Scribble at 2022-12-12 11:51:26 Last modified: 2022-12-18 16:00:07

ISMS やプライバシーマークの運用をやってる会社の人間なら知ってることだろうけど、新しい顧客や取引先に対して、リスク管理なり与信という理由で、「ベンチマーク」というアンケートを送付して回答してもらうことがあるわけだよね。実際に相手の事業所へ視察へ出向くことだってある。で、そういうベンチマークというのは実態なり実情を把握するためであって、監査してるわけではないんだよね。不備があればそれはそれで発注する側も注意しようってだけの話にすぎない。もちろん財務状況が深刻になってて、来月にでも倒産するってことだと困るけれど、情報セキュリティの場合は一朝一夕に会社全体で何かが改善できるとも限らないし、逆に高いレベルで実務をこなしていても、間違い一つで深刻な結果になることだってある。それはボタン一つで大量の情報を扱っている、効率化された業務が欠かせない以上は、仕方のないことだ。

零細のデザイン会社とか個人事業主として、情報セキュリティや個人情報保護として実施できてる範囲や水準なんて、はっきり言わせてもらえば知れてるんだよ。なので、僕ら与信判断をする側から言えるのは、不足していることがあると自覚してもらうためにも、適当な嘘をつくなってことだけなんだよね。たとえば、零細のデザイン事務所に俺みたいな（レベルの）個人情報保護管理者 (Chief Privacy Officer) なんているわけねーんだよ。それを任命してるとか、平気で嘘をつく。もうそれこそ Softbank のロボット並みに、アンケートの枠があれば反射的に〇を書き込むロボットのようなものだ。それは、人のやる仕事ではないよ。そして、僕らは人と仕事がしたいんだよね。ロボットや AI を概念として敵視したり軽視してるわけではないけれど、現状の技術においては、鼻くそ同然と言わざるを得ない。ヒトの代わりとして、鼻くそがビジネスの相手なんぞになるわけがないんだ。