セキュリティは当たり前にできるレベルから着手を。

**まずはシステムとして適正か否か。
ビジネスとして行うものと、利用しようとしているシステム、あるいは構築・開発しようとしているシステムが適正かどうかを真っ当に進める必要があります。この段階で無理があったり、手抜きがあったり、課題認識を捨て去ったりしたら、セキュリティ対策などコストの無駄遣いにしかなりません。

**運用に無理や落ち度はないか。
システム開発後ではなく、開発中・検討中から並行して運用についても進めていく必要があります。多くのケース、運用には「人」の具体的な動きが絡んできます。その動きも含めて、全体として無理や落ち度がないようにしていく必要があります。

**まずは当たり前のレベルから。
開発・構築・運用の各フェーズにおいて、専門的なセキュリティの知識がなくとも、今の時代「当たり前の対策」は各ベンダーも提供できないといけない時代にあります。

・ネットワーク上、サーバ上、PC上のセキュリティ
・アプリケーション上のセキュリティ
・運用上のセキュリティ

それぞれにおいて、コストをかければ天井がなくなりますが、一連の開発〜運用の流れで常識的に組み込めるものを実施するだけで、飛躍的にセキュリティレベルはあがります。それが要件定義から設計、運用の中で、定義していけるベンダーさんとお付き合いされることが大事ですし、内容に不明点や不安点があれば、遠慮なく協議すべきです。

**すべてを実施することはできません。
個人情報保護ひとつとっても、あらゆる対策を施せるケースは稀(ほとんど皆無)です。多くの点が課題として残るのは当然のことです。その課題を将来的な解消に向けて、意識して計画立てて行くことが大事です。
コンプライアンスとかポリシーとか、Pマーク取得とかで、何か対策した気になるのは、とても危険で「課題がある」ことを「認識している」ということが重要です。