セキュリティは企業にとって欠かせない対策になり、全ての企業で対策に力を入れていると言っても過言ではない。しかし、万全な対策が取れている企業はほんの一握りで失敗事例も数多い。本連載では、「失敗から学ぶ情報セキュリティガバナンス」と題して、失敗事例を軸にセキュリティ対策について論じていく。 ［失敗例］ISMS認証・プライバシーマーク付与認定取得後の運用が出来ない 　小売関連企業の情報処理を請け負っているB社が1年前ISMS 認証を取得したものの、維持審査を受けるか否か躊躇している。「維持審査に対応出来ない。」というのである。同社では、認証取得後、事実上、推進体制を解散し、認証取得プロジェクトを担当した社員も他の業務に忙しく、維持審査に必要な1 年間の活動記録は何もないというのである。 　B社だけではなく、他のISMS 認証やプライバシーマーク付与認定を取得した事業者においても、「そもそも事件・事故もなく、危険性も特に感じられないなかで、改善活動を強要されること自体理解できない。」といった声がある。結局、審査登録機関より維持審査の連絡を受けてから一時的に改善活動の記録を作成し、何とかしのぐ企業もあるが、継続的改善活動の負担に認証取得そのものの維持を見直す企業も出てきている。ちなみにISMS では認証取得後1年毎の維持審査と3 年毎の更新審査が、プライバシーマークでは2 年毎の更新審査が必要である。 ローブライトコンサルティング株式会社代表取締役　加藤道明氏 ［着眼点］目的は安心できる事業運営 　前号では、失敗しないコンサルタントの選び方について説明した。コンサルタントの力量・役割分担を問わなければ、3 年前に比べ、その最低料金は10 分の1 以下となっている。誰もが気軽にISMS 認証やプライバシーマーク付与認定にチャレンジできるようになった反面、必要事項記入済みの書類一式を安く購入し、理解不足のままで運よく取得してしまうケースが増えているようだ。 　筆者自身、コンサルティングの商談を頂いた際、説明する間もなく、「難しい話は聞きたくない。いくらでプライバシーマークが取得できるのか?」と聞かれたこともある。そもそも、ISMS やプライバシーマークが注目を集めた背景は何だったのか。筆者自身の経験では、以前、グループ企業を持つ経営者より相談を受け、それら企業を管理するための手段として、これら制度の利用を提案、後日その趣旨で予算承認されたということがあった。このような意図で、認証を推進した企業も多いであろう。 　この場合、「目的は安心できる事業の運営であり、経営リスク管理」である。あくまでも「認証取得は手段」でしかない。 　第2回は、経営リスク管理がうまくいっている企業の事例を基に、改善活動に欠かせない3 つの要素をご紹介させて頂く。キーワードは「継続的投資」、「リスクアセスメント」、そして「専門家の助言」である。 ［原因1］人・物・金が伴わない運用 　過去1 年、月平均約50件もの個人情報の事故に関する記事が一部ニュースによって取り上げられている。個人情報を流出した企業は、謝罪を強いられ、損害を賠償するだけでなく改善策や名誉挽回にも多額の出費が必要となる。最近では、事故を起こした企業に対し当局より個人情報保護法に基づく勧告が出るに至った。 　 　しかし、今、何故、ここまで責任が追求されるのか。ステークホルダー（利害関係者）と企業の関係、いわゆる、コーポレートガバナンス（企業統治）のあり方に変化が生じてきたのが、その原因のようだ。これまでの企業は、顧客、株主、従業員（労働組合）などの経済的ステークホルダーだけ意識していればよかった。しかし、今では、直接的であれ、間接的であれ、「消費者団体、地域住民、NPO、メディアなどの社会的ステークホルダーも意識せざるを得ない状況」に至っている。数々の事件が、それを物語っている。コーポレートガバナンスでは、経営者はステークホルダーによって統治されることになり、経営者は内部統制の義務を負う。 　経営者は管理監督責任を具体的に示すことが必要となる。「人・物・金の伴わない運用で管理監督責任を説明することは難しい。」事業の性質や規模に見合った「継続的投資」をお奨めしたい。 ［原因2］動機なき改善 　次に改善活動の動機である。ISMSやプライバシーマークでは、リスクを予め把握し改善活動を行っていかなければならない。これは、問題が起きていない状況下での改善活動を意味する。これが最大の難問である。