セキュリティでがんじがらめ、社員のモチベーションは？

社員をセキュリティを理由にがんじがらめにしてしまうと、生産性が落ちてしまうのではないか？　こんな議論が日経セキュリティ会議で開かれたパネルディスカッションの一幕に見られた。

[堀哲也，ITmedia]

　社員をセキュリティで理由にがんじがらめにしてしまうと、生産性が落ちてしまうのではないか？　こんな議論が3月4日の日経セキュリティ会議で開かれたパネルディスカッションの一幕に見られた。

　「企業の情報セキュリティ投資とガバナンス」と題されたパネルディスカッション。ソフトバンクBBの常務取締役兼CISO阿多親市氏、監査法人トーマツ シニアマネジャー公認会計士の丸山満彦氏、損害保険ジャパン 執行役員IT企画部長の望月純氏によって行われた。司会は一橋大学副学長の伊藤邦雄氏。

左から一橋大学伊藤邦雄氏、損害保険ジャパン望月純氏、監査法人トーマツ丸山満彦氏、ソフトバンクBB阿多親市氏

　この質問は、ソフトバンクBBが行った情報漏えい対策を紹介した阿多親市CISOに投げかけられたもの。ソフトバンクBBは、昨年の情報漏えい事件を契機に信頼回復のため、急激な情報セキュリティ対策をトップダウンで行ってきた。業務プロセスの見直し、そして従業員が会社で使用するPC操作の全監視など、徹底した対策を進めてきた。（関連記事）

　しかし、これだけ急激に情報セキュリティが強化されれば従業員からの反発が予想される。仕事に対するモチベーションがそがれてしまえば、社員の生産性は極端に低下してしまう。

　これに対し、阿多氏は「モチベーションを崩すのは問題」としながらも、社会的な責任と社内にはルールがあるということを理解してもらうよう説明したとの経験を披露した。

　ソフトバンクBBが全社員のPC操作ログを監視することを決めたとき、社内からは当然のように「プライバシーの侵害だ」などという反発があった。しかし、プライバシーを侵害するのが目的ではなく、事故のときのトレーサビリティを確保するためのものであることを説明してきたという。

　そのために、集中監視を行っているセキュリティセンターの管理者が興味本位でログを見られないような仕組みを作ることにも注意を払った。PCのログインに利用する指紋認証のシステムの導入にも、あえて特徴だけを捉え、指紋を再現できない不可逆なものを採用する配慮を行ったという。「技術的な点をしっかり説明して、気持ちの悪さを減らした」（同氏）。

　監査法人トーマツの丸山満彦氏も、コンサルタントとしての多くの経験から、ルールを入れると「初めのうちは抵抗ある」という。だが実際に入れてみると、「そのうちにルールの中で何がやっていいことで悪いことか、社員が自由度を分かってくるメリットも出てくる」とのこと。このようにルールの必要性を気がつかせるような導入方法が必要になるとした。

　損保ジャパンの望月氏も、何のためにやるのか、その運営方法はどうするのか、を社内に開示していく説明責任が大事だとの考えだ。

内部統制を強めると……？

　このような形で内部統制を強めていけば、今までわかっていなかった問題が、社内からボロボロ出てくることになりそうだ。

　丸山氏はディスカッションの中で、「彼氏にお金がないといわれ、彼女が会社のお金を金庫から持ち出し、次の給料日には返す」という話をよくあるケースとして紹介したが、内部統制によりプロセスが重視されることになれば、今までは発覚していなかったこのようなものまですべて明らかになってしまう。伊藤氏は、処罰者が続出して、社内が萎縮してしまうのではないかと指摘した。

　実際に、URLフィルタを入れたソフトバンクBBでは、業務外のWebサイトにアクセスはものすごい数があることが分かってしまったと阿多氏。ただ、口頭注意から行っていったが、部署ごとに業務外アクセスのグラフを示すようになると、「恥ずかしいと感じるようになってくる」と述べ、従業員の感覚や考え方も変化してくるとした。

---

　経営の側から積極的に取り組むことが求められる情報セキュリティ。しかし、上手にコントロールして導入できなければ、社員のモチベーションや生産性を低下させ、かえって企業価値を下げてしまうことにもなりかねない。それを防ぐためには、従業員の十分な理解も必要だ。