社内のセキュリティ研修で足りていますか？

「りんごは踊る、されど並ばず」というポッドキャストで、このブログについて取り上げていただきました。たいへん感謝です。さて、このポッドキャストの第12回で、また重要なお話をされていました。

最近セキュリティ研修を受けたのですが、2012年にもかかわらず、「P2P禁止」程度の説明がされるくらい。 え！？今時そこでおしまい？

僕も、厳しいくらいのセキュリティ研修を受講したことがあります。個人情報とはなにか、個人情報の取り扱い、それによる社会的責任などなど。それでもSNSなどについては説明がなかったのではないでしょうか。（2005年か2006年）

企業のセキュリティ研修は、企業としてのリスクを軽減するためであるわけで、個人のリテラシー向上と直結していない場合もあり得ると思います。つまり、僕たち自身がセキュリティについて考えたことがあるか、ということですね。会社で働いていくためだけに必要なセキュリティばかりではないように思うのです。

一方で、日本は会社員の抱えるリスク、責任が定義されていないことが多いですね。いわゆる、後出しじゃんけんです。何か起きてから「そんなことをしてはダメだろう」と言い出すような文化を持つ会社がありますね。

以前米国に行った際に、とあるベンチャー（当時すでに数十億円ほどの資本金だったかと）のフロアに上がると、エレベーターホールからオフィス内が丸見え。社員数は30名ほどだったかと思うのですが、すとーんと見渡せるのですね。
「こんな状態だとセキュリティ上は問題ないの？」と質問した僕にCEOが答えたのは「何が問題なの？このフロアに上がってくるのは社員か来客だけ。そして、誰か違う人が来ても全員から見えるじゃん」ということでした。
つまり、セキュリティは全員で守っているということなのですね。もちろん社員に大して性善説であるわけですが、社員を信頼し、その社員が会社のセキュリティを守る。シンプルな構造です。

日本では、カードキーやセキュリティゲートが当たり前になり、出勤するたびに空港で飛び立つようなチェックを受けている会社も増えていますが、どちらがいいとか悪いといった話ではなく、きちんとセキュリティを考える、そしてシンプルに考えるとコスト負担も軽減される、ということを思い出した今日この頃です。
セキュリティは、物的、システム的、人的の3つのリスクがあるわけですが、「人的（悪いことをするというよりも、ミスを犯すという意味で）」リスクが一番大きいですしね。
はい、僕も会社員時代に、自らの会社のセキュリティについて正面から考えたことがなかったことを思い出しました。反省。。。