————————————————————
■□■　平林良人の『つなげるツボ』Vol.274　■□■　　　　
　―　つなげるツボ動画版はじめました　―　　　　
＊＊＊　内部診断と内部監査17　＊＊＊
————————————————————
前号Vol.273は「閑話休題」と称して発信しましたが、表題を
「ちょっと横道に」と訂正させていただきます。「閑話休題」を
反対の意味に取り違えていたことをお詫びいたします。
前々回Vol.272に引き続き情報キュリティプロセスの内部診断に
ついてお話しをしたいと思います。

■□■　情報セキュリティ対策 ■□■
情報通信技術の進歩は速く、企業・組織の情報資産を脅かす
新しい脅威が次々に登場しています。情報管理責任者は、これら
の脅威について情報を収集し、必要に応じて経営者に報告し
継続的に組織全体の情報セキュリティ体制を見直していく必要が
あります。また、情報システムの管理・運用や、社員に対する
教育・監督を適切に行う必要があります。
前回組織全体の情報セキュリティ診断項目の例を挙げましたが、
もう一歩踏み込んだ診断項目を考えたいと思います。

■□■　情報管理責任者の内部診断 ■□■
組織の情報管理責任者は、日常から情報セキュリティ対策を
行っていると思いますが、この対策がそのまま内部診断項目の
例になります。 ここにその例を挙げますが、前回の診断項目と
一部重複します。

診断項目の例は、技術的診断項目と管理的診断項目に分かれます。
＜技術的診断項目＞
・ソフトウェアの更新
・ウイルス対策
・ネットワークの防御
・不正アクセスによる被害と対策
・外出先で業務用端末を利用する場合の対策
・標的型攻撃への対策
・安全な無線LAN利用の管理
・ユーザ権限とユーザ認証の管理
・バックアップの推奨
・ログの適切な取得と保管
・サポート期間が終了するソフトウェア

＜管理的診断項目＞
・クラウドサービスを利用する際の情報セキュリティ対策
・SNSを利用する際の情報セキュリティ対策
・社員の不正による被害と対策
・廃棄するパソコンやメディアからの情報漏洩
・持ち運び可能な記憶媒体や機器を利用する上での危険性
　と対策
・サーバの設置と管理
・機器障害への対策

■□■　クラウドサービスの情報セキュリティ ■□■
最近は、企業が情報資産を管理する手段としてクラウドサービス
が急速に普及しています。また、個人が利用するインターネット
上のさまざまなサービスが、意識するかどうかにかかわらず、
クラウドサービス上で稼働するようになっています。
クラウドサービスを利用する場合には、データがクラウドサー
ビス事業者側のサーバに保管されていて自分たちの手元にない
ことを理解しておかなければなりません。
インターネットを介してデータなどがやりとりされることから、
十分な情報セキュリティ対策が施されていることが極めて重要です。
専門的なことなのでエキスパートに任せがちになりますが
診断においては、まずはクラウドサービスの情報セキュリティを
確認することをお奨めします。
クラウドサービスを利用することで情報セキュリティの管理から
解き放されたと思いがちです。クラウドサービスの契約をよく
理解すること、そして自社の責任範囲などは確認する必要がある
と思います。

■□■　インターネットの情報セキュリティ ■□■
現在、利用者側が最低限の環境であるPC、携帯情報端末、
インターネット接続環境などを用意すればどの端末からでも、
さまざまなサービスをインターネットで利用することができます。
しかし、インターネットの利用はいろいろな脅威を伴います。
インターネットを通じて、ウイルスに感染してサーバやシステムが
停止したり、ホームページが改ざんされたり、重要情報が盗みとら
れたりします。顧客情報などが漏洩（ろうえい）してしまった場合は、
その企業や組織の信用が大きく傷つけられてしまうのは言うまでも
ないことですが、過去には損害賠償にまで発展した事例もあります。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.273　■□■　　　　
＊＊＊ ちょっと、横道に　＊＊＊
————————————————————
内部診断の話だけでは単調で飽きますので、今回は「ちょっと、横道に」
にそれたいと思います。
最初にテクノファの動画ポータルサイトの宣伝をさせてください。
新型コロナウイルスの渦中にあって集合教育がしづらくなっており、
当社でもオンラインでのライブ講座が増えていますが、それに連動
させていろいろなトピックス（例えば、リモート監査など）を気軽
に動画で見ることができるサイト「テクノファ動画ポータル」を
新設しました。私が執筆している当メールマガジン「平林良人の
つなげるツボ」の動画版も、私の出演で配信しております。この
動画版では、メルマガでは伝えきれないこともお話していますので、
どうぞお立ち寄りください。

