情報セキュリティ対策にPDCA（plan-do-check-action）はもはや常識とされています。しかし、このPDCAを誤解していないでしょうか？　PDCAは「作ったルールを見直して改善していく」という意味ですが、現実にはルールを“追加しているだけ”の組織が少なくありません。

　そんなことからなのか、「来年度は何をしたらいいでしょうか」というコンサルティング依頼が昨年から多くなっています。

最初はがむしゃらに目の前の短期目標に向かって走っていいと思うのですが、ある程度進んで自分自身の「実力」が分かってきたら、一度立ち止まって中期計画を策定されてはいかがでしょうか。その中では、「何をやるのか」から考えないで「どうなっていたらいいか」を軸に考えて、そのための方策として「何をやるのか」を検討して実施計画を策定すべきなのです。
同時にその際の「業務量」と「省力化策」についての見積りも必要です。現在の経済状況を考慮した場合、多くの組織では増員や予算の増額は困難でしょう。むしろ「こなれてきたのだから効率化によるコスト削減が可能ではないか」と経営者は考えるでしょう。
情報セキュリティ対策は、一度やり始めるとその維持には一定の業務量が必要になります。これらを維持したまま新しいことをやろうとすると、当然業務量は増えてしまいます。従って、現在の業務の効率化の手法を自動化や外部委託などの方法で省力化、コスト削減をした上でないと、新しい対策は講じられません。