最近、自分でも感じるのだけど、セキュリティ対策を考える際に、どうしても「ワーストケース」で考えてしまうことが多いように思う。たしかに、万一発生するとクリティカルな話も多いのだが、人的要素がからむと、その万一を止めるのが難しくなる。そうなると、管理する側としては、万一発生した場合に、対策の手落ちを指摘されては困るので、(ある意味、無駄な努力とは知りつつ)あれこれと、人を縛るような対策を打っていかざるを得ないのだけど、こうした対策の中には利便性をかなり犠牲にするものも多い。
セキュリティと利便性は相反するものだという、ある種安易な考え方が広がっているから、管理側としてはそれを常に口実にするのだけれど、よく考えて見れば、さほどリスクのない行為まで制限してしまっている現実もあるように思う。なぜそうなるかと言えば、理由は単純で、その対策を講じない、という選択肢をとるには、教科書通りにやるならば、ある程度リスクと効率性の低下を数値化し、比較判断(これは最終的に経営判断)して、リスクを受容することを決めなければいけないから、その手順がめんどくさいし、最後の判断を下すべき人が責任をとれない(とりたくない)ということなんだと思う。効率性の低下、というのがくせ者で、なかなか目に見えないし、たとえば単に、作業に余計に3分かかるからと、コストを時間単価と社員数の積み上げで計算したとしても、実感が乏しい。たとえば、工場の生産管理のように、日頃から効率性をきちんとした尺度をもって計測して、業務改善を行っているような場合であれば、説得力を持たせられるのだろうけれど、営業さんや技術者の作業効率となるといきおい難しくなる。ただ、コスト換算でリスクを正しく判断するためには、リスク自体の数値化に加えて、効率性などビジネス自体をはかる尺度の数値化が不可欠であるように思えるのだ。これは逆に情報システム投資など、ビジネスの効率化を図る投資の有効性計測のためにも必要なことだ。
リスクの受け入れは、ある意味で責任問題につながるから、難しいとしても、たとえばもう少し管理側がコストや手間をかければ、利便性の低下が少ない対策がとれる場合も少なくない。しかし、実際そのためのコスト負担の理由付けは、こうした数値化ができないと困難だ。現状は、多くの管理者が、ある意味その仕事から逃げているのが実態だろう。「内部統制が日本企業を滅ぼす」なんてことを言った人もいるけど、セキュリティも同じだ。いずれもリスクとビジネス効率の管理がうまく融合できていないところがポイントなんだろうと思う。
妙案はまだない、でも、これじゃいかんだろう・・・と思うこの頃だ。みんなで知恵を絞りたいところである。
コメントする