品質管理（QMS）のような、問題を定量化し低減目標を設定・改善して行く「目標必達システムでは、うまく行かない。」「今年は、顧客情報漏えい事故10％ 削減、ルール違反20％ 削減」などといった活動は馴染まないからである。お奨めは、改善活動の前にリスクを把握する「リスク極小化システムで捕らえることである。」リスク極小化システムの最大の特徴は、「リスクアセスメントの結果が改善活動の動機になる」ことである。できれば、リスクアセスメントを従業員全員参加型で実施させたい。 　どんなに高価なセキュリティシステムを導入しても、それを取り扱う従業員がリスクを理解していなければ、結局、新たなリスクが発生してしまう。リスクアセスメントを本業の手順に組み込む、キャリアパスに組み込むなど、従業員のモチベーションが向上するような環境づくりをお奨めしたい。 ［原因3］危険性の変化が把握できず 　最後にもう1 つ。適切な投資判断やリスクアセスメントを行うためには、関連法規制、ネットワーク、プログラミング、そしてセキュリティなどの専門知識が必要となる。かつ、それらは最新の知識でなければならない。最新の専門知識が伴わない運用では、危険性の変化が把握できず、改善活動に繋がらない。 　とは言え、最新の専門知識を得ることは、そう簡単なことではない。また、得たとしても理解が難しい。厄介だ。「専門家の助言は、これを解決する。」専門家の助言が得られる環境を作ることをお奨めする。日本では外部に委託する方が合理的かも知れない。外部に委託した場合、自社以外での経験はもちろんのこと、社内政治的な力と関係のない客観的意見なども期待できる。 「弁理士会」の役割と、その活動状況 ――日本弁理士会として、個々の弁理士に対して担う役割について教えてください。 2007年６月現在7,200名ほどいる弁理士全員が日本弁理士会に所属し、それぞれが特許事務所（注３）をはじめ一般企業、大学、研究所などに所属しています。日本弁理士会は、個々の弁理士の指導、連絡、監督という統括の役目を法律的に担っています。同時に、弁理士個人では実現が困難なことを可能にする役目も有しています。日本弁理士会には研修所があり、必修の倫理研修を５年ごとに実施しています。それ以外は任意研修ではありますが、100名以上の弁理士がボランティアで運営委員をしています。新人研修、新人の継続的な研修、会員のスポット的な研修、または短期の継続的な研修など、500回以上におよぶ研修を実施しています。 かねてから議論されていた弁理士法（注４）の改正案は、６月12日に衆議院を通過して、2008年４月の施行に向けて現在鋭意準備中です。主な改正内容は、弁理士自身の新しい研修制度の導入です。まず１つ目は、弁理士試験を通過した後に基礎的な実務修習を３ヶ月ほど受けてもらい、弁理士登録を行うという制度への変更です。２つ目は、実際に登録をして弁理士になった後、全員が定期的に研修を受けるというものです。研修内容は、弁理士の倫理に関する問題、知的財産の法律改正に関する問題、そして弁理士のレベルアップを図るもので、年間10〜15時間を想定しています。 弁理士の中には、自分たちにとって負荷のかかる法律を、敢えて自ら提案することに対する疑問の声もあります。ただし、長期的に見れば弁理士にとって必ず有益な結果をもたらすと思っています。弁理士のレベルアップにより、クライアント、さらには日本社会にとっての利益にもつながります。その意味で、プロフェッショナルとしての弁理士のレベルをますます上げることが重要です。さらに今年は戦略として、弁理士の本来の業務のさらなるレベルアップを図り、併せて関連業務は広がりを持たせようとして、垂直展開と水平展開を掲げています。2005年には、秋葉原に東京分室を開設し、知財ビジネスアカデミーという研修制度を新たに立ち上げました。既存の研修所とは大きく異なり、外部の協力も得て、少数グループで集中的に行う研修です。知財ビジネスアカデミーでは、水平展開の部分を担っていて、知財戦略やマーケティング、そしてコンサルティング業務などの研修を実施しています。さらに授業法というユニークな研修があり、弁理士が大学や小・中学校に行った場合の授業の進め方についても学習します。クラスは最大25名ほどで、討論形式の授業です。全部で15〜20コースあり、１つのユニットが、１日３時間で計６回ほど、大学では２単位ほどの授業となります。大半が夜または土日に開講されるため、勉強する意欲の高い方々が来ています。