PCネットワークの管理活用を考える会/クライアント管理分科会,関西座長の柳原です。
平成17年度の大会が東京と大阪にて行われました。沢山の参加者に恵まれ、分科会報告やパネルディスカッションに参加した私は、いつにもなくリラックスしてお話することができたように思います。また懇親会では、さらに突っ込んだ意見交換もあり、とても有意義な一日になりました。こうした場所を提供してくださっているクオリティ株式会社に感謝したいと思います。
前年度における分科会活動に対する私なりのコメントは、前回のコラムでお話しました。すなわち、兎にも角にも「情報漏洩対策」と「個人情報保護対策」の2点が主題だったわけです。これらが企業にとって大きな問題であることが広く認知され、組織が具体的な対策に動き始めるための、ポリシー、人員、予算などの検討が本格的に始まった1年であったといえるでしょう。
では、これから何が起こるでしょうか。今回の予想は外れるのも覚悟で、すこし考えてみたいと思います。
分科会活動の中で私たちは「情報漏洩対策」や「個人情報保護対策」を議論してきたわけですが、そこで必ず出てくる話題があります。それは「技術だけでは解決しようがない問題がある」ということです。
もちろん認証の仕組みや、クライアントPCの使用状況監視,社内文書データに対する流出防止策など、純粋なIT技術の適用が有効な対策になるものもあります。しかし常に指摘されるのは、正規のアクセス権を持った従業員が持ち出す情報、モバイルPCの盗難・紛失、来客を通じて漏れる情報です。
もしその情報漏洩が多数の顧客に影響するものであれば、広報部門による迅速な顧客対応が必要ですし、法的な対応も求められるでしょう。しかしこうした対応作業は、情報システム部門に任せるわけにはいきません。あくまでも,広報や法務部門の仕事です。
情報システム部門にできることは、あくまでも技術面、啓蒙・教育面からの事前対策です。いったん事件が起こってしまうと、できることはせいぜい情報漏洩の証拠探しぐらいです。技術的な防止策を検討することはできるでしょうが、起こってしまった事件への対応はほとんど何もできません。
情報漏洩問題のこうした側面から、米国では「セキュリティ対策は、セキュリティ責任者が情報システム部門の業務内容をチェックして行うものであって、IT部門任せではいけない」という考え方が経営者に広がっています。つまり、セキュリティ対策は情報システム部門の一つの仕事である、という認識から、全社的な仕事であって、情報システム部門はその一部の仕事を担う部署なのだという認識に変わりつつあるわけです。
まだ一般的な言葉ではないかもしれませんが、CSO(chief security officer:最高セキュリティ責任者/セキュリティ担当役員)も続々と生まれています。いずれは,CIO(chief information officer:最高情報責任者/IT担当役員)と並んで、情報を重視する企業の中での必須ポストとなっていくでしょう。
ただし米国内でも、CSOの位置づけについてはまだ多くの議論があります。そもそも、CSOとCIOはどちらが上でどちらが下なのか、または両者ともCEOの直属なのか、それともより独立性の高い地位とするのか、といったところで意見が分かれています。
情報化投資から確実な利益・効果を挙げていくためには、経営者自身が情報化戦略を経営戦略の重要な1項目として位置づける必要がある、という観点から、多くの日本企業において役員としてのCIOの設置が進んだのは1990年代でした、
ところがその現実はどうなのでしょう。少なくとも私が見聞きしている企業では、実際にCIOがいたとしても、実質的な権限を与えられていない「窓際役員」であったり、ひどいところでは、ITの知識をほとんど持たない「姥捨て山役員」のようなところもあります。これは極端な例としても、とにかくその企業が「情報化”も”重視しています」と内外に表明するための「象徴」として、CIOが設置されていることが多いのです。あなたの会社ではいかがでしょうか?
