プロジェクトチームの安心感

完全に社内のメンバーのみで学習しながら取得する場合、最初は手探りの状態ではじめることになる。ISMS関連の研修コースは様々なものが提供されているが、それらを受講しただけでは、実際の社内の状況にあわせて実践するのも困難である。コンサルタントを活用することによって、水先案内人に導かれているという安心感が得られる。

準備作業が短期間となる

有能なコンサルタントであれば、数々の成功事例、あるいは失敗やトラブルなどの経験を重ねているため、準備期間における無駄な工数を省くことが可能となる。

準備段階では、認証取得範囲や審査機関の決定や情報資産の洗いだし、リスクアセスメントなどの決定に多くの時間が割かれる。これらについて、コンサルタントから自社にとって有用な情報を引きだすことによって、準備作業が比較的短期間で完了する。

的確な初期教育

教え方がうまいコンサルタントは社内の教育に威力を発揮する。コンサルタントは様々な経験をしているので、社内の担当者による教育よりも当然説得力があり、興味深い内容で情報セキュリティに関する教育を依頼できると思われる。

コンサルタント費用がかかる

当然ながらコンサルタントを依頼するには、費用がかかることになる。金額的にはコンサルタント会社と認証の取得範囲によってまちまちだが、数百万円から場合によっては一千万円を超えるケースもある。

ISMS認証取得に限らず、その他のコンサルティングについてもいえることであるが、依頼内容が明確でないとコンサルタントの業務内容が不透明になる場合もある。

業務内容を明確にしないまま、コンサルティングを実施するコンサルタントに問題があるが、依頼する企業側についてもコンサルタントに全てお任せでなく、依頼の際に何をコンサルタントに依頼するのかを十分に検討して明確にすることが、結局は時間とコストの削減になる。

自社業務の理解に時間がかかる

コンサルタントはあくまで社外の第三者であるから、自社の業務内容を把握するまで時間がかかる。業務の理解が不十分なままだと、構築するISMSも自社が考えていることから離れてしまう可能性がある。従ってコンサルタントを選定する際には、自社の業務あるいは業界の情報に明るいコンサルタントを選ぶとよい。

また、どうしてもそのようなコンサルタントをみつけられない場合には、業務の理解を早めるための業務フローなどを準備しておくとよい。これは結局、自社内の情報の流れを把握するのにも役立つ。

当事者意識が育ちにくい

コンサルタント任せになると、どうしてもプロジェクトメンバーの当事者意識が低くなりがちになる。実際に筆者がコンサルタントを実施していても、プロジェクトキックオフ当初はなかなかメンバーにエンジンがかからず、コンサルタント側から一方的に話しているケースが多い。

またコンサルタントとしてはなんとか認証取得を果たしたいのでサポートをするが、なんといっても審査を受けるのはプロジェクトのメンバーなので、そのメンバーがやる気になってもらわないとなかなか進まないのが現状である。