第4回 コンサルティングは必要か：企業がとるべき、個人情報保護対策（3/3 ページ）

[佐藤隆，ITmedia]

　2つ目は、コンサルティング期間を区切り、成果を明確にすることである。1年以上かけてコンサルティングを行い、成果が出るのが2年、3年後では今問題になっている個人情報保護対策の必要性が薄れてしまう。企業の経営改革ではないので、短期間（数カ月）で成果を出すように要望するとよい。

図1■契約際数とその効果

一度に契約するよりも、分割して契約すれば効果を確認しやすい

現場に負担をかけないコンサルティング手法を採用すること

　コンサルティングの手法によっては、現場に負担をかける場合がある。あるコンサルティング会社は、組織に存在する個人情報を収集するために、現場の担当者に個人情報の調査を命じ、調査シートの作成までを依頼した。この結果、対象部署では作業負荷が増大した。

　一方、別のコンサルタントは自ら現場を回り、ファイルサーバやデータベースにある個人情報を洗い出して、調査シートを作成した。現場の評価が後者に集まったことは言うまでもない。ただし、コンサルタントが何でも自ら行えばよいという単純なことでもない。

　前社のコンサルタントにも言い分はある。調査シートの書式がノウハウになっており、現場の担当者に記入させることが手法のポイントになっていたのである。しかしそんな事情は現場の担当者は知らない。このため、社内からコンサルタントへの反発が広まると、せっかくコンサルタントが分析して提出した改善提案も、さらなる作業負担の増加を危惧して拒否される。また、コンサルティング契約が終了すれば、元の状態に戻ってしまうことになる。元の状態に戻り、効果が出なければ、経営者はコンサルタントの能力が優秀であっても評価を下げることになってしまうのだ。

　経営者と末長く付き合うことができるコンサルタントは、現場が協力できる作業量を読めて、過度な負担を要求しないものである。コンサルティング料金も単純計算された（コンサルティング会社のルールによって算出した）料金を請求せずに、企業の経営状況を考慮している。企業を潰してコンサルタントが儲けることは本末転倒なのだから当然である。

最初はコンサルタントの講演に参加してみること

　最近は個人情報保護に向けたセミナーが開催されている。企業で抱えている問題を整理したら、コンサルタントの講演を聞いてみるとよい。講演では一般的なことしか話さないかもしれないが、質問をして適切な回答があればラッキーだ。また、コンサルタントであれば著書を出しているし、ホームページで情報を発信している人も多い。

　契約範囲に限定されず、サービス精神を持っているコンサルタントは頼られる傾向がある。あるコンサルタントは、個人情報保護法が施行される前に、顧客に自己診断チェックシートを配布している。もし、頼れるコンサルタントを見つけたら、相談相手になってもらい、手放さないのもテクニックの1つである。

　次回は、個人情報を保護する考え方、企業が決めた保護方法を従業員に普及させる際に有効な、社内教育について解説する。

佐藤隆プロフィール

セキュリティコンサルタント。セキュリティ監査、ペネトレーションテスト、情報セキュリティ教育などの情報セキュリティ業務に従事し、大学では非常勤講師を務める。BS7799オーディター、ISMS審査員資格を所有している。