情報収集の実践(3)本は3回読め。特に大事なのは2回目まで!:情報セキュリティ(Pマーク・ISMS)での実践例|”考え方”を考える

AUTHOR :  田中 耕比古

スピード!スピード!!スピード!!!

前回、Amazonで本を購入するところまでは進みました。いよいよ、本を読んでいきます。意識するのは「スピード」です。

本は3回読む

基本的に、本は3回読みます。(モノによっては、2回で十分です)

1回目は「全体を掴む」のに注力します。よく分からないところがあったら、無視です。重要なのはスピードです。15分とか20分で流しきります。(最初のうちは、小一時間かかるかもしれませんが、訓練により早くなります。)

2回目は「気になるところをピックアップしてちゃんと読む」段階です。これは、気になるポイントがいくつあったかによって変わりますが、30分から1時間程度が一つの目安だと思います。

3回目は「細部まで読み込む」です。ここまでやる必要がある本は少ないです。企業研究本の一部に、その価値があるものが紛れてます。時間は1~2時間程度かかると思いますが、2回目で読み込んだ部分はスキップできるのでご安心を。3回目のサイクルに入っているということは、2回目で気になるポイントがかなり多かったということを意味するので、比較的短時間で読み込めます。

”3回×3冊” ではなく ”3冊×3回” で。

尚、ここで気を付けてほしいのは、3冊買った場合に、「1冊目を3回読んで、2冊目を3回読んで、3冊目を3回読む」というサイクルはNGだということです。正解は「1冊目を1回読んで、2冊目を1回読んで、3冊目を1回読む。次に、1冊目の2回目、2冊目の2回目、、、」と読み進めることです。

これは、何度も書いていますが「とにかく全体を俯瞰する」という目的が最優先なためです。

実際に読んでみよう(1回目)

ということで、実際に読んでみましょう。

1冊目×1回目

まずは、初歩中の初歩のこの1冊です。

マンガでわかる日本一やさしいPマークの本
中溝 規雄(株式会社ワークストラスト)
ワークストラスト
売り上げランキング: 52,348

540円、52ページ、しかも漫画。一瞬で読めます。(ほんとに、5分くらい)

  • 書籍選びの際に除外した「JISQ15001」はプライバシーマークの基準だった
  • 会社のメールアドレスも、氏名が判別できるなら「個人情報」になりうる
  • 名刺を机の上に放置しておくのも「個人情報」管理の観点からはNG
  • 個人情報を取得する際は、同意書がとにかく重要
  • 同意書が取れない場合に備えて、個人情報の利用目的をウェブサイトにしっかりと記載しておく
  • 印刷会社に名刺印刷を出す場合なども、社員の個人情報を外に出している、ということを認識する
  • オフィスの鍵を全員に持たせると「紛失リスク」を背負うことになる
  • 来訪者の執務スペースへの入室は、厳重な管理が必要
  • 日々の運用も重要。社内監査は必須。さらに、年に1度の審査がある。

という程度のことが、まずは分かります。これがすべてではないのですが、「こういうことを徹底することが、プライバシーマークを取得するということだな」という土地勘が分かれば十分です。

2冊目×1回目

続いては、周辺領域も含めてまとめられたコチラの一冊。

250ページほどあります。とりあえず、どこの部分を押さえればいいのかをザッと眺めていきます。まぁ、15分くらいですね。

まず、流し読んだ全体構造です。

  • この本のテーマは、個人情報とは関係ない「一般的な情報セキュリティ」の話が多い。
  • 前半は、特にインターネット経由での”脅威”についての解説に注力している(一部、ソーシャルエンジニアリングなどのアナログアタックもある)。ハッカー(正確にはクラッカー)が、どういう攻撃をしてくるか、が、素人向けにしては相当詳しく説明してある。(DoS、DDoS、SQLインジェクションなど、攻撃方法について解説があり、なかなか興味深く読めそう)【第二章】
  • それらのアタックを想定して、どういうセキュリティ対策が必要か、ということも、しっかりと説明されている。【第四章】
  • 後半に、今回の目的として知りたい「情報セキュリティマネジメント」「情報セキュリティポリシー」などの話が入ってくる。情報資産の洗い出し、リスク評価などの”とるべきアクション”が説明されている。【第五章】
  • 国際基準(ISO等)の説明がされている。ISMS適合性評価、個人情報保護法、プライバシーマーク制度の項目がある。【第六章】

この時点で、読むべきは、第五章の大半と、第六章の一部で良さそうだな、とアタリがつきました。尚、しっかり読んだ方が良さそうな部分は、ドッグイヤーをつけておきます。

P-mark010

また、内容的には、以下のようなことが分かりました。

  • 個人情報保護は、情報セキュリティの一部。
  • クラッカーからの攻撃に備える、なども、セットで考えないと、本当の意味での「個人情報保護」は達成できない(全ての情報をネットワークから切り離して情報管理することは現実的ではないため)
  • リスクの考え方には手順があり、それは、かなり形式的に決められている。
  • 運用も相当しっかりやらないといけない。ルールだけでなく、組織や体制の構築が必要になる。
  • 個別の国際基準・規定の違いを覚える必要はなさそう。取得した認証プログラム(例えばプライバシーマーク)の取得プロセスに則って学べば、実務上は十分。

