第７回　現場参加型でルールを作る

　情報漏洩対策をムダにしないための7カ条、今回は、ルールをどのように策定していくか、その方法論について解説します。

現場を無視したルールは根付かず空文化する

　情報セキュリティ対策を実施について「現場がルールを守ってくれない」、「いくら教育しても実践されない」といった声をよく聞きます。本連載の第3回で取り上げたように環境が要因となることが多いのですが、「ルールそのものが現場の状況を考慮したものになっていない」というケースも多くあります。ルールを守ると業務の効率が落ちたり業務量が大幅に増えたりするという理由から、セキュリティ・ルールを守ることの優先順位を低く設定してしまいやすいというわけです。そういったルールは現場に根付くどころか、うまく機能しません。そればかりか、最悪の場合にはモラル・ハザードを引き起こします。

　筆者が見た事例としては、問題の発生を防ぐために業務の各段階で部長クラスの承認を得ることというルールを定めていたケースがありました。しかし、これを厳格に行うとなると当該の部長は1日に100枚近くの書類を処理しなければなりません。その部長承認の前に課長・係長の承認も必要なため、課長・係長クラスでも10数枚以上の書類を処理する必要がありました。

　結果として、承認は形だけのものになり、最後には「判子を預けておくから押しておいて」ということが課長・係長クラスで公然と行われ、部長席でもアシスタントが「代理」で押すという形になってしまっていました。問題を防ぐどころか、当の担当者以外のチェックが全く行われない状態に陥ったわけです。中には、「問題が発生しても自分で対応して最終報告までできるのだから、チェックも最低限で良い」と考える社員も出てきました。

　こうした事態を招いたのは、「現場のやり方を考慮せずにルールを策定・実施したため」です。現場の実情に照らして適切なルールでなければ、現場に根付かないどころか、かえって事態を悪化させてしまうわけです。この場合で言えば、例えば部長レベルの確認と承認を最初と最後の2回だけにして、それ以外の場合には課長・係長あるいは当人と同格の担当者による確認にとどめるという程度にしていたら、結果は大きく違っていたはずです。

　似たような事例は決して少なくありません。情報セキュリティ関連のルールは、現場の本来の業務に直接関係ないことが多く、副次的な業務になりますから、過度の負担にならない仕組みが必要になるのです。

情報セキュリティ対策の実施について

　一般に、組織にはそれぞれ、組織内に共通の感覚や価値判断基準、そして慣習・慣例があります。多くの場合、その慣習・慣例を尊重して、それらの中に情報セキュリティ対策をうまく組み入れる形にする方が導入も実施もスムーズに運びます。

　例えば職務の担当と責任が厳格に適用され、担当者ごとに業務の独立性が高い組織では、必ずしも情報共有は密ではないかもしれません。そうした組織に担当者間のチェックや業務代行のルールを根付かせるのは決して簡単ではありません。半面、直属の上司によるチェックや当該の上司による業務代行のルールは比較的スムーズに導入できます。

　逆に、「大家族主義」を原則とし、「同じ部門の者が担当している業務については、部門内全員で情報を共有すべき」という価値判断が根付いている組織もあります。このような組織では、上司によるチェックは、上司の負荷を必要以上に増やすことにつながり、抵抗を生む可能性がありますが、担当者間のチェックや業務代行は比較的スムーズに導入できそうです。

　情報セキュリティ対策の目的は、組織における情報資産のセキュリティレベルの保全です。この目的は業種・業態・規模にかかわらず普遍的なものですが、それを実施する方法は必ずしも一つではありません。組織の実態に合わせた方法を選択することが効果的な実施につながります。手段と目的を混同することなく、適切な手段の選択を行うことが重要です。