Scribble at 2025-12-17 11:24:47 Last modified: unmodified

会社で「IT リテラシー研修」というのを10年以上にわたって続けている。それこそ、弊社で ISMS を認証してもらった2007年からだから、20年近くになる。でも、正直なことを言えば成果は芳しくないと言える。これは、もちろん僕自身の責任だと言っていい。そういう責任を取るのが Chief Privacy Officer という肩書を公に使っている者の職責でもあり使命でもある（もちろんプライバシーマークの審査員にも伝えている、弊社の公式の肩書だ。僕が勝手に格好つけて名乗っているわけではない）。とは言え、「芳しくない」とは言っても全くの素人よりは多少の知識や知見は身につけている筈だと思う。そのレベルが、僕という桁違いのレベルにある人間から見て低いというだけのことだ。もちろん、僕は神ではないから（かつて一部の電通マンから冗談で「神」と呼ばれたことはあるが）、その「桁」が人には凌駕しえないほどの差にあるなどとは言っていない。真面目に情報セキュリティやコンピュータ・サイエンスの勉強をすれば、５年や10年もあれば追いつき追い越せるていどの知識にすぎない（技量や経験は単純に年数だけの問題ではないから別だが）。

ただ、そうだからといって年数をかけたらいいかと言えば、そういうわけでもないのは、会社で同じような研修や教育の実務を担っている人であれば、ただちに分かるであろう。なぜなら、第一に殆どの社員は僕らと同じレベルの知識や技能を身につけるために会社へ入ったわけではないからだ。営業は金を稼ぐために入社するのであって、情報セキュリティの管理策を実行するために入社するわけではない。もちろん、情報セキュリティの管理策を実質的に実行しているのと同然の業務を遂行することは、職務に専念するという内容の一部であり、僕ら管理職の仕事は、ごくふつうに従業員が仕事をしていれば管理策を実行しているも同然であるように業務を設計することなのである。しかし、どう考えても営業の「仕事」は営業活動であろう。なので、彼らに僕らと同じだけの情報セキュリティに関する知識やスキルを求めることは主業務の軽視であり、そもそもそんなことは求めるべきでもない。

そして第二に、第一の理由から導かれることとして、自分の主業務でもないことに人は関心をもたないし、それについて知識や技能を得ようという向上心など湧かないものである。もちろん、営業やデザイナーがコンピュータ・サイエンスの勉強をしてもいいが、それは業務時間の外でやることであって、いわば自主練や自習あるいは趣味の類である。会社が期待したり強制できることではない。逆に言えば、会社は従業員がそのような意欲で主業務以外の知識やスキルを身につけることを当然のように期待したり強制してはいけないし、そういう知識やスキルをもっているという前提で事業や組織や業務を設計したり計画してはいけないのである。もちろん、これは従業員を侮ったり馬鹿にすることではない。だが、おおよそ全てのサラリーマンは平凡な人々であって、自分が担っている主業務を超えて新しく知識や技能を身につける意欲が誰にでもあるとか誰にでも身に着けられると想定できるような存在ではないのである。これは「バカ前提」で事業や組織を作れという話ではなく、誰でもここから出発しているという常識に立脚するというリアリティの話であり、自社の社員がみんなすすんで新しいことを学び、そして実際に身につけられる有能な人間であるなどという、およそありえない想定で組織をつくってはいけないというだけのことだ。こんなことは、仮に社員が全て東大の修士号を持っているような IT ベンチャーであろうと言えることなのである。