2024.11.26
痛い目を見ないと、経営トップはセキュリティに本気にならない
かつて自分は、情報セキュリティマネジメントのコンサルタントをやっていた事があります。
具体的には、ISO27001、プライバシーマークなどのいわゆる「認証を取得する」ためのアドバイスを行っていました。
そこで得た知見は大きく分けて二つ。
まず、セキュリティ事故が起きたときの被害が、想像よりも甚大であること。
つい先日も、ネットショップでカード番号と、セキュリティコードの情報の両方が漏えいし、不正利用なども確認されるという事故が報道されていましたが、被害者への補填やお詫びの工数、そしてなによりレピュテーションの棄損は非常に大きいものがあります。
そしてもう一つが、被害が甚大にもかかわらず、殆どの経営トップは事故が起きるまで、セキュリティを軽視していること。
本質的には「ウチには関係ない」と思っているのです。
真に意味のある対策を施すには、企業のトップがセキュリティを重視する必要があります。
しかし、実際には「痛い思いをしない限り、トップは本気にならない。トップが本気にならない会社では、社員もセキュリティを重要視しない」
という現実が多くの企業で見受けられます。
特に中堅企業の社長にとって、セキュリティは「なんか面倒でコストのかかること」という認識以上でも以下でもなく、「取り引き先がうるさいから、とりあえずやっておく」程度の意識です。
しかし、実際にはセキュリティ対策というのは、「片手間でやってできる」という性質のものではありません。
例えば、ISO27001にせよ、プライバシーマーク規格(JISQ15001)にせよ、要はやることは以下の4つ、あります。
- 守るべき情報を決める
- 守るべき情報のリスク分析を行い、どの程度の対策を講じなければならないかを決める
- 対策を立案し、組織のトップの承認を得る
- 対策を実施し、その有効性を検証する
そして、この4つのいずれのステップでも、トップの関与が非常に重要になってきます。
ですから実際には、この4ステップの前に、
0.「トップがセキュリティの重要性を認識する」
が必要なのです。
「本当?お題目ではなく?」と思う方もいるかもしれませんので、例えば「1.守るべき情報を決める」を取り上げてみましょう。
プロジェクトが立ち上がると、まずは守るべき情報が、社内のどこに存在しているのか、洗い出しをします。
この際には「情報資産台帳」というものを用いて、社内の「情報資産」を記録していきます。
この際問題になるのは「資産」の部分です。
社内に情報は無数にあります。ではその中で「資産」と呼べるような、セキュリティ対象の情報はどれでしょうか。
パッと思いつくような顧客の情報や、機密情報だけではなく、社員の情報や日々やり取りされるメールあるいは伝票の類、調査の報告書、日報など、数え上げればきりがありません。
これら、セキュリティの対象となるような情報は何なのか、それを決定する「指針」を打ち出すのがトップの役割です。これだけでも、大きな影響がありそうですよね。
これだけではありません。
さらに社内から集められた「台帳」に対して、「どの情報が重要で、どの情報は重要ではない」というランク付けを行っていきます。
この「重要度」についても、何らかのトップからの指針が無ければ決めることはできないでしょう。
要するに「どこまでセキュリティに気を使うか」は、経営トップの専売事項なのです。
さらに面倒なのが、「重要だとみなされた情報を、どのように守るか」の部分です。
実はここが肝で、セキュリティを極めると、仕事のやりやすさが犠牲になるのです。
場合によっては、生産性の低下を招くかもしれない。
「対策の厚み」と「情報の使い勝手」は、ほとんどの場合トレードオフになりますから、真にセキュリティを高めるのであれば、「多少の生産性を犠牲にしてもセキュリティを高めよ」と、社員を踏み潰すくらいの勢いがないとだめなのです。
これらが「トップの認識が重要な理由」です。
といいつつ、当時の私の上司だった人は、それほど「セキュリティ」を重視してはいませんでした。
どちらかというと、売上や利益確保にまい進する、攻めの人で、「セキュリティは営業の邪魔にならない程度にやっておけ、業績に影響が出るなど、言語道断」と言っていました。
しかしある時、グループ会社の1社で、顧客情報が入ったPCの紛失、という事件が起きたのです。
一人のコンサルタントが、家で仕事をするためにPCを持ち帰ろうとする途中、飲み会に立ち寄り、居酒屋にPCを置き忘れたという事でした。
この事件は、マスコミでも報道され、そのコンサルタントはもちろん、彼の上司も責任を取らされました。
そこからです。私の上司が豹変したのは。
事故が身近に起き、初めて「セキュリティは自分事」になったのでしょう。
どんなに大手企業の情報漏えい事故の報道を見ても、「ウチとは関係ない」と思っていた人が、一夜にして、「異常に意識の高い人物」になったのです。
PCの持ち出しは禁止となり、徐々にシンクライアントの普及が進みました。
USBメモリの使用も禁止、帰宅時には机の上をきれいにして帰ること、離籍時にはPCをロックすること、こうした細かいルールが次々と制定されました。
そして、そうしたルールを守れない人には、人事評価で悪影響が出ました。
当然、社員たちは不満をあらわにしました。
「どうやって余った仕事をこなせばいいんだ」
「お客さんとのデータの受け渡しが不便だ」
「机を整理している時間などない」
「PCをロックし忘れた程度で、評価に影響が出るのはおかしい」
でも、上司は「そんなことはどうでもいい。セキュリティ事故が起きたら終わりだ」と、社員の不満を突っぱねました。
しかし、そうして、ルールにがんじがらめになった……と思いきや、社員は徐々にそれらのルールに適応していきました。
1年もたてば、「セキュリティルール」に文句を言う人は、誰もいませんでした。
私はこの経緯をつぶさに見ていたので、「セキュリティ対策はトップの意思次第」ということに、深く腹落ちしました。
私が得た知見は、以下の事です。
一つは、セキュリティは自分事になりにくいこと。
二つ目は、経営トップが最初に、自分事としなければ、何も進まないこと。
そして三つ目は、一旦始めてしまえば、それに適応していくこと。
それらをまとめると、「経営トップが痛い目を見ないと、セキュリティには本気にならない」という事になります。
遅かれ早かれ、何もしなければ「その時」は必ずやってきます。
経営者の皆様、どうかセキュリティを気にしてください。
セキュリティは保険と同じだと思って、早めに取り組まれることをお勧めします。
著者プロフィール
<安達裕哉>
生成AI活用支援のワークワンダースCEO(https://workwonders.jp)
元Deloitteのコンサルタント
オウンドメディア支援のティネクト代表(http://tinect.jp)
著書「頭のいい人が話す前に考えていること」65万部