Scribble at 2023-07-03 14:42:20 Last modified: 2023-07-03 14:42:32

月末に実施している研修では、このところ動画を配信して全社のスタッフに観てもらっている。これに加えて、今月からは１週間に１本のペースで追加の短い動画を配信する。これは弊部の年間目標にもしていて、同じ部署であってもスタッフが事業所で一堂に会する機会が減っている状況では、Zoom のようなオンライン会議を利用するか、あるいは動画を配信して各人の都合がいいときに観てもらう方がよいだろうと考えたからだ。

内容は、もちろん個人情報保護に関する一般的な注意事項とか基礎知識、あるいは IT パスポートのレベルでパソコンやネットワークについて解説したりという、まことに一般的なものだが、弊社の事業や業務に即して解説するという、社員にしかできないアプローチをとる。そして、初回からしばらくは上記のページを参考にして情報セキュリティの基本的な注意事項を議論しようと思う。

ここで「議論」と書いたのは、上記で紹介されている注意事項を紹介したり解説するだけではないからだ。もちろん多くの会社がそうであるように、名目あるいは建前としてのセキュリティ対策はあれこれとあっても、(1) 実際に実行しているとは限らない、(2) 実行しているという記録はあってもセキュリティ部署がだまされている可能性がある、そして (3) そもそもやらなくてもいい対策がありえる。そして、僕は情報セキュリティや個人情報保護マネジメントの実務側のトップとして、やらなくてもいい対策は邪魔であるばかりか、余計なコストがかかったり、本当に重要な対策まで軽視するようになるという逆効果があると考えて、積極的に自社の規程類からは排除してきた。これは、管理系の部長としては異様なスタンスかもしれないが、僕は現実的であるばかりか、実はこの方がマネジメント・システムを効果的に実装する方法だと考えている。

ただ、このやり方の導入プロセスを間違えると、会社なんて簡単にだらけてしまう。僕も含めて、会社員というものはセキュリティ対策をやるために会社へ入り、通勤し、勤務しているわけではないからだ。したがって、このやりかたの要点は、本当に大事なことは何度も強調して解説し、違反には手厳しく対処することにある。最も大切なことはないがしろにしないからこそ、どうでもいいことはどうでもいいものだとして斥けられる。素人にいい顔をして後者だけをやったところで、舐められるだけだ。