルールを実装しようとすることにも原因はあろう。そして、先に述べたように、場合によっては情報セキュリティ対策と称するものの中には従業員のプライバシーなり個人としての権利を侵害するようなものもありうる。そもそも、アメリカで殆どこの手のマネジメントシステムが導入されていないのは(それどころか公的機関ですら独自の規格を作っていたりする)、自分たちの業務環境や KPI と無関係に策定された規格に社員を従わせると、生産性が低下するとかいう以前に、彼らの人としての自由を侵害することに陥りやすいのを知っているからだろう。

無論、だからといってリバタリアンのような連中と一緒になんでもかんでもルールを排除すればハッピーになれるわけでもない。そもそも規制や法律をどんどん無くしていけば単なる弱肉強食の世界に後退し、リバタリアンなどというヘタレどもは真っ先に殺されて資産を奪われるだけだ(僕は、一部のリバタリアンというのは、そういう行く末を見越したうえでの厭世観なりシニシズムを抱えていると思う)。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook