情シスを悩ませるルールの違反や形骸化…「記憶」から「記録」で動く組織へ

1. 社内ルール違反について考えてみよう

先月（2022年11月）、皆既月食が話題を呼んだ。月が地球の影に完全に覆われる「皆既食」中、さらに、月の後ろに天王星が入る天王星食も見られた。皆既食と惑星食が同時に見られるのは、日本では442年ぶりの天体ショーだった。完全に覆われた状態で太陽光の一部の赤い光が月を照らし、赤黒い色に見えたのが神秘的に見えた。スマホで撮影したが、なぜか満月に写ってしまい失敗に終わった。

ちなみに442年前は1580年になるが、その2年後が「本能寺の変」の年になる。特に意味はないが、同じように誰かが夜空を見ていたのかと想像するとワクワクする。次回は322年後の2344年の土星食と予想されている。322年後には引き継げないが、322年前を想像してくれる人がいることを信じたい。

さて、今回のコラムは、情シスにも大いに関係している社内ルール違反によるインシデント対応や運用ルールの形骸化の原因について考えてみた。特にリモート環境が進み、管理の目が届きにくくなる中、「守られる」社内ルールの整備の難しさを感じる。正しいルールの在り方についてお話ししたい。

2. 職場のルールが守られないことによって起こったインシデント

インシデントと聞くと、悪意を持った外部の人物によるサイバー攻撃や不正アクセスなどのインパクトのある攻撃をイメージする。しかし、メールの誤送信やパソコンの紛失、情報の誤掲載などの社員によるミスも含まれる。不審なメールの開封や不審なサイトへのアクセスによるマルウェア感染なども社員のミスによるインシデントになるかもしれない。

実際は社員が持つセキュリティの知識や技術の欠如に加えて、セキュリティに関する意識の低さも原因と言える。社員のセキュリティレベルが組織のセキュリティレベルに大きく影響を及ぼしているということだ。社員教育については後述の「7. ルールを守る有効な教育や研修の方法」の内容も参照してほしい。

3. テレワーク環境だからこそルールを意識してほしい

セキュリティを担保するためのルールは、業務を一手間増やす場合もあるため、誰にも指摘されず発覚もしない環境であれば、ルールを無視して不正行為を行う可能性が高まる。テレワーク上での弱点は、承認フローが形骸化してしまうことだ。

個人的な意見だが、業務が属人化しているなどの環境も、不正が起こりやすくなると考えられる。現在でもテレワークの拡大傾向にあり、上長や同僚の目が届きにくい労働環境になっている。不正を行う機会が増加するおそれがあることを意識してほしい。

4. ルールが形骸化する特徴とその原因は何か？

ルール違反は、人為的なミスにつながり、さまざまな事故の原因となっている。人為的ミスの起きやすい環境の特徴として、「記録」ではなく「記憶」で行動しがちな組織の風土が挙げられる。

両者の違いは何かと言うと、「記憶」での行動には、例えば、玄関の戸締まりがある。外出時には、ほぼ無意識で施錠し、後から不安になった経験は誰にでもあると思う。このように、「記憶」、いわば「慣れ」で行う動作は、ミスにつながりやすい。ルールがあることすら覚えていなくてもできてしまう。

一方、セキュリティの高いオフィスビルの施錠は、うろ覚えではなく、手順書を確認しながら行うのではないだろうか。これが「記録」すなわち「マニュアル」に基づく行動であり、このほうが抜け漏れや間違いは起こりにくくなっている。このような慣れからくる動作で、問題も起きず上手くいってしまうところに、ルールが形骸化する原因がある。

5. 「形骸化」しにくいルール作り

ルールは、「禁止する事項」を決めるだけではなく、「許可される行動」についても決めておく必要がある。どれもこれもダメだと規制するのではなく、この方法であればOKだとみなされる行動を設定しておく方法だ。注意すべきことは、一度でもルールを開示すると、自走してしまうので気をつけたい。

ルールの内容が網羅的に把握できないことを想定すると、改正の数が増えることは間違いない。ただし、その運用方法で「常に見られている」、「モニターされている」などと抑止効果を狙うことも良い。情シスから社員に周知する機会があれば、自社内で起きた事故事例を具体的に説明し、その影響が大きいことを1人ひとりが感じてもらう活動も必要かと思う。社員1人ひとりのリテラシー向上を目指してもらいたい。ルールの重みを感じてもらうためには、危機感の意識醸成が必要なのである。

6. ルールを「形骸化」させない体制作り

ルールを守るのは管理する側も同様であり、そもそも信頼関係を構築するところから初めなければならない。それには管理者側のコンプライアンス研修も必要であるが、「ルールは知っているが、今回に限っては…」などとならないようにするべきだ。誰も見ていないので信号無視をしてもばれないから、大丈夫だと考えるようではいけない。それは管理する側も同じ立場なのである。

ルールを記憶に頼るのではなく、記録にあるマニュアルに沿って遵守する風土作りも必要なのかもしれない。情シスは、ルール違反を見逃せないがために、時には強い口調になってしまうことを許してほしい。

7. ルールを守る有効な教育や研修の方法

「誰も見ていないから大丈夫」と思っているものだけが、ルール違反者ではない。そもそもルールがあることすら知らず、違反を犯してしまう者もいる。新入社員、転勤者への教育、研修は必ず行ってもらいたいが、事故事例を紹介し、危機感をあおるだけでなく、正しい運用ルールについてバランスよく指導するよう心掛けてほしい。

最近では、テレワークを取り入れる企業が増え、eラーニングも自宅において個人のペースでできるスタイルだ。しかし、知識が定着したかどうかを確認する手段が乏しいのが現状だ。また1人で勉強を継続するための、モチベーションの維持も課題と言えよう。

eラーニングがまだ定着していない時代、前職（NHK）では集合研修が多かった。集合研修は一か所に集まって行うものだが、学習できたことより、人とのつながりとか、コミュニケーションの場として有意義なものであった。これからは集合研修も取り入れハイブリッド形式で行い、双方のいいとこ取りにしていくべきだと考える。

社員へのITリテラシー教育について重要なのは「定期的に行う」ことである。情シスとしては情報セキュリティリテラシーを身に付けることの重要性を丁寧に説明して、全ての社員に理解してもらうことが必要だ。しかし、社員同士のコミュニケーションの場が減ることは避けていきたい。

8. ルール違反が起こった場合に効果的な指導方法

起こった場合は当事者だけをただ叱るのではなく、なぜ、その行動を起こしたのか、背景をさかのぼる必要がある。さかのぼってみると、そもそも曖昧なルールが存在していたりするからだ。根本的な解決は難しいが、再発防止には必要なことである。

まとめ

社内ルールは、社員へ周知すればそれでOKではない。守ってもらうための活動は行っている。しかし、守らなくても運用ができてしまう場合もある。会社としては、事故が起きる前に確認できるシステム整備も必要なのかもしれない。だが、社員1人ひとりがルールに対する意識を持てば、ミスを減らすことができる。情シスが目指したいところは、全ての社内運用をシステム側で見守り、安全・安心な状態で仕事ができる環境作りではないだろうか。