課題抽出の手法である。ベストプラクティス活動と基本は同じ。
「ベンチマーキングを成功させる7つのステップ」
何かを比較検討するかで適当に名前をつけています。
※ベンチマーキングの失敗例
やたらと資料、データを要求して、訳も無く並べたり比較したりして、メッセージは勝手に読み取ってくださいという無責任なベンチマーキングは極めて多い。確かに運がよければ何らかのメッセージは得られるかもしれないが全く怪我の功名の範囲。
コンサル会社が入ると一見ロジカルな展開に見えるが結論が根拠の希薄な大いなる無理やり理論だったり、調べなくても分かる一般常識の範囲だったりする。
仮説検証型ストーリーを結果からやっつけるのは全く無理。最初に仮説の確からしさを大いに議論して、フォーカスをしっかり定めてから調査比較が必要で、その全体がベンチマーキングであるわけだが、プロを任じているところでもかなりいい加減なものでお茶を濁すケースが多いのには驚きます。(一応、報酬をもらっての調査レポートでしたから驚くと言うより詐欺ですね)
たとえば、「セキュリティ対策投資の適正レベル」をベンチマーキングの手法で探ろうとした場合、これはどの企業でも頭痛の種、「IT投資の適正レベル」とおいてもよいし、「CSR活動の適正レベル」でも何でも同じことだが、そもそも探ることが可能なアプローチかどうかさえ確かではありませんから、相当のロングストーリーになるはずです。
情報セキュリティ対策ベンチマーク
https://isec.ipa.go.jp/benchmark-new/member/
JIPDEC調査結果資料を見ると、リスク分析手法についての認知度は低い。例が悪いのかも;(JRMS,GMITS)。
と言う事は、結構「課題」な訳だ。それともISMSのリスクアセスメントが一般的なのかな。あれも中身の具体化はそれぞれに委ねられている。