2006年9月30日土曜日

秋のイベント

今年も最後の四半期に入ろうとしていますね。食欲の秋、芸術の秋、スポーツの秋、そして様々なイベントの季節でもあります。
CISSPインストラクターの長谷川さんのBlogの情報セキュリティ関連のイベントが紹介されていましたので、早速トラックバックを・・・・

11月が近づいてきました。ということはISACA国際本部から次期年会費のInvoiceが送られてくるということです。年会費の支払いとともに今年のCPEの申請が必要です。年最低20CPE、3年間合計で120CPE、この数字をクリアできそうですか。
私は、CISAとCISM双方を保持しています。また、公認情報セキュリティ監査人補(CAIS)、ISMS審査員補の認定も受けているので、それぞれにポイントを累積していく必要があります。年末は、そのポイントの帳尻合わせに気を使います。
紹介されているイベント、CPEの対象となるかは各資格の認定団体の規定によりますが、CISA/CISMではいずれも申請可能です。しかし、企業主催のセミナーは年間10CPEまでと上限がありますので、気をつけて下さい。
全部もセミナーに参加するのは無理ですが、仕事に差し支えのない範囲で参加しようと思います。まあ、立場上ITGI Japan設立記念フォーラムは必須かな!
情報セキュリティプロフェッショナルをめざそう!
公認情報システム監査人継続教育方針
日本語CISM継続教育方針書
その他、ISACAのや各種団体の月例会や定例セミナーなどCPEの対象となりえるイベント、積極的に参加してポイントを稼いでいきましょう。
この時期、ISACAの月例会の参加者が増えてきます。
10月3日の英語セミナー、通訳はないのにも関わらず170名の申込みがありました。流石、国際的に認知された資格認定制度、英語に堪能な会員の多さに感心しております。
皆様、イベント会場でお会いできますことを!

2006年9月24日日曜日

この度、日本ITガバナンス協会(ITGI Japan)が設立されることになりました。その設立記念フォーラムが開催されます。

ITGI Japanは、シカゴに本部のあるIT Governance Institute (ITGI)の日本における支部のような性格ととして設立されます。ISACA 東京支部と国際本部との関係と同じと理解して良いと思います。ISACA国際本部がCISAやCISMの認定やプロモーション、各種文献の出版、システム監査、ITガバナンスなど情報セキュリティなど情報システムのコントロールに関連する活動を行っています。日本国内おいては東京/大阪/名古屋の各支部が支部会員向けのサービスや情報システムのコントロールの国内向け啓発活動などを行っています。
IT Governance Institute
ITGI JapanもシカゴのITGI本部の活動趣旨に沿い、国内におけるITガバナンスの啓発/普及/研究や関係者の交流などの活動を行います。
ITGIの最も重要な活動の一つはCOBITの開発と普及促進活動があります。日本においても、ISACA国内3支部がCOBITの普及促進活動を行ってきましたが、今後はITGI Japanと連携を取りながら、COBITの更なる普及促進活動に当たることになります。
ITGIは、元々はInformation System Audit and Control Foundation(ISACF、情報システムコントロール財団)であり、ISACAとは緊密な連携をとってきた組織でした。ITGIへの組織変更後もISACAとの関係は維持されています。そのITGIの日本における支部、拠点としてITGI Japanが設立されます。ISACA国内3支部もITGI Japan設立を支援しています。
そこで、ITGI Japan設立記念フォーラムの開催を協賛することとなりました。
日本ITガバナンス設立記念フォーラム
有料でありますが、早期申込みの割引、後援団体会員向け割引もあります。出来るだけ多くの皆様のご参加を頂ければ幸いです。私も職場の了解、経費支出が認められば参加いたしたいと思います。当日は、会場でご挨拶、お声がけをいただければいいですね。
では!

2006年9月20日水曜日

吉村昭著 「戦艦武蔵」から

作家の吉村昭氏がお亡くなりになりました。最後は、自ら点滴のチューブを引き抜き、尊厳死を選択されたと報道されています(医学関係者によると、それだけで直ちに死に至ることは考えられない。偶然ではとのことですが)。
私は、吉村氏の熱烈な読者という訳ではありませんは、氏の著作の何冊は読んでいます。緻密な取材に裏付けられた事実に基づく小説で、引き込まれるものがります。氏の死の報道のあとに「戦艦武蔵」を読んでみました。

