JPCERT/CC：経営リスクと情報セキュリティ

JPCERT/CCのサイトで，下記の文献が公開されている。

　経営リスクと情報セキュリティ ～ CSIRT：緊急対応体制が必要な理由 ～
　JPCERT コーディネーションセンター: 平成20年12月
　http://www.jpcert.or.jp/csirt_material/files/csirt_for_management_layer.pdf

危機管理の問題として情報セキュリティをとらえる分かりやすい内容だと思う。

しかし，肝心の点がすっぽりと抜けてしまっているという点を指摘したい。

それは，情報セキュリティのマネジメント主体である企業自らが経営破綻やテロなどのために消滅または活動不能状態となってしまう場合についての対応策が何も述べられていないということだ。

おそらく，企業経営者に対して「自社が破産する前提で考えなさい」と言ってみても無理なので，しょうがないことかもしれない（←「何か恨みでもあるのか！」と怒鳴られるのがせいぜいだろう。）。今後の対応策としては，会社法を大改正し，法人設立の際には経営破綻等により突然企業が消滅または経営不能になってしまう場合に備えた事前対応策を定款等の上で明定させるように義務付ける必要があると思われる。そうすれば。どんなに傲慢な経営者であっても，常に「自らが滅びるとき」を明確にイメージしながら企業経営するようにさせることができるだろうと思う。立つ鳥跡を濁さず。

一般に，マネジメントの主体が崩壊してしまい，マネジメント不能に陥ってしまうような事態を全く想定していないことは，現在主流となっている「マネジメントシステム」の考え方における最大かつ致命的な欠陥だ。この点については，今後も可能な限り強く主張していきたいと思う。