あいかわらず、ISMSやプライバシーマークなどの認証取得の支援をしています。
こういうプロジェクトでは経営トップの関与が不可欠なので、制度や進め方について、経営陣のかたとお話することがあります。
そこで、よく話題になるのが、マネジメントシステムについてです。このマネジメントシステムとはいわゆるPDCA(PLAN,DO,CHECK,ACT)のプロセスを繰り返して、品質水準をスパイラルアップさせていこうというものです。話題になるというか、ちょっと経営トップの立場からはマネジメントシステムの導入についてしっくりこないところがあるようなのです。
国会の議員年金廃止が話題になっていますね。
議員年金廃止の検討会設置へ 自・公両党 asahi.com
---
自民党の与謝野馨政調会長は25日のテレビ朝日の番組で「議員年金は公明党との間で廃止しようと(決めている)」と表明。「ただ、議員が無年金になっては困るので、(一般公務員が加入している)共済年金に引っ越すことになる」と述べ、議員年金廃止後は共済年金などに統合させる考えを示した。
---
◆コメント◆
「議員が無年金になっては困る?」
それなら、議員さんは国民年金に加入したらいいのではないかなあ。次の選挙で落選したときも、切り替えの手間がなくてすみますよ。(笑)
9月末で上半期が終り、10月から新たにスタートという組織がけっこうありますね。
4月とならんで10月に組織変更という組織も多いです。ところで、組織変更に伴うのが人事異動です。人事異動で職務が変わる。こんなときこそ、情報セキュリティのしくみの良し悪しが問われます。
そうめんつゆをつくって、そうめんをいただきました。干し椎茸をもどして作るとうまいです。市販のそうめんつゆよりも上等な味になりますよ。
つくりかた
(1)干し椎茸+昆布+水を一晩おく・・A
(2)Aを加熱、かつおだしをとる
(3)A+しょうゆ、酒、みりんで味をととのえる。
できあがり。
「ジーニアス・ファクトリー」を読みました。副題は「ノーベル賞受賞者精子バンク」の奇妙な物語」となっています。訳者のあとがきにもありますが、事実は小説よりも奇なりですねえ。
ノーベル賞受賞者の優秀な頭脳をもつ人の精子から優秀な人類を作る。人類は「知的淘汰」によって進化を管理できる。そんなクレージーな事を考え、実施してしまったロバート・グラハム氏。彼が作った精子バンクからはすでに200人のバンク・ベイビーが生まれているそうです。これはその精子バンクのドナー(精子を提供した人)・母親・成長した子供たちのその後を取材したノンフィクションでした。
知人と飲み屋で雑談しました。
知人「サービスって、購入する前にその価値を相手に納得してもらうのは難しいよね。」
私 「うん。だからなかなか売るのは難しい。」
知人「どうすればいいと思う?」
私 「一般的な答えだけれど、サービスを見えるカタチにすることかな。たとえばパンフレットのようなものを作って、期待効果が購入前に見えるようにするとか」
知人「うん。でも、もっと大事なことがある。」
小泉純一郎 梶原 一明著 「郵政省解体論―「マルチメディア利権」の読み方」」を読みました。この本の初版は1994年9月30日、自社連立政権のころですね。本書はこんな書き出しではじまります。
------
「郵政省の改革なしに行政改革はありえない」 小泉純一郎
宅配便はなんの問題もなく民間でできた。これは郵政省のひと昔前の常識では考えられないことだった。が、これからは手紙、葉書などの郵便事業にしても、民間企業に手を挙げさせれば、やりたいという希望者はたくさん出てくるだろう。
------
こんどの郵政民営化の法案が小泉さんが当初、思い描いていたことと100%同じかどうかはわかりません。しかし、10年以上も自説を主張してきて、実現に近づけたのはたいしたものです。
ところで、この本で小泉さんがもうひとつ主張していることがあります。
私の父は昔、横須賀で高校の教師をしておりました。
父「俺は小泉純一郎に教えたことがある」
私「ほう、それでどんな生徒だった?」
父「それが覚えておらんのだ」
これだけじゃあブログのネタにならないじゃないか。
情報セキュリティのeラーニング教材作りを手伝っています。今日は問題文と解答のチェックをしました。
情報セキュリティの事故の大半は内部の人によるものです。だから人的対策、特に従業員の教育は大事です。とよく言われます。私もいろいろなところで言ってます。(笑)
ただ、問題はビデオをみせたり小冊子を配ったりしただけ、で教育は終わりとしている組織が多いことです。こういう組織が事故を起こしてしまうと、「教育」は「言いわけ」に使われます。「従業員教育も実施してはいたのですが・・・」
チャーリーとチョコレート工場(吹替え版)を見てきました。原作はロアルド・ダールの「チョコレート工場の秘密」。
-----
菓子業界の天才ウィリー・ワンカ氏の声明
私、ウィリー・ワンカは、児童五名に―五名厳守とします―本年、わが工場の見学を許可することといたしました。
----
ゴールドチケットがチョコレートに入っているとチョコレート工場の見学ができます。チケットは世界でたった5枚しかありません。幸運にもゴールドチケットにあたったチャーリーはおじいさんといっしょにチョコレート工場の見学にいきます。
昔の映画のパロディもあったりして大人も楽しめる映画です。
企業はISMSやプライバシーマークのような第三者認証を取得すべきでしょうか?
