おひさしぶりです。
前回の日記は、当初の予定通り3日坊主となってしまいました。
ここで心機一転、再チャレンジしてみたいとおもいます。（いつまで続くのか？）

さて、4月の個人情報保護法の施行にむけて、世の中では「Pマーク」や「ISMS」の取得が一台ブームとなっています。
皆様のまわりでも
・資料の電子媒体での持ち出し/メール送信の禁止
・資料の印刷禁止
・印刷した資料の持ち出し禁止
などというところは結構多いと思います。

ですが、本当に必要なんでしょうか？
やりすぎではないでしょうか？

セキュリティを議論するために、まず必要となるのはリスク分析だと思います。
そのためには、
1.保持している情報資産の洗い出し。
2.漏洩した際の、影響分析
3.情報を保護するための施策の実施
という流れになると思います。

今のブームでは、1.と2.を飛ばして、いきなり、3.から実施している場合が多いようにみえます。
つまり、
「資産の洗い出し」-> 「面倒」
「影響分析」-> 「さらに面倒」
「施策」-> 「(面倒なので、)すべての資産は持ち出し禁止とする」
ということになっているのではないでしょうか？

確かにそれでも情報漏えいは防げますが、大げさすぎると思うのです。
世間一般にあふれている情報でさえも、持ち出し禁止としてしまうのは、たとえるなら、
・コンビニに「防弾チョッキ」を着て買い物にいく
・週末のスーパーへの買出しに「装甲車」でいく
というような感じではないでしょうか。