いきなりですが問題です.
あなたは従業員100名程度の企業の社員です.
このたび,「情報セキュリティ担当者」を務めることになりました.
就任後,社内ではじめに何をするか,理由を付けて答えなさい.
昨日の授業のテーマは「組織のセキュリティ」でした.情報セキュリティポリシー,情報セキュリティに関する規格(とくにISO 27000),コンピュータ犯罪を取り締まる法律,そして個人情報保護法*1を解説してから,授業のまとめのテストとして,上記の出題をしました.
何をするかについて,複数の学生が解答していたものには,「情報セキュリティポリシーの策定と公表」「情報セキュリティに関する社員の意識調査の実施」「パスワードを変更するよう指示」「セキュリティリスクの洗い出し」がありました.いずれも,適切な理由を付けていれば,試験なら満点の解答です.
ところでこの問題には,隠された意図がありました.ポリシーの策定にせよ,他の社員(上役を含む)への依頼にせよ,情報セキュリティ担当者は,セキュリティの名のもとに調査や指示ができるわけで,それが「権力」となり得る点です.
漫画だったら,急ごしらえの「担当者」に対し,あいつの自由にさせてたまるかと,他の社員は,はじめは従わないのが定番です.そして「担当者」の献身的な活動に心を打たれて意識を変え,味方につくようになったりするわけです.
実際の会社や組織の中でも,同じように展開するのかというと,そんな保証はできません.また冒頭の問題について,「就任後」を入れましたが就任前にはどうだったのか,前任者はいないのか,なぜあなたが「情報セキュリティ担当者」を務めることになったのかなどについては,あえて書きませんでした.
新作の問題を介して,学生との対話を楽しみたかったのですが,講義形式は昨日分が最終です.来週はPowerPoint作成のレポート課題で何人かに登壇してもらうほか,試験と同じ形式の「おさらい問題」を30分程度で解いてもらい,その後こちらで解説をする予定です.