1回目の流し読みで、これくらいわかっていれば十分かなと思います。

3冊目×1回目

続いて、3冊目。「半年がかりで、”個人情報保護マネジメントシステム”を構築する」という本です。

そもそも、タイトルを読んで「なるほど、6ヶ月とか普通にかかるんだ・・・」ということが最初の発見です。

で、中身を流し読みしましょう。少し読みにくい体裁ですが、それでも15~20分もあれば良いでしょう。

全体的な構成としては、こんな感じ。

  • 序章「個人情報保護マネジメントシステムとは」は2冊目を読めばカバーされそう。
  • 第1章「プライバシーマーク取得計画」は必読。体制例、業務フロー、個人情報管理台帳などは、そのまま取得時に流用できる。現地審査の方法も具体的で役立ちそう。
  • 第4章「個人情報の特定」、第6章「リスクなどの認識、分析および対策」、13章「適正管理」のあたりは、そもそも、自社で運用できるのかの見極めとして重要と思われる。
  • その他の項目は、流し読みしておけば十分そう。

内容的には、あまり目新しいことは無く、具体的な「ハンドブック」だな、ということが分かりました。

そして、この時点で、最初の2冊をしっかり読めば、最低限の知識は得られそうだなというアタリがつきました。なぜならば、3冊目をざっと読んで「そんなに目新しくない」と思えたからです。ここまでくれば、1回目の流し読みの目的は、十分達成されたと言ってよいでしょうね。

ここまでにかかった時間は、5分+15分+15~20分で、30~40分程度です。

2回目は、気になったポイントを掘り下げる。

ということで、2回目は、気になったポイントを掘り下げていきましょう。

  • 1冊目は、短くて内容も軽いので、いろいろ考えずに、全ページを読んでしまえばよいです。まぁ、せいぜい20分というところでしょう。
  • 2冊目は、ドッグイヤーが9つありました。それぞれ1~3ページくらいなので、まぁ20~30ページ程度です。30分もあればOKですね。
  • 3冊目は、ドッグイヤーは6つでしたが、章単位だったりもするので、これも30ページくらいにはなりますね。ということで30分割きましょう。

3冊合計で、1時間20分となりました。1回目の流し読みと合わせて2時間というところですね。

ここまでくれば「読んだ方が良いところ」は、一通り読みつくしましたので、基礎知識・周辺情報の収集としては十分です。もちろん、実際にプロジェクトを進める中で、より詳しいことや、他の部分についての情報が必要になるのは避けられませんが、それらについても「どの本に、どういうことが書いてあるか」が把握できていますので、困った時に、どの本のどのあたりを読めばいいかのインデックスは頭の中に作られているハズです。いやー安心ですね。

3回目は”周辺を押さえる”のに使うべき

プライバシーマークを取得する、という目的に照らし合わせれば、3回目の読み込みが必要なのは、3冊目の「6ヶ月で構築する 個人情報保護マネジメントシステム実施ハンドブック」だけだと思います。他の2冊は、2回目までで十分です。(1冊目は、2回目の時点で3回目レベルまで読み込んでいるから、と言う理由ですが)

しかし、僕なら、2冊目「図解入門 よくわかる最新情報セキュリティの基本と仕組み―基礎から学ぶセキュリティリテラシー 」についても、3回目の読み込みを行います。その理由は、この本が、周辺領域をしっかり押さえているからです。コンサルティングの観点から言えば、そのものズバリの領域の知識は”あって当然(MUST)”です。そこに付加価値はありません。しかし、その周辺領域の知識は”あったら嬉しい(Nice-toーHave)”知識です。これは、付加価値になります。個人情報を管理するだけだから、インターネット経由の脅威を気にしなくてよい、ということにはなりません。そのあたりの”あったら嬉しい知識”をしっかり押さえていくことで、”正しい思想”を理解できます。こういう取り組みは”思想”がないと「管理のための管理になり、形骸化する」という結果になりがちです。それでは本末転倒ですよね。「形骸化させずに、真に運用される仕組み」をつくるためにも、周辺領域を押さえに行くのが、正しい行動だと思います。

ということで、この2冊をしっかり読み込んでいきましょう。(僕なら、プロジェクト開始前に読み終えてしまいますけれど、まぁ、プロジェクト期間中に時間を見つけて読むというのもアリです。とはいえ、プロジェクト開始後1週間くらいでは読み終えておくべきだと思います。)

さぁ、プロジェクトで頑張ろう!

これで、基礎知識・周辺情報の収集手順はおしまいです。既に書いたように、この時点で

  • プライバシーマークとはナニモノか
  • プライバシーマークの取得にはどういうことが必要か
  • プライバシーマークの運用のためのハードルは何か
  • 個人情報保護の観点以外に、セキュリティを高めるためには何をするべきか

というようなことは、理解しているはずです。さらに、

  • 他に、どういうキーワードがあるか
  • そのキーワードは、大まかな概念としてどういうものか
  • 詳細を知りたい場合は、どの本のどこを読めばいいか(あるいは、再読すればよいか)

も分かっています。(今回の例では、3冊とも3回目まで行ってしまったので、読み込んでいないキーワードは、殆ど存在しないですけどね。)

ということで、この先は、実際のプロジェクトにおいて、以下のようなことを考えていくことになります。

  • 自社において、プライバシーマークの取得は可能そうか?ハードルが高いのはどの部分か?
  • 取得できたとして、運用体制が組めるか?現実的に、運用できるイメージがつくか?
  • そもそも、セキュリティマネジメントの観点で、個人情報の前に強化すべき項目が無いか?

この3つめのポイントが、実はとても大事です。「プライバシーマークを取得する」というお題そのものが正しくないこともあるんですよね。世の中って。そして、この問いにたどり着くために、上記2冊目の”3回目の読み込み”が効いてくるわけです。

 

この連載では「プロジェクト開始時の基礎知識・周辺情報の集め方」の具体例として、「プライバシーマークの取得」という架空のプロジェクトのための準備段階をご紹介してみました。この内容に限らず、新しいプロジェクトに参画する、あるいは、新しい業務領域に転職・転属した際に、このやり方を踏襲していただければと思います。

SERVICE