レキサスでは、日頃から社内の情報セキュリティーについて取り組む
ISC委員というチームがあり、会社のサービスの品質を一定に保ち
情報の取り扱いを厳密に保つため、各部署/チームから選出されたメンバーが
社内の情報管理やサービスの安定した運用について定期的に話しあう場を設けています。

そのISCの取り組みでも定期的に内部監査を行っており
先日も、我々ISC委員会のメンバーと社内から選出された内部監査委員で
社内を回りながら、徹底的にレキサスの情報運用体制をチェックいたしました。

そのときに考えたことをイロイロと出力したくて、エントリーします。

はじめて、ISC委員として内部監査を体験する私にとって
審査員メンバーの鋭い質問を真っ向から受け止め
レキサスでの情報管理方法を説明する各社員の姿が印象的なものです。

ところで、このプロジェクトに関わる以前、私が社内の情報の取り扱いについて
気を付けていたのは「規定ルールをしっかり守る」ということだったのですが
ISC委員になってみると、社内外で新たに発生した情報を
どのように取り扱うのかべきかという、【運用ルール】づくりを
考えて取り組む必要が出てきました。

つまり、Doするだけではなく、PlanやCheckまで考えるのがISC委員、
運用にあたって、PDCAサイクルでのPlanに当たる部分を最初に考え、
社員が実現可能で安全な情報取扱のルールを作成しています。

そして、議論を詰めながら情報運用のルールプランを作った後は
「さぁ、運用だ」と全社的に告知し、レキサスの情報セキュリティーの強度を
改善していく、というのがISCの担っている役割です。

しかし、このルールを始めてみたときに、プラン通りのDoを怠っている社員が
発見されることもままあります。

そんな時に我々ISC委員会は、怒りにふるえつつ
「●●さん、キチンとDoしてください！」と直線的に指摘することはしません。

「〇〇さん、なぜコレが出来なかったのですか?※」と問題点をあぶり出し
作業の自動化やチェック項目の作成など
より確実で効率的な情報管理を運用にむけた改善案(Act)を考えます。

※補足：決して、粘着質なメンバーではないですよ！
生産的な手順を目指しているのです。(キリッ)

レキサスが今後事業規模を拡大していくために
足場作りをガッチリしっかりやっていく為に頑張りましょう！>iscメンバー！レキサスクルー！

追記：PDCAのサイクルを強調するための「Doしてください！」なのですが
記事を読み返してみると、某大柴氏ライクなイングリッシュ表記に
見えてきてアイムシャイ、恥ずかしいです。