e-Japanで問われる印刷会社のセキュリティ

●定期開催セミナー一覧営業・企画／デザイン・制作・製版／経営・管理／印刷・製本／新人研修・印刷の基礎●JAGATサイトトップ

ネットワークが社会生活のインフラとなり始めた昨今，印刷会社としては今までに考えもしなかったルールや社員教育が必要になった。情報セキュリティである。セキュリティというと何か技術的で大きなシステムを想定しがちであるが，実は社員一人ひとりのモラルと身近なルール作り，そして経営者のポリシーがすべての基本である。いつもある水準で情報が管理されていることをクライアントに明示できることは大きな信頼感を生む。

■信頼こそビジネスの基本
今営業が一番研究しなければならないのが「顧客」である。自社の技術知識・商品知識は当たり前だが，それ以上に「顧客を知り尽くす」ことである。元気な企業，営業マンは，「自分のお客を非常によく研究している」。顧客に則した提案をするため，たとえ同じ結果であっても満足度の度合いにかなり差が出る。
印刷でもよくキーワードに挙げられるデータベース提案ほど，「言うは易く行うは難し」はない。データベース知識以前に顧客の現状と問題点を知り尽くしていなければできないビジネスである。
相手を知り尽くすことは，数値を掴むことではなく数値の裏付けを掴むことである。そのためには信頼関係がなければならない。

ビジネスは信用取引で成り立っている。印刷業界も長い歴史の中で，信用を積み重ね，社会的地位を築いた。経営者，従業員共に社会一般あるいは印刷会社としてのモラルや常識を教育しながら築き上げたものである。技術が変わり社会が変わる中で，印刷会社に求められる技術や信頼の尺度も変化している。ここ10年余りのDTP化とそれに続く社会のIT革命によって印刷の仕事の質がかなり変わったことは誰もが実感していることだろう。

よく印刷に求められる基本ニーズとして「早く，安く，きれいに」が挙げられるが，これからは発注先要件として「安全と信頼」が求められよう。従来でも受発注が成り立つ背景には暗黙のうちに「安全と信頼」が了解されていた。しかし，これからははっきりと企業姿勢や管理システムが問われる時代である。発注者は決して印刷のプロではないが，同じ基準・標準の管理システムを要求，あるいは確認することが常識となるだろうし，重要なデータを外部に発注する場合は，発注先の情報管理体制についてより厳しくなるだろう。これからの情報管理については，クライアントも印刷会社もリスクマネジメントという今までにない経営思想が必要になる。情報リスクは，ネットワーク社会では避けて通れない問題であることはいうまでもないが，特に印刷会社がクライアントの情報を預かり，加工し，蓄積し，あるいは流通・代行するビジネスを展開するとなれば，セキュリティ問題は金額は別にして生産設備と同等程度の重要課題といえる。もちろんデータセンターや通信業者のようなレベルでのシステムセキュリティは必要ないが，自社のサービス内容やクライアントの性格などと照らし合せたセキュリティは必須である。

■情報リスクマネジメントシステムへ
どこの企業でもシステムへのセキュリティ対策はそれなりに行っているが，一般的には，ファイアウォールやウィルスソフトなどの製品導入によるシステムの部分対策がほとんどである。また，経営トップの関与も薄く，システム管理者を中心にした現場主導対策である。セキュリティ関係者や専門家はこういった状態に警鐘を鳴らしている。システムをいくら強化しても不正侵入を完璧に防ぐことは困難であると同時に，情報関係のトラブルの多くは，ファイアウォールの内側で起きている。われわれがよく事件として耳にする「情報漏洩」などはその典型であり，信用失墜は計りしれない。また，社員が業務中に他社のサーバに不正アクセスを繰り返し，逮捕され，その企業と社長がお詫びをしたなどという話が増えている。これからは，経営トップが情報リスクを認識して，組織的セキュリティ対策を講じると共にマネジメントシステムを導入する必要がある。

情報マネジメントシステムの中心にあるのが，情報のセキュリティポリシーである。セキュリティポリシーとは「企業が保有している情報資産保護に対する経営方針を明示したもの」である。セキュリティポリシーは品質ISOなどと同じように三層構造で作成され，まず目的・管理指針を示し（基本規定），次に対策基準としてやるべきこと，やってはいけないことの管理規定を作る（適用範囲内のガイドライン），そして規定を具体的に運営するための実施手順が決められる（適用範囲内のルール・手順）。セキュリティポリシー策定の手順は，次のようになる。

・情報資産の洗い出し，分類・整理をすることで適応範囲を決める。
・リスク分析，評価手順。
・管理規定の整備。
・管理組織の見直し
　（情報セキュリティ委員会＜決定機関＞や情報セキュリティ策定チームの設定）
・教育・訓練（情報セキュリティに対する具体的な教育を階層別に行う）。
・実施，モニタリングを行い，社員への普及と精度を上げる。
・マネジメントシステムとしてサイクルを回す。

品質ISO，環境ISOと並んで情報マネジメントシステムは印刷会社の信用・信頼のための管理システムとしては大変重要なキーワードである。

■自社の身の丈にあった管理方法が必要
お金を掛け，高度なシステムにすることよりも，自社に合った実効あるシステムにすることが大切である。現在情報セキュリティ規格としては，イギリスの規格であったBS7799を基に国際規格となったISO/IEC17799，BS7799の日本版として作られたISMS（情報セキュリティマネジメントシステム）適合評価制度などがある。
また個人情報の保護を目的に作られたのがプライバシーマーク制度（JIS Q 15001）である。DMや各種名簿，IDカードなどの印刷やデータベース，企画・マーケティングをビジネスとしている印刷会社を中心に，3月現在28事業所が認証を取得している。

以上のような管理体制，マネジメントシステム規格に対して，情報機器のセキュリティ機能の国際標準としてISO/IEC15408があり，セキュリティを保証するレベルが7段階ある。自社のセキュリティポリシーに合わせた導入基準が決められる。
そのほかアメリカ，カナダ，オーストラリア，英国など10カ国の公認会計士協会が電子商取引のセキュリティとプライバシー保護に関する業者認定をする「Web Trust」などの認証制度がある。

情報の管理体制にはどのような要件が必要で，かつどのようなリスクが存在するのか，これからの印刷会社の経営者・幹部はしっかりと認識し，社員教育をする必要がある。プリプレス設備・印刷設備を整えるだけであった，かつての印刷会社とは全く違った世界が出現しようとしている。この世界は遠い将来のことではなく，すぐ目の前に迫っていることである。なぜなら電子政府・電子自治体といった社会生活に密着したところが，国の方針とし動き始めたからだ。