田中オフィス

第十話、IT改革進むべき道

ーー「ラーメン屋もIT化の波に」ーー

田中オフィスの会議室。白いブラインド越しに映る新緑の木々が揺れている。

会議室のテーブルには、水野さんが資料を広げ、その対面に営業担当の橋本和馬、そして専務の藤島光子が座っていた。テーマは、小規模事業者に向けたIT化支援の今後についてだ。

「最近、小規模事業者からの相談が増えていますね」と、水野さんが口を開いた。

「特にインボイス制度や電子帳簿保存法の対応については、業種を問わず影響が大きいです。制度の仕組みそのものを理解していないケースも多くて」

「ほんまにそうですね」と、橋本さんが腕を組んで頷く。

「この前、知り合いのラーメン屋の大将からも相談受けまして。『ウチみたいな個人店でも、電子インボイスとか対応せなあかんのか？』って」

藤島専務は静かに頷いた。

「もちろんよ。インボイス制度が始まって、適格請求書の発行が求められるようになったの。取引先が法人や大きい企業なら、対応しないと取引が不利になるわ」

「でも、大将は言うんですわ。『現金商売やし、そこまで厳密にやらんでもええんちゃうか』って」

「それが落とし穴です」と水野さんが即座に返す。

「電子帳簿保存法も関係してきますからね。手書きの帳簿やレシートの管理も見直さないといけません。国税庁の指針に従って、電子データの保存体制を整備しないと、税務調査で思わぬ指摘を受けるリスクが高まるんです」

「それにね」と、藤島専務が少し身を乗り出す。

「最近は、食材の仕入れ業者も電子請求書を使い始めてるのよ。もしラーメン屋さんが対応してなかったら、請求書のやりとりが面倒になる可能性があるわ」

橋本さんはゆっくりと頷きながら、手帳にメモを取り始めた。

「ほんなら、今のうちからクラウド会計ソフトとか、電子請求書のシステムを入れたほうがええってことですね」

「その通りです」と水野さん。

「ただ、個人店がいきなり高額なシステムを導入するのは難しい。無料から使えるクラウド会計ソフトや、スマホで領収書をスキャンして電子保存できるアプリの紹介が現実的でしょう」

藤島専務は頷き、手元の資料を一枚引き寄せた。

「G銀行にも話を通しておくわ。小規模事業者向けのIT導入補助金が使える可能性があるから、活用できる支援策をまとめておきましょう」

「ほな、さっそくラーメン屋の大将にも説明してみますわ！」と橋本さんが笑いながら立ち上がる。

「『ウチもデジタル化か～』って、たぶんびっくりするやろな（笑）」

その笑顔に、会議室の空気が少し和らいだ。

こうして、田中オフィスは地域の小規模事業者に向けたインボイス制度・電子帳簿保存法対応の支援を、本格的にスタートさせることとなった。司法書士と会計士、それぞれの専門知識を活かして、地域の実情に即した、実務に根ざしたIT導入のアドバイスを提供していく。

ラーメン屋も、八百屋も、小さな工務店も——

デジタル化の波は、どんな業種にも等しく、静かに、しかし確実に押し寄せていた。

ーーJIS Q 27000って何ですか？ーー

午後の陽射しが会議室のガラス越しに強く差し込み、田中オフィスの休憩スペースは少し暑めになってきた。電子ケトルが静かに湯を沸かし終え、芳ばしいコーヒーの香りが漂う。

稲田美穂はカップを両手で包み込むように持ちながら、隣のテーブルで資料に目を通していた水野さんに視線を向けた。

「水野先輩、JIS Q 27000って何のことですか？さっきお客様との打ち合わせで出てきたんですけど、私、ちんぷんかんぷんで…」

水野さんは視線を上げ、少し驚いたように眉を動かすと、すぐにやわらかな笑みを浮かべた。

「お、いいところに気がついたね。JIS Q 27000は、情報セキュリティマネジメントシステム——ISMSの基本規格だよ。2019ってのは、その最新版の年号のこと」

