同じ会場で、自治日報主催のパネルディスカッションのコーディネータも仰せつかる。セキュリティ業界は今、マネジメント花盛りだ。自治体はポリシー策定を要求されているし、企業もコンプライアンスがどうとか個人情報保護がどうとかで、結局ISMSやPマーク取得に動いている。それ自体は悪くないが、それだけではよくない。特にセキュリティポリシーが実施手順の段階に入ったときに、業務やシステムの実装そのものの良し悪しがセキュリティレベルの確保にとても効いてくるのだが、その良し悪しをマネジメントでどこまで保証できるのか。まあ、どう考えても保証は無理なわけだが、じゃあどうすりゃいいのか。そんな話をしたかった。
パネリストは元宇治市の木村さん、トーマツの丸山さん、KIPの小山さんとよく知ってる人たちなのでやりやすかった。一応、発注者、受注者、監査役(丸山さん曰く第三者?)で対立して欲しかったのだが、結局意識は同じ方向に向く。あたりまえなのだが、発注者と受注者のどちらかがレベルが高い場合はそれなりに技術レベルのチェックがうまくいくのだ。問題はどちらもダメな場合。特に自治体には(丸山さんの言葉を借りれば)「やる気がない」ところが多い。やる気がないから、金をかけない。そこに、少ない金にやる気をなくした業者が入ってきて実装をする。そして住民の情報は危険にさらされる。一番悲しい構図だ。まぁ、金ばっかり持っていくくせにレベルの低い実装をやって平気な顔してる大企業もたくさんあるのだが。
要はセカンドオピニオンとか、適切なコンサルティングとか監査とか、第三者の目が必要なのだ。それも、できれば住民自身の手でコントロールできるようなオンブズマンスタイルの。そんな状態になればいいのにといつも思うのだが、この国は住民の政治への参加意識があまりにも低いのでそんな機運は盛り上がらない。たまに政治意識が高いヒトがいても、巨悪を叩くことだけがカッコいいという勘違いな、評論家ぶったヒトがあまりにも多い(某氏の言葉を借りれば『久米宏化』だ)。これが諸悪の根源のような気がしてならない。何が原因だろう。
それはともかくパネルそのものは、私のヘタクソなコーディネーションにもかかわらずパネラーが個性を発揮してくれた結果、そういう論調を基調に進めることが出来てまぁまぁの出来。惜しむらくは聴衆の反応が少し鈍いと思ったことだが、自治体相手だからこんなもんだろうか。
ひとつパネルから名言を。丸山さんの「監査してください、いうまえに、ちゃんと管理してくださいね」。確かにそうだ。PDCAがロクにまわってもいないのに監査にいくのは恥ずかしいだろうと思うのだが、実際そんな団体が多すぎる。