■□■　PCR検査 ■□■
さて、最近はPCRという言葉を聞かない日はありません。
このメルマガでもPCR検査について品質管理の視点から閑話休題
としてお話ししたことがあります（Vol.267）。検査ですから必ず
誤りがあるという話ですが、繰り返しになりますので詳しく触れ
ません。PCR検査の精度（約70％と言われている）に関して、
「ぼんやり者の誤り」、「あわて者の誤り」という2種類の誤りが
あるという話をしました。　

■□■　PCRとは何か調べました　■□■
PCRを調べてみますと、Polymerase Chain Reactionの略で
「 ポリメラーゼ連鎖反応」という試薬を使った増幅応用技術の
ことだと分かりました。DNA（遺伝子）の量を大幅に増やす技術
のことだそうです。
DNAは4種類のパーツ（Aアデニン、Tチミン、Gグアニン、
Cシトシンと呼ばれるアミノ酸）が長く繋がったものです。
DNAの塩基である、AとT、GとCは互いに強く結びついており、
2本の鎖を構成し、2重はしご状になったものが螺旋（らせん）
状に結びついた構造を作っています。

■□■　DNAを増幅させる　■□■
この構造を加熱すると二重らせん状がほどけて2本の鎖に分か
れるので、そこにポリメラーゼという酵素※とその他の試薬を
加えると2本に分かれた鎖が二本ずつ倍に増えるのだそうです。
※酵素とは、生体で起こる化学反応に対して触媒として
機能する分子。

この操作を何回も繰り返すとコピーされたDNAは4本、8本と
倍々と増えていき、理論上は10億倍以上にも増幅します。実際
の操作は新聞などで報道されているように、数時間もかかる面倒
なステップが含まれているようです。
PCR検査は人の喉からウイルスを採取します。そのウイルスの
遺伝子を解析して、新型ウイルスの特有な配列が認められれば
その人は感染者（陽性）と判定されます。
PCR検査の精度が低いと言われるのは、採取できるウイルスの
数が極めてわずかであるからだそうです。

■□■　PCR検査の発明者　■□■
PCRの原理はアメリカのMr.キャリー・マリスが1980年台初め
に思い付きました。
マリスは当時の同僚で交際相手のジェニファーを乗せてのドラ
イブ中に、DNA増幅方法のアイデアが突然に頭に浮かんだと
後日回想しています。この閃きに自分でも驚き車を路肩に寄せて、
手元にある紙片に化学式を書き留めながら、興奮の中で「自分が
思いつく位なら、他の者が既に発表しているはずだ」と過去の
関係しそうな論文を総て当たったそうです。

1983年12月、実験に成功しましたが、分子生物学を揺る
がすことになる発明を同僚らに話しても、重要性は伝わら
なかった代わりにビジネスマンの友人が「パテントを取得
してはどうか」と提案してくれた、という話が伝わっています。

■□■　ノーベル賞受賞　■□■
マリスはその功績により、1993年にノーベル化学賞を受賞
しました。彼のお陰で、それ以降遺伝子鑑定ができるようになり、
世界中で科学研究、犯罪捜査などに使われてきました。私は今回
PCR検査の精度が70％位だと知り、親子鑑定などに使われている
現状に気がかりですが、きっとそれなりの補正を掛けたり、いろ
いろな工夫をしているのだろうと思います。
DNAは自然界のなかで自らを複製するように特化された極めて
稀有な存在ですが、PCRはその特性を利用して検査ができる程に
までDNAの数を増幅させる画期的な発明であったことを知りました。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.272　■□■　　　　
＊＊＊ 内部診断と内部監査16　＊＊＊
————————————————————
新型コロナウイルスはいったんコントロールされたかに見え
ましたが、また感染が広がり出しました。3月からのコロナ
禍の経緯をみますとコロナが終息するには相当後ろの世界に
なりそうです。もしかするとインフルエンザと同様に生涯
付き合っていかなければならないウイルスかもしれません。
引き続き組織の内部診断についてお話しします。

