先日、「警備会社の金庫が盗まれた」という新聞報道にアッと驚かされたが、長年にわたって「空気と水と安全はタダ」と言われてきた日本も、昨今かなり怪しくなってきた。さらに、携帯電話やPC(パソコン)、インターネットなどのメディアが絡んだ事件が続発していることは、この分野に身を置く者として残念なことだ。
「日経マーケット・アクセス」が、さる8月、9月に実施したパネル調査「ネットビジネスのための企業システム(第1回)」の調査結果によると、セキュリティ対策の課題として「社員の(セキュリティに関する)意識が低い」を挙げた企業が70.5%に達したそうだ。
企業の生産性を高めることが喫緊の課題とされる中で、ネット時代のセキュリティの問題は、障害発生後の復旧コストや信用の失墜、長年築いてきた企業イメージの急落、財務的損失、株価の低落、事後対策に要するマンパワーや時間の損失などに直結し、また短時間のうちに被害が表面化するという特異性があり、経営上の極めて重要な課題である。しかし経営者や管理職は、そのことを本当に理解しているのだろうか。
身近な例として、私は最近、オフィスのPCにID番号やパスワードが本当に必要なのかと思い始めている。そもそもパソコンは会社の資産であり、そこに記憶されたデータも会社の共有財産の一部のはずだ。個人を過剰に尊重しているとでも言うべき管理姿勢は、本当に適切なのだろうか。 “アメリカ製のPC文化”を、何の疑問もなく安易に受け入れてはいないだろうか?
たとえば、同僚のデスクの引き出しを無断で引っ掻き回すのは組織人として常識的行為とは言えない。PCも同じで、本人が不在中に勝手にファイルを開くのは非常識だ。「全員がパスワードを持つ」ということは、職場のデスクやキャネットの全てに鍵を掛けて、使う時だけ鍵を開けるのと同じで、私には閉鎖的で異様な光景に感じられる。活力のある職場とは、とても思えない。
逆に、PCの使用者が長期出張中に急にファイルにアクセスする必要が出てきた場合や、事故や急病、家庭のトラブルなどで本人が急に出社できなくなった場合など、パスワードが分からないためにファイルが開けられないのでは、業務に支障を来たしてしまう。危機管理の点からすると、むしろパスワードなどない方が好ましい。
パスワードに神経質になる一方で、機密情報をFAXで送ることは日常的に行われている。オフィスの入り口の横に置かれたFAXに、休日や昼休みの誰もいない時間帯に機密情報が流れ込んで来たりする。
またオフィスの隅の応接セットに座った来客から良く見える位置に、大きな月間予定の白板が掲示されていたりする。つまり、文書管理やレイアウト、入室管理などの基本的問題に徹底的に神経を配るのが先だ。
ID番号やパスワードが、PCの安全性確保のための“気休め”程度の意味しかないように思えてならない。雑誌などで、「PCの画面の横などに、パスワードを書いたメモを貼り付けたままにしてはいけない」と警告していることが多いが、社員の相互信頼関係が密であれば、そんなものは不要だ。
しかも、デスクトップのPCはセキュリティをガッチリと固める一方で、メールを自宅のPCや私用のノートブック、携帯電話などに自動転送して、自宅で仕事をしたり持ち歩くのも日常的になっている。特定の人にしか使うことを認められていないRAS機能(離れた場所からのアクセス機能)をフルに活用して、自宅やホテルなどの外部から自社ファイルにアクセスしている人も増えている。
持っていたノートブックPCや携帯電話をタクシーや電車の中、空港の待合室に置き忘れたり、紛失、盗難に遭う事故が増えている。PCや携帯電話の本体の値段より、中に記録されたデータの方がはるかに価値が高いため、その記録データを詳しく調べて持ち主の会社を恐喝するなどの事件も頻発している。データの機密性を確保するため最近は、指紋などのバイオメトリックス技術を使ったものや、トークンと呼ばれるICチップを埋め込んだ個人認識のためのタグが用いられ始めた。
セキュリティの議論をすると、外部からのウイルスの攻撃を守るためのファイアウォール、暗号化、停電などの事故や通信障害から守るための二重化、外部からの侵入によるファイルの改ざんなど様々な技術的課題がテーマとなる。しかしもっと怖いのは、社員や元社員による内部告発メールや、商品情報、顧客情報、個人情報の持ち出し、機密情報の入ったファイルの流出など、いわば“内部犯”なのだが、根絶するのは容易ではないうえに、自衛するしかない。無論、「セキュリティポリシー」を作ったり守秘義務契約を締結するのも欠かせないが、より重要なのは、やはり企業組織としての意識の問題だ。
一般論として言えるのは、社員の意識というものは、経営者や管理者自身の意識をそのまま映すものだということだ。前述した調査のように「社員の(セキュリティに関する)意識が低い」と憂える前に、何よりも先ず、経営者、マネージャーの管理意識を強化する必要がある。経営者や管理職の意識改革を図ったうえで社員の組織求心力を強固にしてこそ、組織や職場のセキュリティ向上の土壌が有効に築かれてゆく。セキュリティ対策の課題として、管理意識の改革を後回しにしてシステム投資だけに頼るのは、投資効率は高くない。
紙の書類がパソコンに変わったからと言って、そこには決して目新しい組織管理の資質が求められるものではない。