引越しをしたら適用範囲変更！放置するとコンプライアンス違反？

引越しをしたら適用範囲変更！放置するとコンプライアンス違反？

勝手な引越し。迷惑な話です。しかもずっと黙ったまま。コンサルの立場も有ったものではありません。認証はロケーションが特定されているのだから引越ししたら認証は切れてまっせ。どっち道、認証はやり直し。引越し当日にでも審査しない限り、認証切れの期間は発生する。

事前審査と事後審査。引越しの計画と引越し先を事前に審査し、事後の確認審査を速やかに行う。事前と事後の間隔は感覚的には最大1ヶ月。

事前審査も無い場合、事後審査が1ヶ月を超える場合、これらは当然重大な不適合。審査の前提がひっくり返っているのだから当然重大な不適合。

ところが審査側も振り上げたこぶしの下ろし先が分からない。

当該部署を一旦外します。所定のロケーションから所定の部署・事業が無くなったのですから、その事実を確認したことを踏まえて、スコープの縮小手続きを取る。どの日付？遡ることが出来るんら引越し日。遡ることが無理な場合は確認日。次に改めて拡大審査として取り込みます。

スコープから外れたところが認証範囲のように扱っていたら契約違反で、不適合以前の問題になる。

.*.

審査もコンサルもランニングが重要な要素だと気づいているのかいないのか良く分かりません。

引越し時の縮小・拡大をスマートにやれば負担もないし、一定の売上が望める。特に引越し作業そのもののセキュリティについても入り込めば、クライアント側の理解はさらに得やすくなる。

.*.

見てもいないロケーションなのに次回のサーベイランスでOKですとかやっているのは不可解。サンプリングと同じ理屈が使えるなら、もう少し緩く出来る。

.*.

認定機関や審査機関のロゴ変更

認定機関や審査機関のロゴ変更

認定機関や審査機関がロゴを変える。迷惑な話です。だってどうでも良い事じゃないですか。そんなところのロゴなんて誰一人気にしていませんから。勝手に自己否定してくれてそちらは納得かもしれないがロゴを借りている当方としては名刺からパンフから一切が最新でないことになってしまう。取引先の印象が悪くなる。その損害は考えていないから益々迷惑に思う訳。

.*.

 

 

.*.

EQA国際認証センター

EQA国際認証センター

ここも日本では後発の外資系という枠組みに入るのかな。

http://www.eqaicc.co.jp

ホームページは癖のある作りで好感が持てない。どのサイトがジャパンサイトなんだろう。EQA KOREAはあるのにEQA JAPANは見当たらない。メニューとかプルダウンの設定とか、何となくいらいらさせられる。趣味で作ったページなの？

知っている人に話を聞かないと無理だね。というかあまり関心が持てない。必然性が見つからない。きっとここもコストを掛けない審査が売りなんだろうと思う。

安い審査と高い審査では何が違うのだろう。

.*.

ムーディー・インターナショナル・サーティフィケーション

ムーディー・インターナショナル・サーティフィケーション

略称：MIC

http://www.moodygroup.co.jp/
http://www.moodygroup.co.jp/mic_index.htm

今一、分かり難いホームページだ。

後発の外資系ながら親会社の知名度を武器？に業績を順調に伸ばしている様子。とは言え、回りでは誰もあまり良く知らない会社ですね。知名度が有って料金が押えられていれば由とするなら採用？

http://www.moodygroup.co.jp/mic-pr02.htm

後発ならでは意識付け・動機付けのページを用意しています。ちょっと見はなかなか面白いですね。

既存の審査に対する認識：

1. 高い費用の審査
2. 威圧的な態度の審査
3. 付加価値のない審査
4. 簡略化を許さない審査
5. 権威を看板にした審査
6. 寸法検査のような審査

＜費用＞審査費用は要注意。安い費用の見積が出ても工数単価を確認すること。工数までぎりぎり少なくしてくる審査機関がある。経験があるからミニマムの審査工数で構わないというのは眉唾。それは何処かに無理が出る。工数単価が低くたっぷり工数をかけてもらって尚且つ安いのが良い。単価も安いし工数もミニマムは要注意。誰のためにもならない審査でしょう。

＜態度＞偉そうに上から目線で物を言う審査員は無くならない。当然です。やることやらないでいい加減な取り組みをしていたら、社員以上に会社のことを考えて苦言を呈することになる。いい加減な審査員は決して威圧的にはならない。会社のことなどどうでもいいから黙って通り過ぎますよ。審査を威圧的に感じたら本当の問題を探す気合が必要。

