情報セキュリティを考える上で、推進する側は「情報セキュリティの確保」という観点から「よかれ」と思うことを実施するし、むしろそうしてもらわないと困る。
ただ、その推進内容に対するジャッジは必要だし、そうして推進する施策について、「現場に近い観点」から導入・推進しやすい形を考えるのも必要。
そして、あえて「推進する」のではなく、「今仕掛中の内容を実行し、管理していく」ということも必要。
ドラスティックな変化も必要な場合はあるが、あえて大きく何かをするのではなく、「確実に実施する」ということを「管理をもって担保する」ということも必要、というか、これが出来てないところのほうが多いんじゃないか？