第119号コラム: 伊藤 一泰 理事(株式会社インターセントラル 常務取締役、IDF理事)
題:「情報セキュリティの本音と建前」
最近、ある人に薦められて購入した「定時に帰る仕事術」(著者:ローラ・スタック、訳者:古川奈々子、発行所:ヴィレッジブックス)を読んでみた。よくある「○○整理術」のたぐいのハウツウ本だが、無駄な仕事を省いて効率化を図るための方策が要領良くまとめられている。しかしながら、著者がアメリカ人だからなのか、どうもしっくりこない。たとえば、この本には、「携帯電話を使う時間を決めましょう。まわりの人と使用する範囲や時間帯を話し合って決めます。」とあるが、それは理想論であるが現実的ではない。電車の中でいきなり派手な着メロが鳴り、「誰だよ・・・」と見回すと、いい年をしたおじさんが「すみません!電車の中なのですぐ折り返します!」と平身低頭している場面に出くわす。建前では、「電車の中ではマナーモードにしましょう」、「電車内での電話はご遠慮ください」だが、本音は、「いちいちマナーモードにするのも面倒だ」、「社長からの電話だから出ないわけにはいかない」となる。このように、建前と本音を使い分ける日本の社会だから、「定時に帰る」ことは至難の業となる。
本音と建前は我々日本人に特有の概念といわれるが、本音は、アフターファイブに職場の近くの居酒屋で怪気炎をあげているサラリーマンに、建前は、国会答弁や公式の会議での官僚の発言に典型的に表れている。公の場では、自分の感情や真意をあえて伏せて、体面を保つように努力する。このため、本音と建前の間に大きな溝があるのが普通であり、すべて本音で貫き通すことができるのは余程の大物に限られる。情報セキュリティについても、本音が言い合える会議を是非やるべきであるが、往々にして建前だけの議論に終始してしまう。本音と建前がチグハグになれば、真に対応すべきリスクに対して鈍感になってしまう。
「定時に帰る」ことは、理想論だが現実にやろうとすればハードルが高い。であれば、理想は理想として掲げておいて、実際の仕事ではバレない程度に手を抜くしかない。ISOなどの各種の認証制度も、取得審査の際には優等生のふりをして要件を満たすべく努力するが、いったん取得してしまえば、「実際にうちの会社でそこまでやっていたらとても業務が回らない」と、どんどん決められたルールをショートカットして、マニュアルも空文化させてしまう。
心配なのは、企業の実務で、情報セキュリティに携わっている人たちにも建前と本音があって、いつのまにか折角の基準やルールが危うい状況にさらされている点である。情報セキュリティについても、日本特有の事なかれ主義はびこっているように感じられる。要するに新聞沙汰になるような大事件が起きなければ良いのであって、現実の予算と人員で対応可能な「ほどほどの対策」で凌いでいくのが優秀な担当者とされてしまう。あえて本音を言わずに、社内の様子をうかがいながら、建前の世界で辻褄を合わせてやっていければいい。そんな風潮が蔓延している。
KYという言葉が流行語になったのは2007年であるが、山本七平が『「空気」の研究』を著し話題となったのは、ちょうど30年前の1977年である。何か時代の共通点があるかも知れない。先行きに対する不安感や社会の風潮が似ているような気がする。このように時代を超えて流行語になるくらいだから、日本人にとって、場の空気を読むということは、対人関係や組織内コミュニケーションにおいて、大変重要なことである。あまり親しくない相手に、あけすけに意見を言ってしっぺ返しを食らうのを避けようという意識が知らず知らずに働く。山本は、いくつかの事例を挙げ、「空気を読む」ことが、時に集団の意思決定をゆがめ判断を誤らせることを指摘し、「水を差す」ことの重要性を提示している。現在の情報セキュリティを取り巻く状況をみると、やはり建前の議論に対し「水を差す」必要があると思う。
近年、中小企業の場合でも、取引先である大手メーカーから、情報セキュリティ対策の内容を詳細に規定した「セキュリティガイドライン」への対応を要請されるケースが増えている。悩みの種は、限られた人員とコストの制約という条件の下で、いかにして、押しつけられたセキュリティ対策をクリアするかという点だ。一方で、従来からの課題である業務の合理化・効率化の要請があり、セキュリティ強化への対応をきっかけに、アウトソーシングの導入に踏み切る動きも続いている。自社内では専任社員を置く余裕もないので、当然のようにセキュリティ対策についても丸投げが行われる。
こうして、建前上は、アウトソーシングしていることで、何とか取り繕うことが可能となる。しっかりした委託先にアウトソーシングしているので大丈夫。多くの経営者がそう思っている。しかしながら、アウトソーシングの導入にあたって、事前に整理すべき諸々のリスクについて、十分に吟味・精査しないまま漫然と委託してしまっている事例が多い。本来であれば、アウトソーシングすべきか否かの検討、委託先の選定手続、RFP作成、ベンダーとの交渉、移行作業や運用開始に当っての諸調整といった多くのプロセスがある。もし、真面目な担当者が真剣に取り組む場合には、結構な負担となる。これに対し、多くのベンダーは、セキュリティ対策をパッケージとして提供しており、ベンダーにお任せすれば導入も容易である。結局、リスクを内包したまま、ベンダーが主導する形でアウトソーシングがスタートしてしまう。更に、導入時の担当者が退職・異動してしまえば、アウトソーシング先との調整・管理が不十分となり、いざという時に的確に判断できるスタッフがいなくなる。
いまや程度の差こそあれ、多くの企業で、アウトソーシングなど外部資源を有効活用する方策を取り入れないと日々の業務が回らない状況にある。このような現実を踏まえると、情報セキュリティにおけるガバナンス確保は極めて重要な経営課題である。このための努力を怠ると、将来に大きな禍根を残すことになる。筆者も、非力ながら、IDFの活動を通じ、建前の議論に対し「水を差す」役割を担っていく必要を痛感している。
【著作権は伊藤氏に属します】