①現場（部分最適）と経営カバナンス（全体最適）のコンフリクト

情報セキュリティ・サイバーセキュリティに脅威が日に日に増す中で、業界内でセキュリティ対策が遅れていた当社は、セキュリティポリシー再設計やセキュリティガイドライン及び浸透活動を始めました。事業部制を引いており、各事業部毎に、ビジネスモデルや商習慣の違い、情報に対する感度やITリテラシーもバラバラの状況にあり、経営ガバナンスをコントロールしづらい状況にありました。加えて、情報セキュリティの管掌部門である情報システム部門は、社内的な影響力が低く、情報セキュリティは情報システム部門の責任という社内認識が依然としてある状況でした

②抵抗を産むのではなく、巻き込んでいくというコミュニケーション

キュリティコンサルを導入し、情報資産の棚卸からリスクアセスメントなど基本的な項目は実施できるものの、肝心の事業部門の巻き込み・社員への腹落ちという根幹的な部分が残りました。
セキュリティコンサルと一緒に、セキュリティ実践度とセキュリティ対する納得度を可視化するアンケートを設計し実施しました。そして、事業部門内ワークショップを実施し、外部から、情報セキュリティのリスクを指摘するだけはなく、アンケートデータを基に、事業部門内で自分たちでリスクを洗い出してもらいました。又、そこで出てきた各事業部の課題や解決策を、イントラで共有し、最終的には、情報セキュリティガイドラインにも反映する個になりました。