企業や組織における脅威への備えは、「内部」か「外部」かで考えられることが多い。そのアプローチは本当に正しいのだろうか。
前回は、バス会社で発覚した運転手の内部不正について会社側の対応事例を紹介した(ベストな対応とは言えないが結果的には良い方向に収まった)。今回は中編として、こうした脅威への対策における基本的な考え方について述べたい。
筆者は20年以上にわたって組織における内部不正や内部犯罪への対応にあたってきた、その経験から、企業や組織などのセミナーでは「統計資料はほとんど役に立たない。なぜなら内部犯罪の大半は表面化せずに対応されてしまうからだ」とお伝えしている。
情報セキュリティを含めたこの種の犯罪を「内部脅威」と「外部脅威」に分けた場合、実は明らかに内部脅威の方が多い。感覚ではあるが、その割合は「内部:外部」とした場合、「7:3」か「8:2」といった状況だろう。統計には表れない事実である。統計に表れる前に企業として(結果的に)隠蔽されてしまう性質が極めて強いからである。
しかし、企業や組織の情報セキュリティ対策でよくみられるのは、サイバー攻撃のような外部脅威に重点が置かれ、その対策費用は上述とは真逆の比重になっていることだ。経営者の視点としては外部脅威の方が目立つため、リソース(人・物・金)を外部脅威対策の方に費やす傾向にある。
過去にも何度か指摘しているが、本来取り組むべき対策の勘所としては、以下の点を考えるべきだろう。
そうした観点で言えるのは、まず「信頼している」ことと「チェックしている」ことは、別物であることだ。日本人はよく「信頼しているからチェックもしない、監査もしない」というが、これは論理的に破綻している。「信頼しているからこそ、その信頼を将来的にも担保するためにチェックをする」というのが正常ではないだろうか。
また経営者や創業者の中には、方針と行動との間にバランスを欠く方もいる。自分たちの創業理念や基本概念について社員をきちんと教育し、実践状況でチェックした上で「この人は内部の人間である」と認めて、一人で店番させる。万一の場合は経営者が全て責任を負うというのなら筋が通る。だが現実には、ほとんど教育もしないで店の中で社員を一人きりにし、監視もしない場合が多い。それで問題が起きるのでは博打行為のようなものではないだろうか。
「机上の空論」と思われるかもしれないが、筆者はこれが基本だと考えている。なお、経営者やオーナーがそういう認識や危機感を持って、社員に「全てを委ねる」なら、それはそれで「あり」だと思う。オーナーや経営者はその店の内部では「神様」なのだ。それも現実である。
Copyright © ITmedia, Inc. All Rights Reserved.