■□■　支援分野－情報セキュリティ ■□■
組織には３つのプロセス分野、すなわち、(1)経営（マネジメント）
分野、(2)主要（プロフィットセンター）分野、(3)支援（サポート）
分野のプロセスがあります。
前回まで(2)主要（プロフィットセンター）分野の内部診断に
ついてお話ししてきましたが、今回から(3)に入りたいと思い
ます。

支援（サポート）分野のプロセスとは、主要分野と経営分野の
仕事を文字通り支援する仕事のことを意味します。最初の診断
対象プロセスとして情報セキュリティプロセスを取り上げます。
情報セキュリティのプロセスは大変多岐に渡ります。

■□■　システムの脆弱性（ぜいじゃくせい）■□■
情報セキュリティを語るにはシステムの脆弱性（ぜいじゃくせい）
を知らなければなりません。システムを構成するOS（Operating
System）やソフトウェアには開発者が人智を尽くしてもプログ
ラムの不具合や設計上のミスに基づく欠陥が必ずどこかにあり
ます。
この欠陥のことを「システムの脆弱性」と言います。 脆弱性は、
セキュリティホールとも呼ばれ脆弱性が残された状態でコン
ピュータを利用していると、不正アクセスに晒されたり、ウイ
ルス（悪事を働くソフトウェア）に忍び込まれたりする危険性
があります。逆に言えば、ハッカー（PC内を覗く人、という
意味）は、 システムやソフトウェアの脆弱な部分をついて不正な
アクセスをして、ウイルスをまき散らします。
脆弱性が発見されると、多くの場合、ソフトウェアを開発した
メーカーが更新プログラムをユーザに提供し対策とします。
しかし、セキュリティホールは完全に対策を施すことが困難で
あり、次々と新たな脆弱性がハッカーに発見されているのが
現状です。

■□■　情報セキュリティとは ■□■
情報セキュリティとは、たとえセキュリティホールがあっても
組織の情報資産を守ることを言います。
そのために、「機密性」、「完全性」、「可用性」を確立し、運用し、
維持することが必要です。
情報資産とは、組織が保有している顧客情報や販売情報など
の情報自体に加えて、それらを記載したファイルや電子メール
などのデータ、データが保存されているパソコンやサーバなど
のコンピュータ、CD-ROMやUSBなどの記録媒体、そして紙
の資料も含めた情報に関与する資源を言います。
機密性（Confidentiality）とは、許可された者だけが情報にアク
セスできるようにすることです。許可されていない利用者は、
コンピュータやデータベースにアクセスすることができないよ
うにします。
完全性（Integrity）とは、保有情報が正確であり情報が不正に
改ざんされたり、破壊されたりしないことを指します。
可用性（Availability）とは、許可された者が必要なときにいつ
でも情報にアクセスできるようにすることです。

■□■　診断のポイント ■□■
情報セキュリティプロセスの診断の第一視点は、情報資産を
脅かす機密情報の漏洩（ろうえい）、不正アクセス、データ
の改ざんに対して、具体的対策を取っているかどうかにあり
ます。

組織においては、たった一人の不注意が、ウイルスへの感染や
情報漏洩（ろうえい）といった脅威につながります。社員一人
一人が、情報セキュリティ対策の必要性を理解し、自覚を
もって取り組むことが必要です。
組織によって、策定されている情報セキュリティ対策は異な
りますが、内部診断においては以下のことをチェック項目と
して診断することをお奨めします。
パスワード管理
ウイルス対策
電子メールの誤送信対策
標的型攻撃への対策
偽ホームページ対策
サーバのバックアップ
安全な無線LANの利用
廃棄するパソコンやメディアからの情報漏洩
外出先で業務用端末を利用する場合の対策
持ち運び可能なメディアや機器を利用する上での
危険性と対策、など

