m95 IT計画策定のポイントから4回にわたり、IT計画策定に関するポイントや注意事項を説明してきました。今回はその補足としてITリスク管理の話をします。
復習になりますが、IT計画は大きく3つの計画に分かれます。
1.ITシステム計画
2.ITインフラ計画
3.IT教育計画
これら3つの計画は密接に関係しており、バランスよく策定され実行されなければ、思ったような効果が得られません。その最たるものがITリスクに関する計画です。
例えば、システム計画でウィルス対策ソフトやファイヤーウォールソフトを導入しても、インフラ計画で誰でもつながる無線LANを導入していたら意味がありません。不正侵入したい放題です。また、確固としたインフラ計画がなされていても、ノートパソコンを社外に持ち出し、置き忘れたり、業務に関係ないウェブサイトをのぞいて、業務効率を下げるようではいけません。今までインターネットと無縁だったシステムが、利便性向上のためにインターネット接続できるようになると同時に様々なリスクが発生します。
解決のためには、システム(ソフト)・インフラ(ハード)・教育(人)が一体となる必要があるのです。情報セキュリティについてはまた別の機会にお話しますが、この投資だけは決しておろそかにしないでください。
もちろん、リスクは情報セキュリティに関係するものだけではありません。
例えば、台風・大雨による水害や地震等、自然災害に対しても検討が必要です。システムのバックアップは遠隔地にとれるよう専門業者との契約を行う(ITシステム)とか、システムが使えない場合の手書き処理の手順決定や教育(IT教育)を行うとか、代替機の準備を行えるよう事前にメーカーに予約する(ITインフラ計画)等の対策が考えられます。この件については、BCPとして、事業全体の仕組みとしても考えるべきです。
また、パソコンの盗難やネット犯罪による被害にあったときのネットワークの切り離し(ITインフラ)や、被害に対する社内・顧客への対応・復旧(IT教育)、盗難にあったパソコンから漏洩する恐れのあるIDの削除(ITシステム)等、一連の作業が迅速に行われる必要があります。個人情報保護法施行後、情報漏えいに対する世間の目は厳しくなる一方です。建設業は人を扱う事業として個
人情報を多く抱えています。施工体制台帳に付随した様々な作業員の個人情報や設計に際しての顧客情報など、情報に関するリスク管理は、他業種以上に厳しい要求がなされるでしょう。
IT成熟度が低い段階で、これらすべてを網羅して計画を策定することは困難であり、実施はさらに難しいと思われます。しかし、重要なのは、これらリスクの自覚と周知です。会社の成熟度がどうであるかなどというのは、顧客を含めた社外の人々にとっては関係なく、被害を受けたらそれなりの補償を求めてきます。
成熟度が低いからといって、許される問題ではありません。可能な限り対応を施し、常に最新情報を入手していく継続的な取り組みが必要です。
こういう話すると、「だから、インターネットなんかに接続するのは無理だ」とか「うちの会社じゃまだまだ」といわれる経営陣の方もいらっしゃるでしょう。しかし、電子納品や電子入札、電子商取引と、インターネットを確実に使わざる得ない状況になりつつあります。そして、ITは業務プロセスに密接に関係すること
となり、経営とは切っても切れない状況が目前にあるのです。
リスクを見極め、自社の状況に応じた対応を適切にとれば、それほど恐れるものでもありません。大切なのは、情報漏えいや自然災害による被害、ウィルス等のセキュリティ問題を他人事と考えず、自社に起きたらどう対処すべきかを常に意識することです。安全に対するリスク管理については、建設業界は高いレベルにあります。同様の意識を、情報リスクにも向けていきましょう。まず、事例を新聞や雑誌等から集め、回覧することから始めてみましょう。