正直、あのメールが来た瞬間に胃がキュッとなる社長、多いです。件名はだいたい「セキュリティ調査票のご提出のお願い」。期限は短い。添付はExcel。しかも質問がやたら細かい。
「情シスに聞いて」って言えたら楽なんですが、そもそもいない。外注先に丸投げ? それも時間がかかる。で、手が止まる。この“止まり”が一番危ないんです。
実際に現場でよく聞く不安、並べます。
- これ、間違えて書いたら取引止まるんじゃ…
- どこまで正直に書くのが正解?
- 専門用語が多すぎて意味が分からない
- 過去の事故とか、書かないとダメ?
- 毎年同じこと聞かれてる気がする
最悪の未来はシンプルです。回答が遅れる、内容が曖昧、確認に時間がかかる。その結果「今回は見送ります」「次回以降で」。信用は一気に削られます。
この記事のゴールは、社長が“その場で即答できる判断軸”を手に入れることです。
難問1:情報セキュリティの責任者は誰ですか?
なぜこの質問が出てくるのか
取引先が知りたいのは「何かあった時、誰が責任を持つ会社か」です。肩書きの立派さではありません。連絡がつく人、決断できる人がいるかどうか。
ここで止まる理由は、「専任がいない=書けない」と思い込むこと。実は違います。
現場では、社長が責任者でも全く問題ありません。むしろ情シス不在なら、それが自然です。
放置するとどうなるか
空欄や「未定」は、かなり印象が悪いです。体制が無い=管理されていない、という受け取られ方をします。
実際に、ここだけで差し戻しになるケース、何度も見ました。
社長が誤解しやすい点
「責任者=専門家じゃないとダメ」という誤解。違います。責任を負う人、判断する人です。
だから社長でOK。補足で「実務は外部ベンダー支援あり」と書けば十分です。
結論:責任者は社長。迷ったらそう書く。
難問2:セキュリティポリシーは文書化されていますか?
なぜ聞かれるのか
ルールがあるか、守らせる仕組みがあるか。その最低限の確認です。
完璧な分厚い規程は求められていません。
放置するとどうなるか
「口頭のみ」「各自判断」は危険判定になりやすいです。
事故が起きた時、会社としての姿勢が問われます。
よくある現場事例
実際は、メール注意・USB禁止・パスワード管理、これだけ決めてる会社が多い。
それを文書にしてないだけ。紙1枚でも“文書化”です。
難問3:ウイルス対策・不正侵入対策は何を使っていますか?
なぜ細かく聞かれるのか
取引先は「最低限やっているか」を見ています。
製品名が分からなくても、方向性が分かればOKです。
社長が止まりがちなポイント
横文字が多くて怖くなる。正確に書かないといけないと思う。
実際は「ウイルス対策ソフト導入」「外部からの侵入を防ぐ機器あり」で十分な場合が多い。
現場あるある
ベンダーに確認せず、勘で書いてしまい後で訂正。これが一番もったいない。
難問4:過去に情報漏えい・事故はありましたか?
なぜ聞かれるのか
事故の有無より、向き合い方を見ています。
隠す会社か、改善する会社か。
放置・誤魔化しのリスク
後から発覚した時のダメージは致命的です。
信頼関係が一気に崩れます。
現場での正解例
「過去に軽微な事案あり。再発防止策を実施済み」
これで評価が下がることは、ほぼありません。
結論:事実+対策を書く。それだけ。
難問5:従業員への教育・周知はどうしていますか?
なぜ重要視されるのか
事故の多くは人為ミスです。ここを見ています。
よくある勘違い
研修会社を入れないとダメ、と思い込む。
実際は、朝礼で注意喚起、メール共有でも立派な教育です。
現場あるある
やってるけど、記録してない。これがもったいない。
| 即答できる会社 | 止まる会社 |
|---|---|
| 責任者が明確 | 担当不在で空欄 |
| 簡易でも文書あり | 口頭ルールのみ |
| 分からないは確認 | 勘で記入 |
まとめ:明日で社長がやるべき具体行動
ここまで読んだ社長に、明日やってほしい一歩はシンプルです。
- 調査票で毎回止まる質問を3つ書き出す
- 外部ベンダーに正式な回答テンプレをもらう
- A4一枚の社内ルールを作る
「分からないから止める」会社から、「分かる範囲で即答する」会社へ。これだけで評価は変わります。
