コンサルタントの使い方を間違える企業の特徴：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

[萩原栄幸，ITmedia]

専門家へのダメな頼み方

　言われるがままに作業を引き受けた筆者にも責任があることは自覚している。筆者は「なんとかできるでしょ」と言われると、どうしても引き受けてしまう性格なのだが、このケースでは災いになった。情報セキュリティのコンサルティング契約は、ほとんどの場合で1年単位の自動更新になるのだが、この金融機関については最初の１年間で筆者からやんわりと断ってしまった。

　このような酷いケースは筆者の経験ではこれしかないものの、これに近い状況は時々あり、その都度何とか体制を立て直して作業を良い方向に持っていった。この様な企業ではほとんど場合、以下の共通点がみられる。

その1：コンサルタントと共同作業をした経験がない（もしくは少ない）

　コンサルタントは派遣社員とは根本的に違う。ある程度のきっかけまではコンサルタントが、その切り出しや企画書を提案するが、従業員の協力がないと無駄になってしまう。コンサルタントの役割は、企業における「情報セキュリティ」全般についてのお目付け役だ。ところが、いつの間にか時間単価で働く派遣社員としての扱い方になっていく。

　コンサルタントに求められる仕事は、結果として年間数億円以上もの効果につながることを形にしていくことであり、時間単価で作業をすることではない。ただし、筆者の場合は事前に成果物を決めておくようにして、企画書や稟議書の資料作成まで請け負うことはよくある。なぜなら、中小の金融機関の多くは期中での増員を承認することが難しく、1年程度を限度に社員の作業を事前にコンサルタント契約に盛り込んでいる。費用は高くなるが、その方が企業にとっても契約しやすいという。

その2：中長期のビジョンがない（もしくは経営側の期待要件にない）

　情報セキュリティでも何でも同じだが、コンサルタントはその専門分野を切り口に、企業全体の問題点をクローズアップさせ、その内容を開示して従業員の作業をサポート（特に技術系なら指導も）し、そして、実践させることにある。対応策を従業員と一緒に考えて議論し、成果につなげる。

　ところが、そういう考え方ができない経営側は「お金＝成果」と短絡的に考え、目の前のわずかな効果だけを追い求める。「能力がない」というのは簡単だが、近視眼的になるのはある程度仕方がない。そこを正しく進路変更させることも、コンサルタントの役割である。

その3：調整の窓口役があやふやになっている（情報の一本化を厳守すること）

　こういう場合、企業はコンサルタントを使いこなせていないか、経験がない。それなら素直にコンサルタントと相談して、作業内容や目的、成果物をきちんと決めることが大事だ。それをプライドが邪魔して、目前の作業消化や超短期的な成果だけを求めてしまう。しかも指揮系統がバラバラなので、コンサルタントに多方面から作業依頼が来る。これではすぐにコンサルタントがパンクしてしまう。