「ISMS…？」と稲田は首をかしげた。「会社の情報を安全に管理するためのルール、みたいな感じですか？」

「そう、その通り」と水野さんはうなずき、湯気の立つカップに口を近づけた。「企業が機密情報を適切に守るためのマネジメントの枠組みを示した国際規格があってね。JIS Q 27000シリーズはその日本版。特に、企業が認証を取るときに基準になるのは『JIS Q 27001』なんだ」

「え、じゃあ27000と27001って違うんですか？」

「うん、27000は定義や考え方をまとめた“基礎”みたいなもの。27001は、それをどう実践するかっていう“実務ルール”にあたる」

「なるほど…」と稲田さんは感心したようにうなずく。「でも、どうしてお客様がそんな話を？」

「最近ね、大手企業や金融系の会社と取引しようとすると、ISMSの認証を取っているかどうかを聞かれることが多くなってるんだ。つまり、『あなたの会社、ちゃんと情報を守れる体制できてますか？』って」

「うわあ……私たちのクライアントも、そういうの求められちゃうんですね」

「そう。特に今進めてるシステム導入プロジェクトでは、将来的に27001の認証取得を目指す話も出てるから、知識はあって損はないよ」

稲田さんは少しだけ不安そうな顔を見せたあと、ふっと表情を引き締めた。

「ちょっと難しそうだけど、勉強してみます！やってみなきゃわかりませんもんね」

「その意気だね」と水野さんはにこりと笑った。「じゃあ、あとでISMSの基礎についてまとめた資料、メールで送っておくよ」

「ありがとうございます！先輩の説明、わかりやすかったです！」

カップを置き、稲田さんは立ち上がると、デスクに戻る足取りを少しだけ軽くした。

こうして、稲田美穂は“情報セキュリティ”という新たな世界への一歩を、コーヒーの香りに背中を押されるように踏み出していった。

ーーリスクレベルの向こう側ーー

昼下がりの田中オフィス、窓際のミーティングルーム。静かな空気に、パソコンのキーボード音だけがカチャカチャと響いている。

稲田美穂は、スクリーンに映る資料を見つめながら、ふと口を開いた。

「水野先輩、リスクレベルの定義って…具体的にどういうことなんですか？」

少し身を乗り出すようにして尋ねた彼女に、水野さんはモニター越しにちらりと目をやると、口元に穏やかな笑みを浮かべて答えた。

「リスクレベルっていうのはね。物事が起きたとき、どれだけの影響があるかと、その出来事が起こる可能性――それを数値やランクで評価して、全体としてどれくらい深刻なのかを判断する考え方だよ」

「影響と可能性……なんだか、ざっくりしてる気がしますけど……」

稲田さんが眉をひそめると、水野さんは腕を組みながら言った。

「じゃあ、例え話で説明しようか。たとえば――うちのオフィスで、機密情報が入ったノートパソコンが盗まれたら？」

「えっ、こわ……でも、はい」

「そのときまず考えるのが“影響度”。パソコンの中身がもし、顧客の契約情報や財務データだったら？」

「それ、流出したら……大問題ですよね」

「そう、だから“影響度：大”。次は“発生可能性”。うちって、夜間はしっかり施錠してるし、持ち出しも厳しく管理してるだろ？」

「はい、鍵、毎日かけてますもん」

「ってことは、盗まれる確率は低い。だから“発生可能性：低”。この二つを組み合わせると、リスクレベルは“中程度”ってことになる」

「ふむふむ……でも、もしも普段から施錠ゆるかったら……？」

「そのときは“発生可能性：高”。影響も大きいから、“リスクレベル：高”。つまり、最優先で対策を講じないといけないという判断になるんだ」

稲田さんは目を丸くしてから、小さく頷いた。

「リスクがどれくらい“ヤバい”かを、冷静に見える化して、優先順位を決めるわけですね！」

「その通り。高リスクには即対応。中程度は、状況を見ながら。低リスクは、まあ注意する程度でいい」

「こういう考え方、システムだけじゃなくて、お客様の案件にも使えそうですね！」

水野さんは少し目を細め、コーヒーに口をつけながら言った。

「うん。たとえば、インボイス制度とか、電子帳簿保存法への対応でも、どのデータが“落としちゃいけない”ものかを見極める必要がある。その判断にも、このリスク評価の考え方が使える」