審査側が敢えて態度を口にするのは逆の意味で心配した方がよい。迎合的な審査に陥る可能性が大きい。3年間で不適合が3件以下なら、節穴審査か迎合的審査。そういうところが威圧的な態度は取りませんといったら要注意。

＜付加価値＞付加価値審査の話は以前からよく聞く。意味は分かるようで分からない。何処かの人が言っていたが何も足さない何も引かないとウイスキーの宣伝文句のような名言がある。それに従えば付加価値審査など存在しない。 付加価値などと余計なことを考えないでしっかり規格にそって審査をやって欲しいのが本音。小さな親切余計なお世話。参考情報は参考情報として別立てで提供して欲しい。殆どがそうだけど付加価値なんて言い出す審査員･審査機関はあまり信用できないね。

＜簡略化＞言っている意味が分かり難い。審査なんて所詮サンプリングで所定の工数でやるしかないので初めから簡略化されている。審査成立のためのレギュレーションがあるからそれはクリアするのは当然。ここで敢えて簡略化を主張するのは手抜きの正当化なのかな。工数を削減したい意図なんだろうか。要注意・要確認。

＜権威＞何のことなんでしょう。社会的ミッションの中で関係者全員が働きますが、何でしょうね。内は老舗ですとか由緒ある団体ですとかやっているんでしょうか。こんなこと気にしている企業は無い。ただ実績は見ます。実績のない新参は慎重になります。当然。こんなことをホームページに乗せているのはMICの劣等感・自信のなさを感じます。こんな意識では駄目だわ。

＜寸法＞これはますます理解困難。寸法を測る必要があれば寸法を測る。重箱の隅を突っつくような審査のこと。枝葉に目が言って幹の部分を見てくれない審査のこと。だったら表現力のヘタな書き方だ。意図が伝わらない。

ホームページにはMICのスタンスが記載されているが、これは審査では無さそうだ。コンサルだね。JABとかはこういうのを放置するのかな。それにコンサルも立場ないね。審査員の立場を利用したコンサル行為なんてご法度でしょう。平気で利益なんて書いているが経営責任も何もない連中に勝手な能書きを並べられたりしたら堪った物ではない。藁にもすがりたい経営者は重宝するのかな。案外。

.*.

ホームページは日々改善されていくので、次回も同じ印象を持つかどうかは分かりません。まったく見違えたものになっていることを期待します。

.*.

ソフトバンク系？ファーストサーバーのデータ消失事故

ソフトバンク系？ファーストサーバーのデータ消失事故

ヤフー！系のレンタルサーバー「ファーストサーバー」でデータ消失事故が発生した。ヤフー！系ということはソフトバンク系でしょうか。１０年くらい前に個人情報漏洩の大きな事故を起こして問題になったことは記憶に新しいし、直近では携帯電話のマイクロSDメモリーカードを紛失させる事故を起こしていて全く安心の置けない企業になってしまった印象だ。

個人的にはソフトバンク～ヤフーとは深い関係（重要な情報を預けるような利用）は積極的に回避したい。要するに今後はもう使わないで置こうということです。

ファーストサーバーは低価格が売りだが、情報消失は論外。バックアップ系も含めて消失してしまった。ニュースを流したWBSの紹介によれば、あるサーバーのプログラム～データ更新を行った時に対象外のサーバーについては全削除が実行されたとのこと。

まったく不十分なテスト環境しかもって居なかったのだろう。

.*.

内容はいつの場合も非情に基本的な問題です。

内部監査、外部審査、コンサルによる啓蒙、アドバイザリーによる有効性チェック、マネジメントレビュー。どの切り口からでもチェックできることがスルーしてしまうのは本当のマネジメントになっていないことでしょう。

この企業グループはいつもＱＣＤのＤを優先させる傾向にあるようだ。

.*.

事前防災の発想

事前防災の発想

福島原発の関連質疑の中でと思うが、国会のやり取り（自民党の福井照議員）でいきなり”「事前防災」の考え方”というパネルが出てきた。

誰かが整理のために作ったものだろう。特に回復力を重要性を説明。

◆　予防　Preventive　(リスク回避）（リスク抑制）　
ソフト：土地利用（高台移転）、
ハード：国土保全事業（堤防整備等）

◆　減災　Mitigation (リスク軽減）　
ソフト:観測･予測、防災教育、
ハード：耐震化、不燃化

◆　備え　Preparedness （リスク受容+緩和）　
ソフト：防災訓練、自主防災組織、ボランティア、
ハード：避難路、避難施設、防災拠点

◆　脆弱性軽減　Vulneerability Reduction （回復力）
ソフト:ＢＣＰ、物流チェーン
ハード：リダンダンシー、分散型国土づくり

.*.


