1. 社内ルール違反について考えてみよう
先月(2022年11月)、皆既月食が話題を呼んだ。月が地球の影に完全に覆われる「皆既食」中、さらに、月の後ろに天王星が入る天王星食も見られた。皆既食と惑星食が同時に見られるのは、日本では442年ぶりの天体ショーだった。完全に覆われた状態で太陽光の一部の赤い光が月を照らし、赤黒い色に見えたのが神秘的に見えた。スマホで撮影したが、なぜか満月に写ってしまい失敗に終わった。
ちなみに442年前は1580年になるが、その2年後が「本能寺の変」の年になる。特に意味はないが、同じように誰かが夜空を見ていたのかと想像するとワクワクする。次回は322年後の2344年の土星食と予想されている。322年後には引き継げないが、322年前を想像してくれる人がいることを信じたい。
さて、今回のコラムは、情シスにも大いに関係している社内ルール違反によるインシデント対応や運用ルールの形骸化の原因について考えてみた。特にリモート環境が進み、管理の目が届きにくくなる中、「守られる」社内ルールの整備の難しさを感じる。正しいルールの在り方についてお話ししたい。
2. 職場のルールが守られないことによって起こったインシデント
インシデントと聞くと、悪意を持った外部の人物によるサイバー攻撃や不正アクセスなどのインパクトのある攻撃をイメージする。しかし、メールの誤送信やパソコンの紛失、情報の誤掲載などの社員によるミスも含まれる。不審なメールの開封や不審なサイトへのアクセスによるマルウェア感染なども社員のミスによるインシデントになるかもしれない。
実際は社員が持つセキュリティの知識や技術の欠如に加えて、セキュリティに関する意識の低さも原因と言える。社員のセキュリティレベルが組織のセキュリティレベルに大きく影響を及ぼしているということだ。社員教育については後述の「7. ルールを守る有効な教育や研修の方法」の内容も参照してほしい。
3. テレワーク環境だからこそルールを意識してほしい
セキュリティを担保するためのルールは、業務を一手間増やす場合もあるため、誰にも指摘されず発覚もしない環境であれば、ルールを無視して不正行為を行う可能性が高まる。テレワーク上での弱点は、承認フローが形骸化してしまうことだ。
個人的な意見だが、業務が属人化しているなどの環境も、不正が起こりやすくなると考えられる。現在でもテレワークの拡大傾向にあり、上長や同僚の目が届きにくい労働環境になっている。不正を行う機会が増加するおそれがあることを意識してほしい。
4. ルールが形骸化する特徴とその原因は何か?
ルール違反は、人為的なミスにつながり、さまざまな事故の原因となっている。人為的ミスの起きやすい環境の特徴として、「記録」ではなく「記憶」で行動しがちな組織の風土が挙げられる。
両者の違いは何かと言うと、「記憶」での行動には、例えば、玄関の戸締まりがある。外出時には、ほぼ無意識で施錠し、後から不安になった経験は誰にでもあると思う。このように、「記憶」、いわば「慣れ」で行う動作は、ミスにつながりやすい。ルールがあることすら覚えていなくてもできてしまう。
一方、セキュリティの高いオフィスビルの施錠は、うろ覚えではなく、手順書を確認しながら行うのではないだろうか。これが「記録」すなわち「マニュアル」に基づく行動であり、このほうが抜け漏れや間違いは起こりにくくなっている。このような慣れからくる動作で、問題も起きず上手くいってしまうところに、ルールが形骸化する原因がある。
5. 「形骸化」しにくいルール作り
ルールは、「禁止する事項」を決めるだけではなく、「許可される行動」についても決めておく必要がある。どれもこれもダメだと規制するのではなく、この方法であればOKだとみなされる行動を設定しておく方法だ。注意すべきことは、一度でもルールを開示すると、自走してしまうので気をつけたい。
ルールの内容が網羅的に把握できないことを想定すると、改正の数が増えることは間違いない。ただし、その運用方法で「常に見られている」、「モニターされている」などと抑止効果を狙うことも良い。情シスから社員に周知する機会があれば、自社内で起きた事故事例を具体的に説明し、その影響が大きいことを1人ひとりが感じてもらう活動も必要かと思う。社員1人ひとりのリテラシー向上を目指してもらいたい。ルールの重みを感じてもらうためには、危機感の意識醸成が必要なのである。
6. ルールを「形骸化」させない体制作り
ルールを守るのは管理する側も同様であり、そもそも信頼関係を構築するところから初めなければならない。それには管理者側のコンプライアンス研修も必要であるが、「ルールは知っているが、今回に限っては…」などとならないようにするべきだ。誰も見ていないので信号無視をしてもばれないから、大丈夫だと考えるようではいけない。それは管理する側も同じ立場なのである。
