第8回:セキュリティ対策が進まない最大の原因とは - (page 2)

IBM ビジネスコンサルティング サービス チーフ・セキュリティ・オフィサー 大木栄二郎氏2004年10月25日 14時00分

トップの意思決定が不可能な理由

--多くの日本企業では経営手法がボトムアップ型であるために、意思決定が難しいという話が出ましたが、「セキュリティ対策をしなければならない」という風潮がこれだけ高まっているのに、なぜトップは意思決定できないのでしょうか。

大木氏: ただ、経営理念や戦略にセキュリティ意識を盛り込んだからといって、すぐに社員が変わるわけではありません。やはり時間が必要になります。1年、2年、じっくりかけて風土を変えていく戦略が必要です。その間どうするかといえば、具体的なプロジェクトを動かし、たとえばISMSやプライバシーマークの取得に動く、といったアプローチが有効でしょう。そのうち、社員の中にセキュリティ意識が芽生えてきます。こうした具体的な変化の積み重ねをプロジェクトの中で実現していく、これがまさにわれわれのいう「飛躍」になると考えています。

 一方で現状を見ると、やはり前回話題に出たように「情報管理か、活用か」という相反するニ軸で物事を考えようとしています。特に現場の方にとっては、情報活用は業務と密接していますから、セキュリティ対策を歓迎しない向きも多い。こうした中では、現場から「セキュリティ対策を徹底しよう」という意識が生まれるはずはありませんよね。セキュリティ対策については、ボトムアップ型経営だとトップが意思決定できないといった意味はここにあります。

--そのような社員の意識が、日本という風土の問題につながるわけですね。

大木氏: 社員だけではなく、トップの意識もかなり日本特有の性善説に侵されていますね。例えば住基ネットの問題を考えてみても、自分ではなく国がやろうとしていることには目を光らせて、「問題が起こったらどうするんだ」と騒いでいるんですよね。自社には甘い、つまり「自社の中には悪事を働く社員はいない」という意識があるわけで、これもひとつの性善説だといえます。その代わり、ほかの組織に対しては厳しい目を向ける。自分も他者も公平な目で見てリスクマネジメント対策を行う、または事故前提社会という位置づけで対策を練るといったような、もっと成熟した議論にしていく必要があると思います。

 ただ、わたし自身の目から見ると、「社会が変わってきたな」と思う事柄もいくつかあります。例えばセキュリティ対策について、以前は「性善説の立場か、あるいは性悪説に基づいて考えるか」とか「セキュリティ対策は技術課題として捉えるか、それとも経営課題か」と議論されてきましたが、ここ1年でこれらの回答は出そろったと思います。「性善説か性悪説か」といわれれば、いまの世の中では性善説を前提にしない考え方でセキュリティ対策を施すべきですし、この取り組みが経営課題だということも明確になってきている。ただ、個人の意識とか風土的な部分で、日本人特有の曖昧さが残っているのが問題なのです。みなさん気づき始めているのかもしれませんが、まだ少しアンバランスな部分が残っていますね。

法律でどこまでセキュリティ意識を高められるか

--キュリティ対策を阻害する要因として「法制度の不備」という項目も挙げられていました。これについてはどう思われますか。法律で縛ることで、日本人のセキュリティ意識が高まるといった効果もあるとは思いますが。

大木氏: 確か孫正義さんも言っていたと思いますが、「情報を盗み出しても罪にはならない」といわれていますよね。今年1月に不正競争防止法の改正が行われて、営業秘密に対しては一定の歯止めができましたが、法改正については日本はとても遅い。

 というのは、まさにセキュリティと同じで、日本の法律体系は既存のものと整合性を取る形で決めていくから、非常に時間がかかるのです。ところが米国の場合だと、とにかく法律を作って、その解釈については裁判所で決めるという形態ですから、環境の変化に追随できます。日本の場合はそうではないから、わたし自身はあまり楽観的に考えられないんですよ。

--法律に頼るのは、最後のところで考えるべきことかもしれませんね。

大木氏: 個人情報保護法のように、法律ができることでコンプライアンス意識が高まり、結果として経営者の意識づけに役立つという効果はありますね。

  ただ、セキュリティ対策という軸で捉えた場合、先ほどから述べているように日本特有の曖昧さやアカウンタビリティの欠如が対策を阻害している面もあると思います。次回は、この2つのテーマを中心に具体策をお話したいと思います。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]