「社員を信頼する」というセキュリティーポリシー
今朝の TechTarget にも「クラウドからの情報流出リスクに対処する」などという記事が出ていましたが、ITシステムが情報を扱うものである限り、セキュリティの問題は常について回ります。単純に思いつく対処法は、ログを取るなどして社員の行動を監視してしまうことですが、これはコストも高くつく上に社員の疲弊も招くという弊害があります。しかし情報流出が発生した時のインパクトを考えれば、監視というコストはやむを得ない――という結論に落ち着く前に、ちょっと耳に入れておいて欲しい話があります。
最近『事実に基づいた経営―なぜ「当たり前」ができないのか?』という本を読んだのですが、その中にこんな一節があります:
また、理論というのは自己完結的でもある。自分の好きなセオリーに従って行動すると、セオリーどおりの結果が出るものなのだ。例えば、ある人を疑わしいと思ったら、その人の行動を常に疑いの目で見るから、そもそも信頼なんて生まれるはずがない。信頼を勝ち得るチャンスも与えず、その人が信頼できないなんて、なぜ言えるのか。というものだ。また、ある実験によると、試験管がカンニングをしやすいだろうと感じる環境を作って、実験的にそこでテストを受けさせると、実際にカンニングが増えるという結果もある。
ゴーレム効果という心理学用語があります。これはピグマリオン効果の逆で、教師が「この生徒はダメだ」と思いながら接すると、その生徒は本当に成績が下がってしまうというもの。上記の例はそれに近くて、「カンニングするだろう、するだろう」という意識で生徒を見てしまうと、生徒はその「期待」に応えてしまう、ということなのかもしれません。
さらに、こんな実験結果も紹介されています:
1990年代の半ばに、ハーバード・ビジネス・スクールのエイミー・エドモンドソンは、リーダーと一緒に働いている職員との関係が、病院のミスにどのように影響するかという、彼女によれば「きわめて基本的」な調査をした。エドモンドソンと彼女の調査に研究費を出したハーバードの医師たちは、看護婦たちのアンケートで、「最も良い」リーダーの下で、最も友好的な関係を持った病院では、リーダーも関係も「最も良くない」病院の10倍のミスを報告している、という結果を発見して驚愕したという。
これはもちろん、上司との関係が良好だと甘えてしまうわけではなくて、心理的な安心感が些細なミスでも報告しようという雰囲気を作り出す=従ってミスの報告件数が増える(実は上司との関係が悪い職場ほどミスを隠している)というわけですね。小さなミスでも報告し、共有する職場は、自ずとその対策も進んでいくことでしょう。結果、より重大事故の少ない職場になっていくはずです。
「社員なんてのは何をするか分からないから、徹底的に監視しなければならない」――仮にそんな意図は無かったとしても、そう感じさせるようなセキュリティー対策を導入してしまう企業があるように感じます。社員のメール内容やアクセスしたウェブを逐一監視するのも必要かもしれませんが、単にそれを導入しただけでは、社員がどんなメッセージを感じるかは明らかでしょう。「オレたちが悪いことをすると思っているのだな」と感じればゴーレム効果を、また「不審な行動を取ったら罰せられるに違いない」と感じればミスの隠蔽を招きかねません。最悪の場合、セキュリティーを強化するために導入した施策が、逆にそれを脅かすような結果になってしまうのではないでしょうか。
一方で、社員とリーダーが信頼しあうことの効果については、こんな指摘もあります(ITpro「本当のことを言う」3ページ目からの抜粋):
有名な1940年代に行われた経営調査の対象は営業スタッフ。調査員の狙いは,成績抜群のカリスマ社員と業績最悪のダメ社員の違いはどこにあるのかを探ることである。そう聞いて思い浮かべるのは,能力や技術の差とか,教育の違いとか,ノルマ制度の有無とか,給料の多寡とか。でも実際にはどれも当たっておらず,一番大きな違いとして浮かび上がってきたのは「直属上司との信頼感」の有無だったのだという。溢れんばかりの才能と卓越した技量をもった社員であっても,上司との信頼関係がなければ最悪の業績しか残せない可能性があるのである。
「お前は信用ならない」――そんなメッセージを放つことは、セキュリティを脅かすリスクがあるだけでなく、会社の業績をも悪化させる危険があるかもしれません。
単純なミスによる情報流出を防ぐためにも、機械的な監視や承認機能は導入しなければならない。そのような状況であったとしても、社員との信頼関係を壊すことのないよう、十分な話し合いや説明が行わなければならないと思います。その意味で、セキュリティーポリシーは何らかの形で「社員を信頼する」という姿勢と両立させていく必要があるのではないでしょうか。