此処の内容には良く分らないものも含まれるようだが、防災（事件事故の未然防止、事業継続管理の関連）に関する発想としては情報セキュリティの分野でも十分参考になる。

.*.

個人情報vs.忘れられる権利

個人情報vs.忘れられる権利

個人情報はソーシャルネットワークＳＮＳの中にはむき出しで存在するし、個人情報とその関連情報は検索サイトにも延々と蓄積される。検索エンジンもグーグル以外にも幾つかある。

ネットストーカーの存在は既に誰もが知る時代になった。反社会的な犯罪にたいしてはネットストーカーたちは一瞬の隙・油断も逃さず個人情報を暴き出す。クローズアップ現代で省空きされていたやり方は驚きに値する。ホームページ、ブログ、ツイッターなどの書き込みから個人情報の特性を抽出し、それに該当するＳＮＳサイトから実名の個人を引き当てるやり方だ。

一度でも流出した個人情報は、その人の人生を変えるくらいに何時までもその人に付きまとうことになる。内容が事実であるか否かに関わらずである。

ヨーロッパでは、今、「忘れられる権利」について議論が起きている。仮に事実であっても、その個人情報を公開する権限は個人に属するべきであるという考え方。

グーグルが提訴される２件の事例：

１）一般の人の訴え（過去に流出したヌードビデオ？の検索削除）についてはグーグルは敗訴した。

２）過去の犯罪者たち（約７０名？の集団提訴）の情報削除については削除すべきでないとして争っている。

法整備も進みつつあり、正当な理由のある削除依頼に対応しない場合は高額の罰金が科せられる。

ISMSに関連して考えれば企業は次の対応が求められる：、

（１）訴えを受け付ける体制
（２）当該個人情報を削除する体制

規制の動きはＥＵ内であるが、ネットは世界に繋がっていることを踏まえれば傍観者で居ることは難しい。しかも、内容が国際社会においても妥当なものであれば、選考して対応策を検討すべきでしょう。

（Ａ）検索エンジンを運営する企業は限られているから、対応を余儀なくされる企業も限定的だ。
（Ｂ）もう一つは憶測の領域だが、不適切な方法で入手した個人情報を利用することの問題への対応がある。

従来は不適切な方法は犯罪的な方法（盗聴・窃盗など）によるものを言っていたが、ネット上の痕跡・噂もその延長上にある可能性を考慮しなければいけない。

日本からヨーロッパに出ている企業の場合はより申告に捉える必要があるだろう。

.*.

インフラ制御系システムがサイバー攻撃のターゲット

インフラ制御系システムがサイバー攻撃のターゲット

クローズアップ現代の「サイバー攻撃」は結構深刻な内容だ。

サイバー攻撃のターゲットになった

東京都小平市　光洋電子工業　制御システムの開発メーカー

米国国土安全保証省ＩＣＳ-ＣＥＲＴからの警告を受けて分った。

光洋電子工業の脆弱性が露呈した。

デジタル･ボンドDigitalBond社が光洋電子工業の脆弱性をついた攻撃プログラムを公開すると発表。デジタル･ボンド社自身は脆弱性対策を売りにする企業。パスワード･ブルーとフォースPassword Brute Force方式によるハッキング手法。高速コンピューターによるパスワード解析。

警告を受けて対策を検討するが簡単でないらしい。

制御システムに既製品を使う、世界中で同じものを使う、インターネットにつなぐ。これが制御システムの弱点。

光洋電子工業はインターネット接続機能を切って今のところ事なきを得ている。

制御系システムの攻撃事例:

１）原子力発電所の監視システム
２）上下水道管理システム
３）生産管理システム

生活の周りにも100個程度の制御系システムが存在するらしい。冷蔵庫の中、ビデオレコーダーの中、テレビの中、エレベーターの中、など考えていけば、まあ、確かにそうだろう。

遠隔利用のために、あるいは危機感連携のために安易にインターネット接続機能、WiFi対応を持たせると攻撃対象になる。

バッファローの事例として2010年のメディア（ＵＳＢメモリ）経由のウイルス侵入例も紹介された。隔離された領域は安全なはずの管理をやっていたようだ。

ブラックリスト、ホワイトリストの話は古典的だが、制御系業界では対策が遅れているようだ。

国の政策としては「制御システム･セキュリティ･センター」を立ち上げたようだ。とりあえず情報共有ぐらいだろうが、もっと深刻な取り組みが必要ではないか。

東電福島原発事故は原因を想定外で済まし責任も対策もいい加減だが（だから大飯原発も安易に再スタートさせてしまったが）、サイバー攻撃も想定外にされてはいけない。津波というローカルな事象では終わらないリスクがある。

.*.