「IT化って、便利な反面、こういう管理もしっかりしないと危ないんですね……うーん、ちょっと大変だけど、勉強になります！」

稲田さんはそう言って、ノートパソコンの画面を再び見つめた。

彼女のメモ欄には、新しい言葉がひとつ、しっかりと打ち込まれていた。

リスク＝影響度 × 発生可能性

リスクレベル「高」→即対応

リスクレベル「中」→注意深く対応

リスクレベル「低」→必要に応じて

こうして稲田さんはまたひとつ、実務に活かせる知識を自分のものにしていった。

彼女の学びはまだ始まったばかりだが、その一歩は確かなものだった。

ーーJIS Q 27000:2019でのリスクレベルの定義ーー

ミーティングテーブルの上には、厚みのある規格書と数枚のメモ。稲田美穂はそのうちの一冊――『JIS Q 27000:2019』の文字が印刷された資料に視線を落としながら、難しそうに眉をひそめた。

「うーん……。これ、確かに“リスク”って書いてますけど……なんとなく抽象的というか、結局どう使えばいいのかがピンとこなくて……」

水野さんは隣でノートPCを開いていた。静かに笑い、資料の一部をモニターに映し出しながら、穏やかな声で説明を始めた。

「美穂さん。JIS Q 27000:2019っていうのはね、情報セキュリティマネジメントシステム――つまりISMSに関する国際規格なんだ。そこではリスクの定義やマネジメントの手順が、けっこう丁寧に書かれてるんだよ」

稲田さんは身を乗り出すようにして画面を見つめる。

「リスクマネジメントって、つまり“備える”ってことですよね？」

「その通り。もう少し細かく言えば、リスクアセスメントの考え方が中心になる。これは“リスクの特定”、“リスクの分析”、そして“リスクの評価”という３ステップで成り立ってる」

「えっと……順番に、ですね」

水野は頷くと、ホワイトボードに3つのキーワードを書いた。

① 情報資産の価値（影響度）

→ それが漏れたら、どれくらい会社に影響があるか？

② 脅威の可能性（発生頻度）

→ どれくらいの頻度でそのリスクが起こりうるか？

③ 現行の対策の有効性（脆弱性）

→ いま施されている対策が、どれだけ効果を発揮しているか？

「これらを評価して、リスクの“大きさ”を算出するんだよ。たとえば、うちのサーバーのバックアップが失敗するってリスクを考えてみようか」

「はい！」

稲田はすぐにノートを開いてメモを取り始めた。水野はその様子を見て、表を描きながら説明を続ける。

項目内容

情報資産の価値　　　　業務データや顧客情報 → 高

脅威の可能性　　　　　　ハード故障、人的ミス → 中

現行対策の有効性　　　　手作業バックアップ → 低

　　　↓

リスクレベル　　　　　　高（早急な対策が必要）

「ね、こうやって整理すると、何を優先すべきかがはっきりしてくるでしょ？」

「なるほど……“価値が高いのに、対策が弱い”ってなると、リスクが跳ね上がるわけですね」

「その通り。そして、JIS Q 27000では、こういうリスクマトリクスという手法を使って、リスクを可視化して優先順位をつけるようにしてるんだ」

稲田さんは頷きながら、ページを再びめくった。

「今までISMSって、なんかチェックリストみたいなものだと思ってたんです。でも、リスクマネジメントが根っこにあるんですね……これなら、ただの書類仕事じゃない。実務にも活かせそうです」

「そう思ってもらえたならうれしいよ。これからIntegrate Sphereのシステムを全社で使っていく中で、こうした考え方が重要になってくるからね」

窓の外から、少し風が吹き込んだ。稲田さんは目を細めながら、資料をしっかりと閉じた。

「よし、水野先輩。リスクマトリクス、私も作ってみます。手始めに、あの手作業バックアップのやつから！」

「頼もしいね。じゃあ、次の打ち合わせで一緒にレビューしよう」

こうして稲田さんは、JIS Q 27000:2019に込められたリスク管理の本質を、自らの仕事に落とし込む第一歩を踏み出したのだった。

ーつづくー