「戦艦武蔵」は、吉村氏が初めて大きな文学賞を受賞し、作家としての大成のきっかけとなった作品です。読んでみて、情報セキュリティ上参考になることがありました。
�� 情報管理
現在では明らかな事実ですが、戦艦武蔵の建造は、その僚艦の大和ともに厳重に情報管理がなされ、極秘のうちに建造は進められました。両艦を攻撃し、撃沈させた米軍もその詳細については、戦後GHQによる海軍関係者への尋問や調査まで判らなかったとのことです。これは、その情報管理が徹底し、目的を達成したことの証しでしょう。
私の亡父は、昭和2年生まれ、終戦時は航空関係の工業専門学校の学生でしたが、たしか戦艦大和、武蔵については戦後に知ったと言っていた記憶があります。国外のみならず、国内に対しても徹底した情報秘匿が行われていたようです。
�� 建艦管理
戦艦武蔵は三菱重工長崎造船所で建造されました。建艦にあたっての管理は徹底され、武蔵の全体像/詳細を知っているのは、造船所の幹部と海軍からの監督官など数人で、後は設計に任る技師から作業員に至るまで、自分の担当/持ち場に関わる情報しか知らされていなかったとのことです。極端な話、武蔵の全長が何メートルかさせ、知っているの造船所幹部など数人しかいなかったそうです。
�� 設計図
設計図は、全部で31,308枚に及び、その全てが厳重に管理されていました。設計図は、その重要性により軍機、軍極秘、極秘、秘と分類され、軍機の設計図は、金庫で厳重管理、それ以下のは保管用の専用の部屋を設け、専任の担当者を任命、部屋への出入りや閲覧を徹底して管理を行ったようです。
ふーん、成る程なと思ったことの一部ですが、情報の秘匿ということでは、成功であったいうことですね。現在では、あれほどの巨大な建造物を米国の偵察衛星の監視を逃れて建造することは不可能に近いのでしょうが、設計図の管理など、参考になる事例ではないでしょうか。
追記
吉村氏の「海の史劇」、「ポーツマスの旗」などはお奨めです。

2006年9月18日月曜日

雇用者(経営者)の責任範囲? 飲酒運転事件の報道から考えること

福岡での、幼い三人の尊いが失われていらい、連日飲酒運転事故が報道されています。その発端は、冒頭に触れた福岡市役所職員の起こした事故です。福岡市長が報道メディアの前で謝罪を繰り返し、活字メディアには謝罪のコメントが掲載されていました。それを見、読みながら市長(雇用者、経営者、組織の長)は、職員(被雇用者、従業員、社員、組織の構成員)の不祥事に対して、どこまで責任を担うべきか、範囲はどこまでか考え込んでしまいました。

(私は、今回の福岡市役所の元職員の飲酒運転事故を庇う気は全くありません。現行の法制度の中で可能な限りの最も重い断罪が下されるべきとおもいます。また、危険運転致死罪を逃れるための轢き逃げが増加しているのが事実ならば、関連法の改正が急務と思っています。また、運転をすることを予測可能であるのにアルコールを提供する側の責任も重大であろうと思います。私の考えを前提として明確にしていおきます)

今回の事故は、休日に発生しました。容疑者は飲酒し一旦帰宅し、父親の乗用車を運転、スナックに行き、酩酊状態になあるほど飲酒、この悲惨で許しがたい事故を起こしたと報道されています。言語道断であり、犯人の年齢や過去に犯罪履歴はないこと、それまでの勤務態度が真面目であったことを考慮しても、厳しい判決は当然であろうと思います。
一連の報道で気になったこと申し上げます前にキーワードを提示します。
① 休日であったこと
② 自宅の車を運転していたこと
福岡市長は元職員の行為に対して謝罪の意を表明していました。しかし、市職員とは言え、休日の自宅の車を運転していて起こした事故に市長(雇用者、経営者)の責任はあるのでしょうか。市長の謝罪は絶対的に必要なのでしょうか。
市長は、選挙において民意により選ばれます。つまり政治家であるので、法的な責任の有無にとは別に、市民選挙民有権者に対する政治的判断もあるので、職員の不祥事、事故に対して謝罪を行うとの選択もあろうかとおもいます。このこと自体を良い悪いを言い募る気はありません。しかし、例えば市長の明白な謝罪表明が無くとも法的(私見では同義的にも)な責任が存在しない以上、責められる筋合いではないと思います。
もし、事故が公用車(社有者)を運転していたとか、車での通勤が認められ、勤務の帰りに起きたのであれば、市長(雇用者)の責任は問われてしかるべきとおもいます。
職員(従業員)の不祥事にどこまで雇用者が責任をとるべきか?
情報セキュリティ対策上も悩ましい問題であろうと思います。金曜日のよるに業務用PCを持ったまま直帰、土日は自宅で保管していたが盗難にあった。PC内には、個人情報が保存されており、そこのこと自体は職務上認めれていた・・・  個人情報の保管されたPCを自宅に持ち帰った行為が許されていた以上、雇用者の責任は免れないということでしょうか。最近は、このような判断に基づいてセキュリティ規約などが制定されているようですが、その法的、もしくは何らかの標準などの根拠はあるのでしょうか。
職員/従業員のプライバシーと業務の境で発生しうる不祥事への備え、コントロールとは如何にあるべきか。以前に当Blogで在宅勤務でのリスク対応をの話題を取り上げました。社員のプライバシーに踏み込むようなコントロールは適切と言えるか、どこまで許されるのか。
「自宅にPCを持ち帰ったら、施錠可能なロッカーの保管し、外出は避けること」と定めることは可能なのでしょうか。
今後も考えていかなければならない課題でありますね。従業員に対して、一切の飲酒を禁ずるなどということが現実的ではありませんから。
かと言って、無策でもいけない。
皆さんのご意見も教えて下さい。
では