風評・口コミへの対応と管理策

風評・口コミへの対応と管理策

滋賀県大津市の中学2年の少年いじめ自殺事件が報道されている。それ以上に、あちこちの口コミサイトが俄かに炎上状態。加害者とされる少年の名前のほかに、父親の名前・会社名・取引先までが書き込まれている。

自殺事件そのものはISMSとは無関係と言って良いが、関連者の企業、取引先企業が表に出てしまった時に、経営はどういう判断を求められるだろうか。

明らかに反社会的である企業と分かれば、即刻取引停止。反社会性に加担していないことを表明することになる。ところが、この自殺事件は再調査の段階で流動的な状況であるから、扱いは難しい。

１）契約内容の再確認。特に風評被害が出る状況においてどのような扱いが可能なのか？
２）黙って放置した場合の、説明責任の必要性に関する判断。

それ以前の施策として、

３）自分の会社が口コミ上でどのように扱われているのかを継続的に監視する仕組みも必要でしょう。だからと言って口コミをコントロールしようとすると別問題が生じる。監視活動は必要でしょう。

ただし、商品の仕様性能に関する無理解に基づく場合は、適度な介入は一般的な施策として受け入れられている。これはサポート活動の一環とみなせるからだ。

今回のような、一つ間違えば刑事事件になりかねない事態での対応はもっと違った判断が必要でしょう。

.*.

経営者インタビュー序章

経営者インタビュー序章

経営者インタビューに同席する機会はあまりない。それでも最初に口にする言葉は割りと決まり文句。

＜審査目的＞

• 今回はどういう審査かを言う。何回目の何々審査で何々を確認しますとか。

＜トピックス＞

：大災害や新聞などで報道されたセキュリティ事件を引き合いに出して経営者としてどう受け止めたかとか。

• 一般トピックス：東日本大震災、福島原発問題（地域封鎖など）、防衛省ビデオ流出、ソニー子会社情報漏えい、フィッシング詐欺などきりがないが当該組織に関連の深そうなものを選んでトピックスとする。これらは事業継続管理、予防処置、不定期リスクアセスメントなど関連する取り組みとなる。
• 固有トピックス：経営者の配下で実際に生じた事件・事故。どのように報告されどのように対応したか。

.*.

ISMS成功の鍵は"ちょい"管理・"思いつき"管理からの脱却

ISMS成功の鍵は"ちょい"管理・"思いつき"管理からの脱却

少しでも良くしようと、あれこれ考え、色々工夫する。思いつき、アイデア、試行錯誤、仮説検証を繰り返す。難関のイベントの度にスクラップ＆ビルドの大号令。

その結果は？

段々と良くなっているだろうか？本当に継続的に改善できているだろうか？

力量ある人が集中的に作業してやっよ気付いた管理体系が、そんなに能力の無い後継者の継続的改善を受けてズタボロ（ズタズタでボロボロ）になっていないだろうか。多くの場合はベストを維持することは難しく改善はおぼつかない。ある部分は良くなっても全体としての体系・構想は崩れ始め、カオス的な状況へ追い込まれていく。

数少ない成功例があるとすれば、規格から逸脱しない頑固な取り組みかもしれない。そのもっとも肝心は常に考え常に取り組んでいること。日常の中にISMSが存在する状態。ISMSがイベントになるようでは上手く行かない。気まぐれ、思いつき、チョイ管理では駄目。不断。継続性が鍵だ。職能の一つと位置づけることの凄さが分かる。

.*.

