誓約のサイバーガード

第一章　風雲急を告げる案件

　都内にオフィスを構える中堅IT企業「コナンシステム」。社長室には、若きプロジェクトマネージャー・石神太郎が緊張の面持ちで座っていた。向かいには新社長の葛木芳郎。彼は就任早々、重要方針を打ち出した。

　石神は息を呑む。ISMSもPマークも取得には相応の時間と労力がかかる。社内にはすでに、情報管理の基本ルールすら曖昧な部署がある。“やりましょう”と言うしかなかった。

第二章　プロジェクト始動

　早速、石神は社内の横断チームを組成し、情報セキュリティ委員会を発足させた。リーダー格は総務部の八代真紀。堅実かつ几帳面な彼女は、まず情報資産を洗い出す作業から着手した。

　Excelシートに列挙されるデータ群。営業部の顧客リスト、開発部のソースコード、総務部の人事データ……。同時に、Pマーク向けには個人情報（個人名、住所、電話番号など）をどのように取得・利用・管理しているかを整理していく。

　メンバーは終電近くまで社内を走り回った。データがバラバラに保管されている現実を突きつけられ、頭を抱える者もいた。

第三章　リスクアセスメントの荒波

　情報資産の洗い出しが終わるや否や、リスクアセスメントの作業が始まる。ISMSの取得には、どのような脅威・脆弱性があるかを評価し、どう対策するかを明確化する必要がある。具体的にはISO27001附属書Aに沿って、アクセス制御や物理的セキュリティなどの管理策を検討する。

　一方のPマークは、JIS Q 15001の要求事項に基づき、個人情報の取り扱いルールや責任者の明確化を要する。とりわけ八代が苦心したのは、従業員の意識改革だった。

　そこで全社員を対象とした研修プログラムを実施。アクセス権限の見直しや、USBメモリ持ち出しの手順化なども同時に行った。最初は不満が噴出したが、

　石神は彼らに真摯に説いた。

第四章　内部監査と是正措置

　数か月の準備を経て、いよいよ内部監査を実施する段階に入る。外部の監査前に社内で問題点を洗い出すのだ。情報セキュリティ委員会には、各部署から選出された監査員が動員される。

• 書類の不足や矛盾はないか

• 実際の運用手順が規程と食い違っていないか

• 教育記録や同意書類など、Pマークの必須書類がそろっているか

　八代の厳しいチェックが功を奏し、幾つもの不備が判明したが、迅速に改善計画が練られた。その様子を陰から見守る石神も、胸に熱いものを感じていた。

第五章　外部審査と試練

　そして迎えた運命の審査日。ISMSの認証機関とPマークの審査機関、それぞれスケジュールが続く。外部審査員の鋭い眼光が、書類から実地確認にまで及ぶ。

　次々に飛んでくる質問攻め。石神と八代はチームメンバーを鼓舞しながら、一つずつ丁寧に答えていく。審査員の表情は容易に読めないが、チームが積み上げてきた努力は確かな自信になっていた。

第六章　勝利の報せ

　審査結果が届いたのは、それから数週間後。封を開けると、ISMS（ISO27001）認証取得と、Pマーク付与の決定が記された通知書があった。

　石神は拳を握りしめた。八代やメンバー全員も、歓声を上げながら涙ぐむ者さえいる。葛木社長から電話が入り、

　石神は電話越しに深く頭を下げた。自分だけの功績ではない、メンバー全員の総力戦だったのだ。

第七章　継続する挑戦

　しかし、これで終わりではない。ISMSもPマークも、継続的な運用と監査が求められる。ISMSは3年ごとの更新審査、Pマークは2年ごとの更新審査がある。石神は社内に向けてこう宣言した。

　拍手がわき起こるオフィスの片隅で、八代が小さく頷いた。

　会社が一丸となった瞬間、石神はある種の確信を抱いた。　これが、コナンシステムを変える大きな一歩になる――。