そうした点でも、弁理士は平均的に見て、勉強熱心な集団です。 その背景としては、社会の変化が激しくなり、特許法や商標法、著作権などの業務に関係する法律がほぼ毎年改正され、弁理士もそれに対応することが挙げられます。時代の要請に応えられるように、弁理士個々人の自己研鑚が求められています。 ――日本弁理士会として、一般国民に対して担う役割と、具体的な活動内容について教えてください。 日本社会は、知的財産の世界を巧く動かし、先導することを弁理士に期待しています。それに応えるために、日本弁理士会は一般社会に対する啓発活動、相談事等を引き受けられる体制づくり、そして知的財産の普及活動を実施しています。 小・中学校に向けての知的財産の教育にも取り組んでいます。例えば小学校の工作においても、自分だけのオリジナリティを発揮して新しいものを創作することが一番大切です。他人の真似をすることなく、その人の創作を尊重するという気持ちを持たないといけません。このような知的財産や権利というのは、教科書を用いて教えることが難しく、弁理士がお手伝いします。 日本弁理士会の組織の中に、知的財産支援センターや地域知財活動本部があり、全国の各支部と分担して回ります。また、全国を回るキャラバン隊（注５）も各地域で啓発活動をしています。内容は幅広く、セミナーや相談会の開催をはじめ、時には演劇にまで及びます。劇のテーマは商標と特許で、それぞれ事例を挙げて寸劇仕立てで弁理士が演技します。実際にトラブルに巻き込まれた状況を再現して一般の方々にご理解いただき、知財の重要性を認識していただくことを目的としています。また、劇の合間に質問を設けて、舞台の進行とともに、観客の方々に向けて「知財の面で見るとどのような展開が最も望ましいですか」という問いかけをして、双方向性も持たせています。2006年は全国で延べ1,200名の弁理士が計500回以上に渡って活動し、キャラバン隊として大ボランティア活動に励みました。昨年、日本全国で９つの支部が開設されて、各支部が地元密着型で活動しています。各地域で分担して活動することが原則ですが、北海道や東北、四国など人手の足りない支部に対しては、本部からも応援で出向きます。 また、首都圏と地方の間には、情報の格差があり、知的財産に対する理解度にも差があります。そうした意味で、キャラバン隊を通して、地域の方々に知財への関心を深めていただき、地域の村おこし、町おこしに取り入れていただきたいと思います。最近は、地域ブランド（注６）を登録できるようになり、各地の特産品の商標登録をして、町おこし、村おこしに活かすことが盛んになってきました。 ――クライアントと個々の弁理士の間でトラブルが発生した場合、日本弁理士会としてどのように調整するのでしょうか。 ここ５年間で国の知財戦略が大きく変わってきて、同時に、全てを透明かつ公平に誰もが利用できる方向へ社会も変化しています。全ての弁理士に確実な対応をとるように指導していますが、中にはクライアントへの説明が不足していたり、最初の契約が不完全であったために、トラブル発生につながるケースもありました。日本弁理士会として個々の弁理士に対する指導、監督をしますので、クライアントの方々がお困りの時は、当会まで何でも言っていただきたいと思います。 日本弁理士会として最近特に指導しているのは、弁理士への依頼事項は法律的な契約であるため、受任する際は口頭だけで済ませず、料金を含めた内容を明確にして、必ず書面で受任契約を結ぶことです。また、弁理士の取り扱う業務内容は全て、クライアントにとっての最重要シークレットですので、取り扱いについても厳格にするよう指導しています。こうした事前の意志疎通を図り、その後のトラブルを回避できるように導いていきたいと考えています。 ――利用者が個々の依頼内容に適した弁理士を探す方法はありますか。 日本弁理士会ホームページに掲載の「弁理士ナビ」（注７）という検索システムがあります。どなたでも全国の弁理士を無料で検索できます。検索条件には、地域、専門分野、経験年数、出張範囲、また対応できる業種などがあります。当検索システムはご好評をいただいており、今後もさらに使い勝手を向上するよう工夫をしていきます。今回の弁理士法改正の一部に、弁理士の情報公開の徹底があり、今後は「弁理士ナビ」の必須の掲載内容の基準を上げて、多くの弁理士が詳細な情報を掲載するようにバージョンアップを図ります。