PDCAサイクル、ちゃんと回していますか?:三輪信雄「ここが変だよみんなの対策」(情報元のブックマーク数)
PDCAサイクルをきちっとまわしている企業は少ない。これは正しい。
セキュリティマネジメントシステムにおいてはPDCA(Plan-Do-Check-Action)は基本中の基本で、そのこと自体に疑問を呈することは許されないことです。しかし、私はPDCAサイクルを回しています、と自信を持っておっしゃる会社に出会ったことがありません。
PDCAサイクル、ちゃんと回していますか? | 日経 xTECH(クロステック)
ルールの見直しを定期的に行っているということ指してPDCAを回していると言っている場合がありますが、それはチェック(Check)しているだけで、スパイラル上にセキュリティレベルが向上しているというよりも「追加」されているだけというケースがほとんどです。定期的な見直しを行うというだけでいいなら、DCAだけで回していると言ってもいいでしょう。
Doをせずに、後からPDCをつけて、監査を通すとか論外ですよ。
せっかくなら、改善されたDoをトライする機会が多い方がセキュリティ向上につながると思います。セキュリティは組織の文化としてとけ込む必要があり、かつ、常に更新され続ける必要があります。
PDCAサイクル、ちゃんと回していますか? | 日経 xTECH(クロステック)
本当にヒヤリハットを集めるのは難しい。ヒヤリとしすぎて慣れ過ぎている企業ではなおさら。
また、PDCAを回してればセキュリティ対策をやっていることになっていると思われる風潮が強いですが、ヒヤリハットのような「もう少しで事故につながりそうな事象」が起こったら、そのときこそ規定や運用状況の見直しを図って、大事故につながらないようにカイゼンを講じることもセキュリティ維持には欠かせない活動です。
PDCAサイクル、ちゃんと回していますか? | 日経 xTECH(クロステック)
そのためには、ヒヤリハットの事例を積極的に収集する必要があります。しかし、鞄を電車に忘れてしまったが翌日取りに行ったらあった、などという事例は処罰を恐れて誰も届けないでしょう。まさかそれを褒める訳にもいきません。それなら「匿名」で集めるのはどうでしょうか。匿名であればヤバかったことでも情報収集できるかもしれません。
さて、先月のコラムで忘年会における情報漏えいについて書きましたが、その後、私の知る範囲でもいくつか鞄がなくなっています。そして悲しいことに何らかの「処罰」が行われています。うっかりであれ、ひったくりであれ可哀想だけでは済ませてもらえません。顧客情報の紛失をしてしまえば、会社としても「可哀想だから処分しませんでした」「お酒の入ったときのことですから」とお客様に伝えることなどできないからです。