SNSフェイスブック(Facebook)の脆弱性

SNSフェイスブック(Facebook)の脆弱性

フェイスブック内で利用できるアプリに対する審査機能が実質的に存在しないこと。世界の10億の利用者を狙うアプリ開発者は半端な数じゃないから、少数の担当者を置いても事務的な管理（電話番号とかクレジット番号の管理？）が関の山で、内容審査は出来ていないのだろう。

日経から流れてきた記事を見ると、スマホのアプリで問題となった状況と同じような個人情報を盗み取るアプリが蔓延したようだ。悪質アプリを誰かが使うと友達リストから友達に勝手にこのアプリを使いませんかのメッセージが送られてしまう。連鎖反応的に広がる訳だ。このアプリ自体は設定色を変更できるなどの一見無害な機能提供を謳っている。その実、せっせと個人情報を集めるか（指定のサーバーに送信）、ボットとして待機するか、何れ良からぬ事が推測できる。

.*.

ISMSのメッセージは？

（１）BYOD（バイド～ビヨド）：オフィス業務での自前デバイス利用などとんでもない話と捉えることが出来る。会社へ持ち込んだスマホは音声、静止画、動画、ビジネス文書が溜められるのだから。

（２）自宅のパソコンでSNSをやることはどうだろう。PC対応のアプリもある（もともとPC対応が普通のことです）。自宅パソコンには業務情報はないと言い切れる訳でもない。

だからBYODもSNSもご法度では世間は回らない。セキュリティを確保するルール・基準を作って適用し監視する基本をやればよいのだが、何処まで網を張るのかが難しいと感じられる。

.*.

ソフトバンクショップのSDカード紛失事件

ソフトバンクショップのSDカード紛失事件

ソフトバンクショップで顧客の情報を紛失させる事件（事故？）が発生した。その顛末に驚いた。メディアの紛失自体はある確率で発生するもので特段驚くことも無いが、紛失が発覚した後の話は聞いてびっくり見てびっくり。完全なマネジメントの問題が横たわっている。

コマーシャルでもプラチナバンドを獲得して盛り上がるソフトバンクだが裏方の実態を見てしまうと一緒に盛り上がるのは難しい。

昔から、攻めは強いが守りは弱かったソフトバンクは何度事件事故を起こしても体質改善は進んでいなかったことが露呈した勘定だ。

ISMS的には、この件で判断する限り最低レベル最低ランク。何処かの認証機関が認証をやっているなら恐らくメクラ審査だろうね。

最もソフトバンク本体とソフトバンクショップは別組織といって逃げ回ることは出来そうだ。ただ、ソフトバンクショップを支援（管理）する機能を本体は持っているので、逃げることは出来ない。

.*.

無反省でなんの謝罪も無く、形式的なサポートに終始し、改善にも取り組まないソフトバンクはその一部ではあってもマネジメントシステムの欠落であることは否めない。

もともとソフトバンクは相当無理をしている企業という印象があるが、このように世間沙汰にならないところで多くの問題を抱えていると思うと、サービス利用に当たってはもっと慎重な態度が必要だ。

.*.

その後のフォローでは紛失させた担当者はショップを異動しているようだ。問題はサポートセンターの方なのに、ｓポートセンターからのコンタクトは何も無いらしい。内部処理だけでしかも出先の対応で済ます態度、この辺がまるでマネジメント問題を理解していないことの証になる。

.*.

クラウドの信頼性に盲点？アマゾンの事例検証

クラウドの信頼性に盲点？アマゾンの事例検証

クラウドはハードウエアとサービスの対応関係をフレキシブルにしたものだから、ハードウエアの制約による性能低下、信頼性低下からフリーなのが有利なポイント。

ところが、クラウドサービスをもう一つのビジネスに仕立てているアマゾンでトラブルが立て続けに発生している。原因はアマゾン以外から来ているが、別サイトへの切り替えなどがスムーズに行かず結局サービス停止を招いている。

アマゾンのクラウドサービスのクライアントは小規模事業者が多いが、それだけ専門性の高いエンドユーザーサービスを行なっていてアマゾンクラウドのダウンによる影響は決して小さくない。

アマゾン･クラウドに限らないが、複数のベンダーによる協調型システムにならざるを得ない。しかも個別部分がそれぞれ成長していくので、ますます全容把握は困難。

福島原発も想定外が生じて簡単に弱点を露呈した。想定しなければいけないことまで想定外として扱われていた。会社間の軋轢、監督官庁や発注元との軋轢、技術者の面子、費用負担問題などが表に出てきて、本旨が置いていかれる自体が生じている。

アマゾンのクラウドの障害は、クラウドにもきっと何か特徴的な脆弱性が潜むであろうことを予感させてくれただけでも十分な価値のある現実だ。

.*.