もし、以下のような目的で取得をしようとするなら、答えはYESです。
第三者認証取得の目的のひとつとして、自社の情報セキュリティに対する取組みをステークホルダーに公表するということがあげられます。
いままでも個人情報保護方針やセキュリティポリシーとして経営トップが外部に対してセキュリティ方針を宣言するということはありました。しかし、これは方針の宣言だけであって、意地悪な言い方をすれば、形式・お題目にすぎません。
ある組織の情報セキュリティ文書体系のレビューに参加してきました。
文書レビューの着眼点には、
(1)策定した規程・手順に不足はないか?
(2)策定した規程・手順が実際に使えるか?
の2つがあります。
◆規程の整備状況を確認する◆
規程・手順に不足がないかどうかは、目的に照らして、抜けているところはないかを捜すことです。これを簡単に行うには、各種のセキュリティ標準やチェックリストを利用することでしょう。また、規程集のサンプルなどを流用すれば、ある程度のレベルのものはできていますから、それほど、めんどうではありません。
今朝の日経朝刊に 「BSデジタル 民法5社個人情報抹消」という記事が載っていました。
------
民放キー局のBS(放送衛星)デジタル放送5社は一斉に、保有する視聴者の個人情報を年内に抹消する。件数は200万件。視聴者参加番組など双方サービス用に集めたが、4月の個人情報保護法の全面施行を受け、各社は流出リスク回避を優先する。
------
民放系BSデジタル5社、視聴者の個人情報を破棄へ NIKKE INET
◆個人情報の削除について◆
村山らむねさんのブログで知ったのですが。トリンプ・インターナショナル・ジャパンの社長、吉越さんのブログが少々荒れているという話です。
うら@らむ 村山らむねの裏ブログ 「社長ブログに気をつけろ」
その社長ブログ:吉越浩一郎の革命社長日記 9月5日で終了してしまいました。(最初からの予定だったそうです)
社長のちょっとした発言(ブログの一言)がいろんな反響をよぶんですねえ。
でも一般社員がマスコミから取材を受けたり、雑誌に記事を執筆したりする場合は広報部門がチェックするようにしている会社も多いです。経営トップの一言に、チェックが入らない社長ブログというメディアにはちょっと怖い面もありますね。
改革を進めたいですか?
まあ、選挙にいくのも大切ですが、政治家が何かやってくれると期待するのはほどほどにしておきましょう。ほんとうに改革を進めたいなら、ひとりひとりが自分のまわりの環境を変えてみるのが手っ取り早いんじゃないかなあ。
「リトル・クリーチャーズ」
1985年のトーキングヘッズの傑作。HMVで安売り(1190円)していたので、購入しました。今、聴いてもなかなかよいです。他にもローリング・ストーンズとエリック・クラプトンの新譜も買いました。でも今月の愛聴盤はこっちになりそう。
堀内と星野と江川が来期の巨人の改革について激論。
これがほんとの投手討論。なーんちって。
どうも失礼しました。
星野氏、巨人監督候補に「光栄」nikkansports.com
巨人堀内監督「知らんわ、もう!」nikkansports.com
原氏、中畑氏、江川氏「全部候補」…巨人緊急トップ会談 サンスポ.com
リスク・コミュニケーションには社内リスク・コミュニケーションと社外リスクコミュニケーションの2つのタイプがあります。
社内リスク・コミュニケーション:
従業員とのリスクに関する情報を交換し、共有化をはかること
社外リスクコミュニケション:
投資家等、社外のステークホルダーへのリスク情報を開示すること。
IR活動など
経済産業省が公表している「情報セキュリティ報告書モデル」も社外リスクコミュニケーション活動のひとつの例です。これは以前にも紹介した
「企業における情報セキュリティガバナンスのあり方に関する研究会報告書(案)」の資料から入手できます。
情報セキュリティ報告書モデル PDF
リスク・コミュニケーション risk communication
ISO/IEC Guide 73:2002によると「リスクコミュニケーション」の定義は
「意思決定者と他のステークホルダーの間における、リスクに関する情報の交換、又は共有」
とありますが、わかったようなわからないような(笑)
私見ですがリスク・コミュニケーションのポイントは以下の3つでしょう。
意思決定者とステークホルダー
意思決定者とはリスク対策を決定する人で、ステークホルダーとはその決定に影響をうける人たちのことです。たとえば、災害リスクであれば行政が意思決定者で市民がステークホルダーでしょう。
また、特定のリスクに関する専門家と一般人。企業であればリスク対策マニュアルを作る人とユーザも同じ関係です。
さらにいうと、企業のリスクに対して、影響をうける投資家もステークホルダーですからリスクコミュニケーションが必要となります。IR(Investor relatiuons)もリスクコミュニケーション活動のひとつですね。