私の属している情報セキュリティ業界は、過去に様々な「**が必要」を作り出してきましたが、その中に「CISO(Chief Information Security Officer)が必要」というものがあります。「情報セキュリティに責任を持つ役員レベルの人物」という定義であったと記憶しています。

 このCISOは、経営陣に情報セキュリティの必要性が認識されないといけないから、ということから生まれました。確かに、そのような人物がいれば情報セキュリティに気をつける経営者が増えるであろう、と思われていました。ところが、この考えが日本には大きな弊害をもたらしているのです。

 もし読者のみなさんが、自分がCISOになったと考えてください。あなたの任務は「情報漏えいがないこと」です。そして、役員報酬は「情報セキュリティ事故があると減る」という評価システムです。そんな立場のあなたから見れば、社員やオフィスは“爆弾だらけ”に見えることでしょう。無防備に持ち歩いているPCやUSBメモリー、業務に無関係と思われるようなサイトへのアクセス――。まるで、すべてがあなたを陥れるための攻撃かのように見えるのではないでしょうか。

 さて、そのような状況で、今日から何をしましょうか?

 あなたはこうするはずです。「**は禁止にする」。そしてこう言います。「情報漏えいがあったら、信用失墜となり我が社には取り返しのつかないことになる」。

 さらに、あなたは情報セキュリティについて勉強をします。「情報資産の洗い出しとリスク分析」が必要であることはすぐに知ることができますので、全社員に情報資産の洗い出しとリスク分析を命じるでしょう。そして多くの社員から無言の反発や拒否反応を生み出すことになるのです。

 これは別の視点から見ると、すべて「コストの増大」につながっているのです。コストと言うと「お金の支払い」をイメージしますが、ITの利便性を制限することによる知的生産性の低下、モチベーションの低下、機会損失の増大もコストとして考えられます。

 つまりCEOから見ると、あなたはひたすらコストの増大を生み出す仕事を日々行うことになるのです。このような事態は多くの企業で見られます。この話をすると「いるいる。ウチにも」と言われることが多くなりました。

 現実のCISOは「誰か会社で名乗っておけばいい」という程度で決められることが少なくないのですが、任命されたCISOは任務に燃えます。大義名分も手にすることから、権力を振り回して周囲が困る事例が少なくありません。これは真面目に仕事に取り組む日本人だからこその弊害なのだと思います。

 情報セキュリティを高めることだけを考える立場になれば、前述のように生産性などを低くしてでもセキュリティを高めるために禁止事項を増やすようなことをするのはある面で当然なのかもしれません。それが仕事なのですから。