セキュリティマネジメントシステムにおいてはPDCA（Plan-Do-Check-Action）は基本中の基本で、そのこと自体に疑問を呈することは許されないことです。しかし、私はPDCAサイクルを回しています、と自信を持っておっしゃる会社に出会ったことがありません。
ルールの見直しを定期的に行っているということ指してPDCAを回していると言っている場合がありますが、それはチェック（Check）しているだけで、スパイラル上にセキュリティレベルが向上しているというよりも「追加」されているだけというケースがほとんどです。定期的な見直しを行うというだけでいいなら、DCAだけで回していると言ってもいいでしょう。

せっかくなら、改善されたDoをトライする機会が多い方がセキュリティ向上につながると思います。セキュリティは組織の文化としてとけ込む必要があり、かつ、常に更新され続ける必要があります。

PDCAサイクル、ちゃんと回していますか？ | 日経 xTECH（クロステック）

また、PDCAを回してればセキュリティ対策をやっていることになっていると思われる風潮が強いですが、ヒヤリハットのような「もう少しで事故につながりそうな事象」が起こったら、そのときこそ規定や運用状況の見直しを図って、大事故につながらないようにカイゼンを講じることもセキュリティ維持には欠かせない活動です。
そのためには、ヒヤリハットの事例を積極的に収集する必要があります。しかし、鞄を電車に忘れてしまったが翌日取りに行ったらあった、などという事例は処罰を恐れて誰も届けないでしょう。まさかそれを褒める訳にもいきません。それなら「匿名」で集めるのはどうでしょうか。匿名であればヤバかったことでも情報収集できるかもしれません。
さて、先月のコラムで忘年会における情報漏えいについて書きましたが、その後、私の知る範囲でもいくつか鞄がなくなっています。そして悲しいことに何らかの「処罰」が行われています。うっかりであれ、ひったくりであれ可哀想だけでは済ませてもらえません。顧客情報の紛失をしてしまえば、会社としても「可哀想だから処分しませんでした」「お酒の入ったときのことですから」とお客様に伝えることなどできないからです。

PDCAサイクル、ちゃんと回していますか？ | 日経 xTECH（クロステック）