————————————————————
■□■　平林良人の『つなげるツボ』Vol.271　■□■　　　　
＊＊＊ 内部診断と内部監査15　＊＊＊
————————————————————
新型コロナウイルスはいったんコントロールされたかに見え
ましたが、また感染が広がり出しました。3月からのコロナ禍
の経緯をみますとコロナが終息するには相当後ろの世界になり
そうです。もしかするとインフルエンザと同様に生涯付き合っ
ていかなければならないウイルスかもしれません。
引き続き営業プロセスの内部診断についてお話しします。

■□■プロフィットセンター‐営業プロセス■□■
営業プロセスの業務は、大きく分けると新規営業、既存営業、
営業支援（電話営業、営業事務）に分けることができます。
当然のことですが会社によって分け方、名称は異なります。
自社の分課分掌規程を当ってみてください。
新規営業は、取引も面識もない会社に対して、電話や直接
訪問など何かしらの方法でアプローチし、新規顧客として
獲得をする活動のことです。
既存営業は、顧客の現状抱える課題を深堀りすることで、
自社商品と絡めた課題解決方法を提案します。現状の取引
とは別の案件が発生する可能性もあるほか、顧客との信頼
関係が深まることで別顧客の紹介を貰えるかもしれません。
営業支援は、内勤営業とも呼ばれるもので、社外にいる営業
担当者が顧客との交渉などに注力できるように、社内での
事務業務をサポートする仕事です。

■□■　営業プロセス診断の視点　■□■
営業プロセスの診断で特に留意すべき視点は、(1)「業務プロ
セスの明確化」，(2)「業務の標準化」，(3)「業務管理の見え
る化」の3点だと思います。
営業業務には次のようなプロセス例がありますが、まず(1)自社
の業務プロセスがどの程度明確化になっているか診断します。
・広告
・訪問
・製品・サービスの説明
・見積もり
・提案
・契約
・納品
・代金回収など
その際、個々のプロセスについては，集めるべき情報（インプット），
次のプロセスに引き渡すべき情報（アウトプット）がはっきり
されているか診断します。

■□■　(2)業務の標準化　■□■
訪問営業においても，直接訪問、店頭セールス，ネット販売など
の様々な形態があります。また、顧客及び代理店などの声を聞き
ながら，多様なニーズを持つ顧客への対応を個々のケースとして
処しており，個人の能力に依存して業務を多くあります。このた
め，プロセスの標準化があまり進んでおらず、個人が行っている
営業活動を見てみると，いくつかの共通するステップや行動が
あります。
逆に，成功したケースの出来栄えを比較すると，成功したケース
には一定のパターンを見つけることができます。したがって，
成功パターンを標準として定め，守ることをすれば営業目標を
計画通り達成する可能性が高くなります。自社の営業プロセスが
どの程度標準化されているかが2番目の視点です。

■□■　(3)業務管理の見える化　■□■　
営業の基本的な仕事は、電話をかけ相手企業のキーマンや決裁者
とのアポイントを得ることです。日頃からアポイントをうまく
得るには、話し方の訓練など営業の基礎となるスキルを身につ
けることが必要です。しかし、このような努力が実らないと
業務目標は達成できません。電話を掛けることは手段であって
目的ではありません。
営業プロセスにおいても管理項目を設定することが必要です。
営業の管理項目というとすぐに売上げが思いつきますが，これ
だけではプロセスに対する適切な評価にはなりません。例えば，
訪問営業は，訪問（引き合いの創出）→提案→デモ→契約→
納入→フォローという一連の活動になります。最終の評価項目
売上だけでなく、一連の活動に対応して，訪問件数や訪問計画
達成率，引き合い件数／訪問件数，デモ依頼件数／提案件数，
契約件数／デモ件数，納期遵守率などを可視化することを考え
るのが推奨されます。このように活動と対応づけた管理項目を
設定することで，最終目標との結びつけもでき、また結果に
結びつかない活動も見えるようになります。業務管理を効果的
に行うためには，次の点を診断するとよいでしょう。
– 日報等を活用し，日々の営業活動の進捗状況を把握してい
　るか。
– 上司と部下が，営業活動の進捗状況の情報の共有し，次の
　処置を検討しているか。
– 管理項目はグラフなどを活用し，職場に掲示しているか、
　など

