前回も取り上げた「**禁止」ルールですが、今回は「業務外での利用禁止」について考えて見ましょう。

 セキュリティポリシーを作成すると、「業務時間中に業務外のサイトへのアクセスを禁止する」とか「業務に関係のないアプリケーションのインストール、利用を禁止する」などのルールが書かれていることが多いのですが、ポイントはその適用方法です。

 日本人は真面目なので、「**を禁止する」というルールがあれば、それが実現できると思っているようですが、それは国際的に見れば珍しい手法なのです。そして、その禁止ルールを繰り返し「教育」しようとするところも日本人特有の文化なのです。

 今回取り上げる「業務外での利用禁止」というルールを、ソフトウエア的に制限を加えずに適用させようとすると、教育と監視、指導などの手間がかかります。しかもしょせんは人間に課するルールですから、人によっては受け止め方がバラバラになります。

 例えば、「芸能ニュースに関するサイト」。自分にとっては情報収集に有効で、営業先での話題になると考える営業マンもいれば、それは業務とは無関係なサイトだ、と考える管理者もいるでしょう。そこでよくあるソリューションはWebアクセスのフィルタリングです。

 企業で使われているWebアクセスの7割以上が私的な利用と言われることもあります。事実そういう企業は少なくないと思います。だからといって、その7割を禁止にしてWebフィルタリングで制限すれば知的生産性が何倍にもなるでしょうか?禁止した7割のアクセスが業務利用のアクセスに変わるでしょうか?

 人間は何ともムラっ気のある動物ですので、勤務時間中ずっと集中することはできません。タバコを吸う人は喫煙所まで行きますし、職場でだって冗談を言い合ったりしているものです。それを無駄だからといってすべて禁止すれば、その分を生産的な仕事に向けることができるでしょうか?

 例えば、私語禁止、というルールを作って仕事をしたらどんなに息の詰まる職場になってしまうことでしょう。Webフィルタリングも使い方を誤ると、同様のことが起きます。業務外のWebアクセスをしようとしてブロックされた社員のリストを上司に配布している企業もありますが、それで社員の会社に対する忠誠心など高まるはずもありません。

 メールも同様で、すべてのメールが管理者にBCCされるシステムを導入している企業でも、運用を誤ると大幅な士気の低下を生じさせてしまい、いったい何のためのセキュリティ対策なのかが分からなくなってしまいます。