CIOですらまともな権限を持っていない会社で、CSOなんか設置されるわけもないし、設置されたとしてもCIOと同じように名前だけだろう、と思いますか?確かに現状では、日本の多くの企業ではCIOを有効に機能させることに失敗しているようです、CSOも同じ運命をたどると予想してしまっても無理はありません。
しかし筆者は、CIO以上に重要なポストとしてCSOは注目され、設置が検討されていくと思います。同時にCIOには無かった権力がそこに生まれると予想しています。その理由はいくつかあります。
まず、CIOの仕事はITを全社的経営戦略に組み込むことでした。これは内向きの仕事とも言えるでしょう。おまけに他の役員の立場から見れば、CIOの地位が弱いほうが自部門に特化した(都合の良い)ITの導入ができます。もしCIOの無能であれば、自部門だけの経営戦略にITを位置づければ済むことなので、特に困らないのです。
これに対してCSOの仕事は広報や法務を巻き込むため、外向きの側面を持っています。外は顧客と株主ですから、これに逆らうことは困難です。おまけに社内で権力を振るうことの多い人事部門なども巻き込むことになるので、弱い立場にはなり得ないのです。
もちろん、役員会の中にこのような強力な地位を新たに作ることに対して、反対論も出るでしょう。しかし世間で繰り返される情報漏洩などの事件は、こうした反対論への対抗を後押ししています。
もう一つ、重要なキーワードが注目されています。それは「コーポレート・ガバナンス」です。その中でも、IT投資の失敗、個人情報漏洩、オンラインシステムのトラブルによる社会的混乱などを防ぐことは経営者の重要な仕事になっています。これを担当する役員が生まれるのは時間の問題ですし、それがCSOになっていくでしょう。CIOはCSOが統括する組織の一部門になってもおかしくはありません。
もし皆さんが現在、CIOの統括のもとで情報システムやセキュリティを担当しておられるのでしたら、近い将来、こうした統括組織の変更が予想されることは、頭の片隅に置いておきましょう。
さて、CSOの元で情報システムが統括されるようになると、私たち情報システム技術者の仕事はどう変わるでしょうか。次にこの問題を考えてみます。
CSOが統括する業務は広範囲にわたります。物理的なセキュリティは、総務や庶務部門に関係しますし、従業員の情報漏洩に対するモラル向上は人事部が関係します。もちろん、情報システムのセキュリティも統括します。万一、個人情報漏洩などの事件が発生した場合は、広報や法務部門と連携して対処しなければなりません。
もし、従来の情報システム運用管理部門が、こうしたCSOの元で統括されることになれば、当然のことながら、情報システム技術者も、総務・庶務・人事・広報・法務などの部門と連携していかなければなりません。すなわち、今までは付き合いも無かったような他部門との”コミュニケーション”が必要になるわけです。
ところが、情報システム系の技術者には、技術屋的言語障害に陥っている人が少なくありません。情報システムの設計書やプログラムはすらすら書けても、それが何のために必要なのかを説明しようとすると、とたんに言葉が抽象的になったり要領が悪い、といった傾向があります。
そもそも、高校や大学でコミュニケーションそのものを教えている所はほとんどありませんし、就職してからも、コンピュータと向き合う時間の長い情報システム系技術者には、ありがちな症状です。もし、自分を振り返ってみて、そうした傾向があるのでしたら、良いテキストをご紹介しましょう。
この本は1936年の初版以来の超ロングセラーであり、既に読まれた方も多いかもしれません。邦訳ですら430万部を超えているそうですから、あなたのご両親が読んでご実家の書棚にあるかもしれません。
内容そのものは、人どうしが意思疎通をしていく上で、至極当たり前の事が書かれているのですが、案外、その当たり前を実行することが難しいのです。まだお読みになっていない方は、是非手に取ってみることをお勧めします。
パーソナルコンピュータとの付き合いは1979年のNEC社製PC-8001から始まっています。
1985年から当時はオフコンと呼ばれていたIBM社のシステム36を使って、機械製造メーカでの社内用生産管理システムの構築に関わりました。言語はRPGでした。
1990年ごろから社内にパソコン通信やLANを導入してきました。この頃からネットワーク上でのコミュニケーションに関わっており、1993年以降はインターネットとWindows NTによる社内業務システムの開発、運用を行ってきました。
1996年からはインターネット上でのコミュニティであるNT-Committee2に参加し、全国各地で勉強会を開催しています。
http://www.hidebohz.com/Meeting/
1997年からはIDGジャパンのWindows NT World誌に「システム管理者の眠れない夜」というコラムの連載を始めました。連載は既に7年目に突入し、誌名は「Windows Server World」に変わっていますが、読者の皆さんに支えられて今でも毎月、締め切りに追われる日々が続いています。
連載から生まれたメーリングリストもあります。ご参加はこちら。お気軽にどうぞ。
Copyright 2005 Hideki Yanagihara All Right Reserved