————————————————————
■□■　平林良人の『つなげるツボ』Vol.270　■□■　　　　
＊＊＊ 品証プロセス -内部診断14　＊＊＊
————————————————————
新型コロナウイルス終息後の世界について、予測も含めてこれから
の変化を注視していく必要があります。そうした変化に備える意味
でもこの機会に自組織の内部診断を行ったらどうでしょうか。
前回は製造・サービス提供プロセスについてお話しをしましたが、
今回は品証プロセスについてお話しします。

■□■　品証プロセス　■□■
品質保証は組織が存在していくための要です。製品及びサービス
の品質が保証されて初めて顧客は組織の方を向いてくれます。
顧客が製品やサービスに価値を感じて初めて組織の企業活動は
意味を持ちます。その価値の多くを占めるのが品質であり、
それを保証する活動が品質管理であると言えます。

ドラッカーは売上、利益を追うな、まずは製品やサービスの品質
（顧客が期待する価値）を追え、と言っています。以下は
ドラッカー語録と言われるものの一部です（上田惇生訳）。

■□■　ドラッカー語録　■□■
・利益は個々の企業にとっても、社会にとっても必要である。
しかし、それは企業や企業活動にとって、目的ではなく条件である。
・企業とは何かを知るためには、企業の目的から考えなければなら
ない。企業の目的は、それぞれの企業の外にある。企業は社会の
機関であり、その目的は社会にある。企業の目的の定義は一つ
しかない。それは顧客を創造することである。
・「我々は何を売りたいか」ではなく、「顧客は何を買いたいか」
を問う。「我々の製品やサービスにできることはこれである」
ではなく、「顧客が価値ありとし、必要とし、求めている満足
がこれである」と言う。
・「いくらで売りたいか」ではない。「誰にとって価値があるか」
である。「娘の相手を探すときは誰が良い夫になるかを考えるな。
誰の良い妻になるかを考えよ」

■□■　品質は顧客が決める　■□■
製品やサービスの品質は組織が決めるものではありません。顧客
が決めるものです。すこし逆説的な説明ですが、TQMには
「品質は工程で作り込め」というスローガンがありますが、
これは顧客が決めた品質を製品の中に作りこむときの心構えを
言ったものです。
この作りこむべき品質項目は設計が決めますが、この項目内容
は顧客から来るものです。

最近VOC（Voice of Customer）という言葉が聞かれなくなり
ました。代わってCE (Customer Experience)という用語が盛ん
に用いられるようになりました。CEは「顧客体験」と呼ばれ
ますが、顧客が製品やサービスを体験してはじめてその価値に
気付くころを言っております。組織は顧客が気が付かない製品
やサ―ビス価値を創出するということを意味しています。

特にサービスについては、顧客はどんなことが期待する品質
要素であるかをなかなか発信してくれません。発信しないどこ
ろか、もし自分の期待しないサービスだったら黙って組織から
離れていき、場合によっては口コミで「あそこのサービスは
最低だ」と言いふらすこともあり得ます。

■□■　製品とサービスの違い　■□■
メルマガ269号「製造・サービス提供プロセス」においても
製品とサービスの違いを説明しましたが、サービスは顧客と
の間で価値を明らかにするだけに品質の作りこみはそれなり
の工夫が要求されます。After コロナの世界で大きく変わりそ
うなことが「サービス」であると予測する人が多くいます。
いろいろなエンターテイメントも含めて今後のサービスの世界
の変化を自社内診断を通じて探っていったらどうでしょうか。