決めたルールはなくならない
多くの企業では、勤務する社員に対して規則を設け、ある一定のルールを課しています。社用 PC の利用時におけるセキュリティルールや、端末の持ち込み可否などその範囲は様々です。時代の流れに合わせて、禁止事項ばかり増えていく環境の人も多いのではないでしょうか。
禁止事項や厳しいルールばかりが増えていく背景には、適用される側の社員が多様性豊かになってきたから、と書くと聞こえはいいですが、実態としてはスキルだけではなくモラルといった面からもこれまでには見られなかった低下があるのは間違いないところでしょう。低下の原因は別にあると考えられますが、それにしても最近の状況は厳しくなる一方です。何から何まで厳しく定義していないと何かしらの問題が発生した時に大変なことになるので、企業としてはルールを定義しておくことにより、問題をできるだけ起こさせないようにしたいということでしょう。
このルールというものは、決めることは容易ですが変更することは物凄く時間がかかる代物です。そのため、悪名高いパスワード付き ZIP ファイルをメールで送ることや、パスワードの定期的変更といった今のご時世に合わないルールを使い続けているのだと思います。パスワード付き ZIP ファイルやパスワードの定期変更も、P マークや ISMS を適用させる・取得させるためのルール定義の際に決めてしまったところが多く、変更させる余力がないのではないでしょうか。
このような事情からも、一度決定したルールを変更することがとても大変なのが分かるかと思います。単純にご時世に沿わなくなったから方法を変えます、とはできないのです。
この話題はもう一つの側面があって、先ほどのような対応策を適用している会社だから安心だ、と誤ったイメージをもたらせている点があると私は考えています。一般的な資格と近いもので、持っていることが変な安心感を与えているのではないでしょうか。実際には持っていることが重要なのではなく、状況に即した運用ができているかどうかが重要です。ですが、何かしらの記号で簡略化されてしまったのもあり、このマークがついていればある程度は安心できると思えてしまうのではないでしょうか。
これまでの情報流出な事件を調べてみるとわかりますが、大量に漏洩が起きるのはほとんどがこれらのマークを適用している企業です。こういった事例からも、資格があることが安心にはつながらないのが感じられるかと思います。資格が表すのは、与えられるだけの環境整備をしました、という結果だけであり、正しく運用できているということではありません。
適切なルールを運用していくにはどうすればよいか、ここを考えるとどうしても適用される側にある程度のスキルやモラルを求める必要があると思います。今の IT 業界的には、誰にでも同じようにできる事を良しとする風潮がありますが、それではどうやってもこの問題を避けられなくなるラインが存在するのだと考えます。
採用の時から注視する、入社してからの教育を重視する、色々な取り組みが必要になります。単純に1か所対応すればうまく回る話題でもありません。ですが、少しずつでもよいので、もっとうまく適用できる環境にするにはどうすればよいか、その点を考えていきたいものです。
個人的には、極端なことを言うと IT エンジニアの免許制度といったものもアリかな、と考えることはあります。ですが多分そうしたところで、現在の資格と同じような状況になるでしょうから、全く別の方法が必要なのだとも思います。それよりは、一つの会社に人数制限をかけ人ぞれぞれとなるばらつきを抑える、そういった方法も思いつきます。もちろんこれも、世の中はそこまで単純ではないので、違う問題が絡んでくるのだと思いますし、本当に難しい話題です。
ただ間違いないのは、何かしらのルールを適用するにしても、そこを人の手でチェックしていく運用はやめた方がよいという点ではないでしょうか。さらに言えば、私たちは IT 業界の人間なので、そこは出来る限り自動的にチェックし防止する形を目指していかないといけないのではないでしょうか。
今は何とかなっているからこれでよい、そう考えることも確かにできます。ですがそうしてきたツケは、見えるところ見えないところ問わずに蓄積しています。抑えきれなくなる前に、溜まったツケはきれいにしたいものです。