これまでは、ITについて、取り巻く環境、経営者との関わり、ITを構成する金、人、情報を駆け足で見てきた、今回からは脱線気味ではあるが昨今のITの課題について述べたい。

なんでこんなことが守れないの? - 万人に共通の"常識"を定義することの難しさ

2007年を代表する漢字は「偽」…2008年はもう少し気持ちが明るくなるものでありますように

昨年末、日本漢字能力検定協会が全国公募した2007年「今年の漢字」は、なんと「偽」だった。名の通ったさまざまな食品関係の企業が、食品衛生法やJAS法で決められた賞味期限を偽ったり、社会基盤を作っている建設関係の企業が強度データを改ざんしたり、至る所で嘘が発覚した。残念ながら今年もその傾向は続いている。ただ、これらの多くは、内部告発で判明していることから、日本人の良心もまだまだ捨てたモノではないと言えるかもしれないが。

同様に、情報セキュリティについても、数多くの事件/事故が発生している。Winnyを通して流出した顧客情報とか、サーバにあるはずの情報を不正に持ち出されたなど、四六時中報道がある。経営者から見てもIT組織の人から見ても、「また発生したのか!」「なんでそんなことがわからないんだろう?」と不思議に思う毎日であろう。

会社にはさまざまな規則がある。従業員がいれば就業規則が存在するし、経理の処理の規則、調達の規則など、創業時から規則集として置かれていて、新人が入社時には必ず説明していることだろう。そして最近は、従来の規則とは少し異なった規則が数多く追加されてきている。個人情報保護、内部統制、監査、営業機密、輸出管理、セキュリティといった類のものだ。これらは今までのものとはまったく異なる性質を持つ「ニュータイプ」の規則と言える。

「ニュータイプ」の特徴のまず1つめは、業務をまたいだ横糸のような規則あることだ。従来の規則は、ある意味、特定の業務を遂行するときに必要な"決まりごと"が中心であった。言い換えればその業務を行うときに参照すれば事足りた。ところが新しく追加された規則は、ある業務だけという固定化されたものではなく、すべての従業員に関係する行動すべてを規制する。

2つめは、その生い立ちである。これらの規則は往々にして、不祥事の発覚、法改正など外的な要因で急遽作ったものが多い。急ごしらえが悪いのではなく、結果的に体系的でないことが混乱の原因になる。会社の生業である業務遂行に欠かせない、きちんとした体系で書かれている従来の規則に対し、ニュータイプのほうは、悪く言うと「場当たり的に、○○なことを禁止する」だけの規則でしかないということになる。

「明示的に許可されているもの以外は禁止する」か「明示的に禁止されているもの以外は許可する」か

情報セキュリティに関する規則は、先述の通り「ニュータイプ規則」の代表格である。情報漏洩が発生したら、その原因となる行為をしてはいけないと禁止し、罰則を設けるというパターンがほとんどである。ところが、誰かがちょっと違ったやり方をしでかすと、また情報漏洩が発生する。そうするとそれに向けてまた規則に条文を追加する。この連続によって、さらに不可解な体系/構造になった規則は、最初からじっくり読み込まないと、どうすればよいのか誰にもわからない。正確に言うと、じっくり読んだ人だけは、特定の"これをしてはいけない"ということだけはわかる。

ところが、「ニュータイプ規則」は業務をまたいですべての人が守らねばならない規則であるので、このわかりにくさは致命的である。毎日じっくり難解な規則を読んでいるような社員は存在しないからだ。内容も、抽象的に書くと、業務に密着していないゆえ、わかってもらえない。たとえば、「電子記憶媒体を扱う場合は、上長の承認を得るとともに、適切な暗号化措置を施すこと」と書かれている場合、どんなときに何をすべきかわかる人がどれくらいいるであろうか。

逆に、具体的すぎると「書いていないからやっていいんだ」という輩が出てくる。たとえば「USBメモリに社外秘情報を格納するときには、申請書に課長以上の承認印をもらい、XXXというソフトウェアで暗号化しなければならない」と書いてあるとする。この場合、これはSDカードだから関係ない、XXXというソフトウエアはどこどこの国で購入できないから使わない、課長以上ということだが、主任技師ではダメなのか……など、いろいろなことを言ってくる人が出てくる。これじゃ、だだっ子を相手にしているようなものだ。古代ローマの政治家、文筆家、哲学者であるマルクス・トゥッリウス・キケロの言葉で、「禁じられていないということは、許されているということではない」というのがあるが、「禁じられていないことは、やっていいんだ」と曲解する人が増えてしまう。こうなれば、もう無法地帯だ。これはだめ、あれもだめ、と書くしかなくなる。最終的に、情報漏洩を防ぐ手段を限界まで追いつめると、たとえば「電子メールは必要最低限にせよ」「情報を持ち歩くな」「パソコンに不用意な情報を入れるな」「無駄口をたたくな」など、仕事をことごとく制限してしまうことになる。これでは本末転倒である。

規則が守られない原因はいろいろあるが、まずわかりにくいこと、そしてそれを守ろうとする意識がないことにつきるだろう。前者の対応として、規則を改正して体系的にわかりやすくするということはできる。しかし後者の意識に関しては、仕掛けの問題ではない。心の問題である。セキュリティがどうしても守られないという企業は、従業員が心からセキュリティを守らねばという意識が希薄なためだ。

したがってここから脱出するためには、規則およびその実施をIT部門だけのものとしないことが一番肝心である。社員の意識改革と捉えて、経営者を巻き込んだ大きなうねりとすることが必須である。

規則は破るためにある、不正は見つからなければ大丈夫 -- こんな世の中にならないようにしたいものだ。

コンプライアンスの難しさは、問題が起こってからの対応になりがちなところ。いくら穴をふさいでも、それをあざ笑うかのように新たな穴が発覚する。予想外のコトが起きても、慌てた対応をしないように心がけたい

(イラスト ひのみえ)