youseeの日記: ISOを取った某社のセキュリティ 2
とある小企業に、お仕事の話をしに行った。
久しぶりに訪れたのだが、受付ブース裏に以前はなかったドアがあったりして、少し様子が違う。
「ISOを取ったんですよ」
そこの社長はなんだか誇らしげに言った。ISOを取ったおかげで、以前よりも少し大きな企業とも直接取引できるようになったのだとのこと。
受付裏のドアはそのまま会議室に通じていた。以前は会社のフロアを横断していかなければ会議室にたどり着けなかったので、フロアの様子とか広げてある資料とかは訪問客に丸見えだったのだが、直通ルートができたおかげでセキュリティが大幅に向上したという話らしい。
すごいですねー、大変だったでしょう。とか世辞を言いながら仕事の話をする。
午前中には片が付かず、フロアに移って実務の人と打ち合わせを続けていたら、化粧のきついおばちゃんが近づいてきた。ここの社員の人かな?
「ちょっとお時間よろしいでしょうか?」
「はい。どうぞ」
「私のお仕事なので、これに記入してください」
「……?」
差し出されたのはXX生命の名刺と、何かのプレゼントキャンペーンのチラシ。
チラ見すると「住所氏名家族構成そして趣味を記入すると、商品券が当たるかもしれない」というすてきなお知らせだ。
このISO企業は、保険屋のおばちゃんがフロアをうろうろしてんのかい!
のべつ幕なしに声をかけて、個人情報収集しまくりである。欲しければその辺の机に置いてあるファイルの何冊かは持ち出しだってできるだろう。産業スパイも真っ青だ。
僕は当然お断りなのだが、ここの社員たちは特に抵抗する様子もなく、個人情報を渡していた。うーん、今後の取引継続は考えちゃうような光景だなぁ。
世間の企業人のみなさん。ISOを持ってる会社だからって信用しちゃダメですよ。
27001ですか (スコア:0)
9000の時でも「問題発生時に手順無視して口頭だけで対応すれば問題自体が無かった事に出来る」なんて思って運用していた某社があった。
結局、規格対応に依る効率的な管理ってのは、皆がちゃんと尊重して動けば高率が良くなる。
管理側は規格に沿った処理でのみ管理すれば済む筈だから。
けど一部でも無視する奴が居れば、その楽になる事自体が明確な穴となってしまうと。
Re:27001ですか (スコア:1)
入り口のところには額が2つ飾ってあったような気がします。今度よく見てこよう。
企業のセキュリティはなんていうか、囚人のジレンマですね。それとも教育の問題なのかなぁ。
とりあえず従業員が自分の情報を守れないあたりで、ここは根本的なところが欠けている(または病んでる……結構激務っぽいので)可能性が高いと思いました。取引どうすっかな(さすがに景気悪いのでぽこぽこ断るわけにもいかないし)。