ルールを記憶に頼るのではなく、記録にあるマニュアルに沿って遵守する風土作りも必要なのかもしれない。情シスは、ルール違反を見逃せないがために、時には強い口調になってしまうことを許してほしい。
7. ルールを守る有効な教育や研修の方法
「誰も見ていないから大丈夫」と思っているものだけが、ルール違反者ではない。そもそもルールがあることすら知らず、違反を犯してしまう者もいる。新入社員、転勤者への教育、研修は必ず行ってもらいたいが、事故事例を紹介し、危機感をあおるだけでなく、正しい運用ルールについてバランスよく指導するよう心掛けてほしい。
最近では、テレワークを取り入れる企業が増え、eラーニングも自宅において個人のペースでできるスタイルだ。しかし、知識が定着したかどうかを確認する手段が乏しいのが現状だ。また1人で勉強を継続するための、モチベーションの維持も課題と言えよう。
eラーニングがまだ定着していない時代、前職(NHK)では集合研修が多かった。集合研修は一か所に集まって行うものだが、学習できたことより、人とのつながりとか、コミュニケーションの場として有意義なものであった。これからは集合研修も取り入れハイブリッド形式で行い、双方のいいとこ取りにしていくべきだと考える。
社員へのITリテラシー教育について重要なのは「定期的に行う」ことである。情シスとしては情報セキュリティリテラシーを身に付けることの重要性を丁寧に説明して、全ての社員に理解してもらうことが必要だ。しかし、社員同士のコミュニケーションの場が減ることは避けていきたい。
8. ルール違反が起こった場合に効果的な指導方法
起こった場合は当事者だけをただ叱るのではなく、なぜ、その行動を起こしたのか、背景をさかのぼる必要がある。さかのぼってみると、そもそも曖昧なルールが存在していたりするからだ。根本的な解決は難しいが、再発防止には必要なことである。
まとめ
社内ルールは、社員へ周知すればそれでOKではない。守ってもらうための活動は行っている。しかし、守らなくても運用ができてしまう場合もある。会社としては、事故が起きる前に確認できるシステム整備も必要なのかもしれない。だが、社員1人ひとりがルールに対する意識を持てば、ミスを減らすことができる。情シスが目指したいところは、全ての社内運用をシステム側で見守り、安全・安心な状態で仕事ができる環境作りではないだろうか。
<< 関連コラムはこちら >>
■情シスの人材確保は難しい…増大する業務負荷を乗り越えるヒント
■リスク事例で読む、情シスにしかできないITのリスクマネジメント
■Withコロナで気がついた、テレワークの継続を前提とした将来の情報システム運用
■情シスに求められるスキル! 聞き手が耳を傾けるプレゼン力を身につける方法
■アフターコロナの時代は情シスの大きな転機になる~チャンスを生かし、今すぐ実践できること~
■目標設定と成功するためのタイムマネジメント「時間管理」について
■システム障害は、「気の流れ」が変わった時に発生しているのではないか
■情シス部門の必須知識! 経営層の理解を得て予算を獲得する方法
■デジタル変革(DX)に求められる人材はなぜ確保できないのか?
■テレワークによるコミュニケーション不足解消と、メンタルヘルスケア
■組織で挑む、ヒューマンエラー抑止(全1話)
■情シス業務の醍醐味(全3話)
■有事に備えよ!(全3話)
■著者紹介■
熱海 徹(あつみ とおる) 氏
1959年7月23日、仙台市生まれ、東京都在住
40年近く日本放送協会 NHK に籍を置き、一貫して技術畑を歩んできた。転勤の数は少ないが、渡り歩いた部署数は軽く10を超えている。その中でも情シス勤務が NHK 人生を決めたと言っても過言ではない。入局当時は、放送マンとして番組を作るカメラマンや音声ミキサーに憧れていたが、やはり会社というのは個人の性格をよく見ていたんだと、40数年たった現在理解できるものである。20代の時に情シス勤務をしたが、その後に放送基幹システム更新、放送スタジオ整備、放送会館整備、地上デジタル整備等、技術管理に関する仕事を幅広くかかわることができた。今まで様々な仕事を通じてNHK内の人脈が自分としては最後の職場(情シス)で役に立ったのである。考えてみたら35年は経過しているので当たり前かもしれない。2016年7月には自ら志願して、一般社団法人 ICT-ISAC に事務局に出向し、通信と放送の融合の時代に適応する情報共有体制構築を目標に、放送・通信業界全体のセキュリティ体制整備を行った。ここでも今までの経験で人脈を作ることに全く抵抗がなかったため、充実した2年間になった。私の得意なところは、人脈を作るテクニックを持っているのではなく、無意識に出来ることと、常に直感を大切にしているところである。