小規模事業者でISMSは意味有るのか
前職の会社は20人そこらしかいない、所謂小規模IT企業だった。
4割ぐらいは自社で受託、残りはSMSというところ。
ただ他の同様の企業と違うのは、小規模ながらにしてISMSを取得していたこと。
まぁでもご多分に漏れず取ることが目的になっていたという事情になっていた。
取得はそんなに難しくないにしろ、PDCAぶん回すとか小規模事業者でそれを毎年続けるってけっこう大変じゃないのかという事案だった。
取得が難しくないのは自社に合ったルールを整備して守っていればそれでいいという、裏を返すとかなり大味なルールをつくったとしても守れていればOKみたいなそんなもの。
社長様が何かで見て思い立ったんだろうけど、取得して翌年以降のルールの改善とかは他の社員に押し付けられて面倒以外の何物でもなかった。
まずは要改善項目を提案しても対応できない。例えばPC盗難対策がパスワードだけとか信頼性可用性など小規模事業者でカバーするにはかなり大変なルール整備をしなくてはならない。
私が提案した内容は殆ど削られて採用されるものはほぼなかった。つまりそれって出来ません言ってるようなものじゃないか。
そしてPDCA回す余裕すらないこと。そもそも一人や二人で計画とか評価できるのかといえばそう簡単に出来るわけでもなく。
ISMSを維持する目的で無理やり回すという、それって果たして何のためにやっているのか?という疑問がつくのも無理はないわけで。
Pマークよりなんか凄そうというイメージを客に植え付ける目論見でISMS取るのはやめてくださいホント。毎年のチェックを押し付けられる身にもなってください。
従業員が多い企業ならともかく、30人とかそこらの小規模事業者で取る意味があるのか?と私は問いたい。
そんな前職の社長に「貴様にやれる仕事がない」と実質的な用済み宣言を出されて転職する羽目になりましたが、私は元気です。