2006年9月14日木曜日

組織内部のモラル

大分県の陸上自衛隊玖珠駐屯地から自動小銃と拳銃、それとそれぞれの弾倉が紛失したという報道がありました。どうも内部犯行の疑いが濃いようですが・・・

以下は、産経新聞Webからの引用です。

大分県玖珠(くす)町の陸上自衛隊玖珠駐屯地で小銃や拳銃が紛失した事件で、紛失が発覚する2日前の6日の業務終了時から、武器確認が行われていなかったことが13日、陸自の調査で分かった。陸自は内部犯行とみて、関与した可能性が強い隊員数人に絞り込み、事情聴取を行っている。
 陸自によると、武器確認は平日の朝夕に実施することになっている。紛失は8日に発覚したが、小銃は5日夕方、拳銃は6日朝の点検を最後に、以降、平日にもかかわらず確認されていなかったことが分かった。
 さらに、武器庫の鍵と、小銃や拳銃を保管する箱と棚の鍵は、別々の隊員が保管・所持する規則になっているにもかかわらず、両方の鍵を1人の隊員が所持。常時携帯しなければならないのに、事務室にある自分の机の無施錠の引き出しに入れっぱなしにしていた。
 ずさんな管理は常態化していたといい、規則に反した武器管理が浮き彫りになっている。
 玖珠駐屯地では第4戦車大隊本部管理中隊の武器庫で、8日午後3時ごろ、点検で64式小銃1丁、9ミリ拳銃1丁、拳銃用弾倉2個、双眼鏡1個、小銃用弾倉1個の紛失が確認された。
 拳銃、小銃の弾薬は別に保管されており、紛失していなかったが、重大事案として警察に通報。陸自でも大がかりに捜索しているが、まだ見つかっていない。陸自では内部犯行とみて、警務隊を中心に調査を続けている。


武器管理の規則上、平日の朝夕に実施することとなっていた武器庫の点検、別々に保管するはずの武器庫の棚と箱の鍵、これが双方とも遵守されていなかったこと、これ見過ごせません。現在のところ、この規約違反と紛失の因果関係は不明確ですが、無関係とは思えません。
外部からの侵入の形跡がないのであれば、当然内部の人間を疑わざるを得ません。何故ならば、出入りが厳重に管理されている自衛隊駐屯地内ですからね。
仮にそうであった場合、駐屯地内の自衛隊員のモラル、武器管理規則など内部諸規定の遵守意識や有効性/実施状況の監視など内部統制上の課題が問題となりますね。組織内の各構成員のモラルが適切に維持され、内部規則た県連法令が遵守されること、これは内部統制の基本であろうと思うからです。
紛失した小銃と拳銃の早期の発見、原因の究明とともに駐屯地内の内部統制の見直しが望まれるます。

サッカー界もPDCA?

皆様 長らくご無沙汰してしまいました。その間も当Blogにアクセスしていただいて、誠にありがとうございます。

久々にUpdateしますが、その話題は、とあるBlogのトラックバックです。

最近PDCAとい言葉を色々な場面で見聞きすることが増えていました。NHKの番組で大手商社のN元会長も、企業の不祥事防止に関する談話の中で、PDCAを取り上げていました。
トラックバックしたBlogは、サッカーに関係するコラムなのですが、現在のオシム監督の手法について触れていて、同監督をPDCAを利用する経営者タイプとしています。
PDCAという考え方、実際に適用し維持していくのは、決して簡単なことではないですが、ビジネス分野のみならず、様々な局面で応用可能なのかもしれませんね。特に結果がシビアに評価されるプロフェッショナルスポーツの正解では、実践可能なのかもしれません、と思った興味深いBlogでした。
URLです
http://blog.nikkansports.com/soccer/ichikawa/archives/2006/09/post_3.html#trackbacks