IBMビジネスコンサルティング サービスのCSOである大木栄二郎氏は、「日本特有の原因と責任を追及しない姿勢がセキュリティ対策を阻害する要因」と指摘する。何か問題が発生したとき、その原因はどこにあり、どのような改善策を施せばセキュリティが確保できるかを確かめる術がないからだ。この「責任感の欠如」という最大の課題を克服するにはどうすればよいのだろうか。
|
--前回のお話の最後に、企業・組織のセキュリティ対策を阻害する要因として、「アカウンタビリティの欠如」「日本的風土と曖昧さ」を特に大きなものとして挙げられていましたね。
大木氏: 日本人の体質は「集団無責任」です。よく建前と本音を使い分けるでしょう。例えばセキュリティ事故が起こったとき、原因や責任者を追究すると、必ず横やりが入りますよね。善人だけで成り立っているムラ社会であればそういう考え方もあり得ますが、今日のビジネス環境でその状況は考えられません。
具体的に申し上げると、日本企業の多くは就業規則にセキュリティに対する考え方や罰則もきちんと書いていません。そこで何か事が起きると、急きょ設置された情報セキュリティ委員会等々の裁量に任されてしまいます。そこを曖昧にせずに、管理し、改善につなげていくことが必要なのです。「まあ、いいじゃないの」という体質のままでは、改善したくてもそのポイントが見えないのです。これがセキュリティ対策を阻害している要因です。
--「アカウンタビリティの欠如」というのは?
大木氏: これは非常に大きなポイントです。いま「集団無責任」と申し上げましたが、そこが非常に曖昧なのです。日本企業の中でも、CSOを任命したりセキュリティ組織を作ったりと積極的に取り組む企業が増えましたが、根幹である「どういう考え方に基づいて、どういう責任分担をやっていくか」という「責任配置の設計」でその曖昧さが残っています。ですから説明責任を果たせない。結果、「まあ、いいじゃないの」という無責任体質につながっていくと思われます。
セキュリティ責任を持つべき部署はどこか
--責任分担の考え方ですが、日本人固有の曖昧さを加味しなくても、非常に難しいと思われます。曖昧さや無責任文化、アカウンタビリティの欠如といった風土を考慮して、責任分担を考えた際に、具体的にどのような取り組みが必要なのでしょうか。
大木氏: 一番のポイントは、「情報がなければ事業ができない」と認識することです。ですから、事業の責任者は事業で使う情報に責任を持つ必要があります。このような責任配置をしていただかないと、セキュリティ対策はうまくいかないのではないでしょうか。セキュリティ委員会のように別に組織を立てて、そこが全部の責任を負うということはあり得ないと思います。
ところが多くの企業では、事業ラインの中で責任を持っている担当者と、セキュリティの責任を持っているところとの間で責任や役割分担ができていないのです。セキュリティ委員会など、別組織を立てているケースでは特にその傾向が強い。
昔は事業部門とIT部門の間の責任分担も曖昧でした。ちょうどセキュリティでも同じことが起きています。いま「会社業務の中で大切な情報について、いくら投資をしてどのように守っていくか」ということは、実はIT部門が予算を立てて管理しているのですね。事業部門は関与していないのです。
ですから、ここで「事業部で扱う情報の責任は事業部で負いなさい」といわれると、途端に反撃に遭うと思います。いわく、予算がないし、そもそもIT部門が作ったシステムを使っているだけなのでセキュリティ対策など立てようもない、などなど。つまり責任がどこにあるかが曖昧なまま、形だけ対策を行おうとしているのが問題なのです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」