企業がセキュリティポリシーを導入し始めて10年近く経ちましたが、みなさんは勤務先のセキュリティポリシーを読んだことがありますか? ここでいうセキュリティポリシーというのは、ポリシー本体だけでなく、そこから派生して作成されている規定集などを含んだものを指しています。

 企業がWebサイトに掲載している個人情報保護方針は企業の建前が書かれているだけであって、セキュリティポリシーに相当するものとは言えません。セキュリティポリシーとは少なくとも何をどのように守るのか、守れなかったらどうするのか、ということが最低限かかれていなければいけません。

 実際に多くの企業では、何を守らなければいけないのかという規定が延々と書かれています。とても曖昧で、具体的にどう受け取っていいか分からないような文言も見られますが、一方でとても詳細に書き下ろされたセキュリティポリシーを策定しているところもあります。

 10年以上もセキュリティポリシーを運用していると、改定を繰り返し、その規定集は詳細に書き込まれ、膨大な文書量になっています。ところがその文章は平易ではなく、専門的な言葉や独特の言い回しでとても分かりにくくなっています。規定するための文章になっていて、読んで守ってもらうための文章になっていないのです。

 そこで、セキュリティに積極的に取り組んでいる企業では、セキュリティ教育が行われます。セキュリティ教育では、社員が守るべき規定のすべてを教えることはあまりなく、特に守って欲しいものだけを抜粋して教育用のコンテンツを作成しています。そして、確認のためのテストなども行われることが一般的となってきていますが、そのテストも問題数が多いと不満が出ることが多いために、抜粋して問題が作成されることが一般的です。

 つまり、結局は社員は分厚い規定集の中から抜粋された教育コンテンツと確認テストを行うだけであって、規定集そのものを熟読して暗記はしていないことが多いのです。読まれない規定集であれば、どんなに綿密に書かれていたとしても意味を成しません。確かに様々なリスクを想定して詳細に規定集を作成することには意味がありますが、読まれないことにはその目的を達成することはできません。

 また、その規定集を作成するためには膨大な時間が費やされています。場合によってはセキュリティコンサルタントに多額の費用を支払っていることもあるでしょう。それでも読まれていないとすれば、有効な投資とはいえないでしょう。

 それでも、詳細な規定を決めておいたことに意味があることもあるでしょう。何かあったときに、規定はあったが社員が守らなかったとして会社を守ることもできます。

 一方で、それなら規定集を作る労力を、教育コンテンツにもっと費やして、教育コンテンツに使われているイラストなどをそのまま規定集にしてしまうという考え方もできます。形にこだわることをやめて、実際に覚えてもらう、覚えられる範囲の規定集だけを作成するという考え方です。難解な文章になっているよりも平易な取扱説明書のような、読んで守ってもらおうという意識を持って規定集をマニュアル化することはできないでしょうか。

 また、規定は一般社員や管理職、システム開発者、システム管理者、契約社員、協力会社社員などによっても内容が異なります。また大きなグループ会社では、関連会社ごとに違う規定集が存在することもあります。

 役職が上の方ほど情報セキュリティに対する責任は重くなりますが、それ以外の本来の職務も多忙を極めているために、分厚い難解な規定集を読んでもらうことは期待できません。より分かりやすいポイントを突いた規定にするべきで、そのためには平易なマニュアルのような観点で作成された規定集が効果を発揮するものと考えられます。また、それはリテラシーが比較的高くない協力会社社員やアルバイトなどにも適用できると思われます。

 このように、セキュリティポリシーや規定集は厳格なものであるべき、という固定概念を捨てて、「顧客に読んでもらおう、分かりやすいものにしよう」という観点に立った見直しを提案します。