綺麗な花を楽しんだランの鉢から新しい葉や根が生えてきています。鉢がスカスカだったので水苔を少し足して、水やりをしました。最近は、暑いので鉢の中が乾くのも早いですね。
***
だいぶ前に「リスクは、宇宙人と同じ」という話をしたことがあります。これは、リスクは存在すると信じる人には見えるかもしれないけれど、信じていない人には(たとえ目の前にいても)気づくことはない、という意味です。最近、改めてそれを実感する経験が続きました。
この「リスクは、宇宙人と同じ」というのは、リスクの識別が個人の経験や主観に依存するという点で、関連するリスク管理策も結局その個人に依存したリスク範囲を超えないということが怖いと思います。
クラウドサービスを盲目的に信頼して利用するのは危険ですが、リスクを主観でのみ洗い出して管理策をたてても、それは自己満足に過ぎません。
では、どうするか?クラウドサービスの導入を推進する立場にいるボクがやっているのが、「他人のクラウドに対する不安、トラブル、クレームの声に耳を傾ける」ことです。宇宙人を信じるかどうかは別として(笑)、自分が見えていないものが見えている、感じている人の話を信じてみようとする姿勢が大事という話です。
なぜかといえば、不安やクレームは裏返せば要望であり、対応すべきものである(かもしれない)からです。もっともボクの場合は、情報セキュリティの専門的なバックグラウンドを持っていないことが幸いしているのか、どちらかといえば謙虚に話が聞けるている方だと思います。でも、どんなに自信があっても、不安の声を聞いたときに、自分が何か見落としてはいないかと立ち止まることは必要です。
例えば、事務所の同僚がユーザの誤操作によるデータの喪失が不安になって、電話をくれたことがありました。“こういう対応しているから大丈夫ですよ”、と答えて電話を切ってから、何かが引っかかって考えていました。たしかに可能性としてはゼロではない、たまたまこれまで事故になっていなかっただけではないかと。もっと徹底することができないかと考えました。
その結果、品質管理メンバーの協力を得て、既存の対応策をちょっと工夫して変えることにより、ユーザが自然に対応を徹底でき、結果的に同僚の心配も解消されることに気づいたのです。
また、別のときは顧客からの問い合わせが気付きになることもありました。提供したデータの保全に対する不安です。これまでも顧客からの個別問い合わせには、直接ないしチームを通じて説明をしてきましたが、少し雰囲気が異なっていました。直接話を伺ってわかったのが、クラウドに対する信頼性の違いです。まだ自社でクラウドサービスの利用が進んでいない場合、それが機密性に関するリスクに関わるときは、大きな不安になります。クラウドに対する信頼性、すなわちリスク受容度が異なるのは、それぞれの事業体が置かれている企業環境の違いがあるからです。その解消をするために説明が必要になるのですが、ボク自身が感じたのは、これまで自分が行っていたリスク評価プロセスは監査法人の立場しか考えていなかったということでした。
そこで、これまでのリスク評価プロセスの視点を変えて、顧客視点ですべてを見直した時、「だから伝わらなかったのか」と気づきました。新たな管理策を導入するのではなく、相手の立場でリスクシナリオを描くことで対応しました。顧客視点の説明書を作成して回答した後、その顧客とはクラウドリスクに対する認識が共有できるようになりました。
またある時は、打ち合わせで発した組織外の専門家のコメントで気付くこともありました。クラウドリスクへの対応策としてベンダーへ質問した内容です。自分への質問ではなかったのですが、全く同じ質問を数年前に先輩OBから、ボク自身されたことがあったのを思い出したのです。その時はそこまで対応しなくてもいいと考えたのですが、これってやっぱり必要なのかなと再考するきっかけになりました。
現在、日本公認会計士協会は、IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」及びIT委員会研究報告第34号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」を4年ぶりに見直しを行うため、公開草案として公表しています。
前回改正時の環境と異なるのは、銀行はじめ金融機関でも、また政府や自治体でもクラウドサービスの調達が広がりつつあることです。IT4号では監査業務でもクラウドの利用が一般的になりつつある現状を踏まえて、リスク管理プロセスに重きをおいています。
クラウドサービスには特有のリスクがあります。クラウドサービス事業者でない以上、クラウドサービスを利用する者は識別したリスクには漏れがあるかもしれないということを忘れず、「他人のクラウドに対する不安、トラブル、クレームの声に耳を傾ける」という姿勢が望まれるのかなと思いました。
