卵が先か、鶏が先か？
情報セキュリティの世界でも、規程を先に定めるか、対策を先に検討して実行するか
悩むところではあります。
一般的に中小企業であれば、規程で会社は守れません。まずは、対策を優先すべきであることは
明確だと考えます。上場会社でなければ、規程などどうでも良いとも言えます。
但し、やはりガバンアンスを考え始めると、会社組織として運営するためには、一定のルール作りと
それをも守る仕組みが必要となってきて、規程を作って、運用することが必要なります。これをやらないと
折角対策を実行してもその場限りで終わってしまい、中長期的なリスクを回避することは出来ません。

つまり、後先はあれ、どちらも必要ということになります。俺がルールだとおっしゃる経営者の方もいらっしゃるかと
思いますが、目は２つしかありませんし、同時で複数のものを見ることは出来ません。是非、両方とも検討してください。