2019.09.02
業務のデジタル化が引き起こす危機は、なぜ野放しにされるのか ~高まるサイバーリスクと現場の実態~
目次
いまやデジタル・トランスフォーメーションはビジネス成功の鍵
総務省が7月に発表した令和元年度版 情報通信白書では、平成時代に成長したデジタル経済を振り返り、その進化形として「Society 5.0」を描いている。これは「サイバー空間と現実世界が高度に融合し、経済発展と社会的課題の解決を両立」する社会であり、「Society 5.0」へ変革していくためには、既存のあらゆる産業がICTを事業のコアと位置付け、ICT と一体化することでビジネスモデル自体を変革する「デジタル・トランスフォーメーション(DX)」が必要、と述べられている。
IT専門調査会社IDC Japanが2019年8月に発表した、国内企業および団体1,296社のIT投資動向に関する調査では、2018年度の国内企業のIT投資は増加傾向、とくに大企業では46.5%が2019年度の予算計画について「増加」と回答した。一方で、前出の情報通信白書によると、日本企業は欧米諸国と比べて近年IT投資が停滞傾向にあるいう。今後いかに他社に先駆けてDXを戦略に位置付け、業務プロセスのみならずビジネスモデルをも変革していけるかが、グローバルを含めたビジネスの勝敗を分けると言っても過言ではないだろう。
業務のデジタル化は薬であり、毒でもある
DXによるビジネスモデルの変革とまではいかなくても、新しいITツールを導入することで業務プロセスを変革し、業務品質の向上や生産性向上に取り組んでいる企業は多い。スマートフォンアプリによる業務ツールや社内コミュニケーションツールは海外では既に常識となりつつあるが、国内でも徐々に導入企業が増えてきている。社員へのスマートフォンやタブレットの配布、BYODの推進は、営業職など外回りの多い社員だけでなく販売や製造の現場などにも取り入れられつつあり、あらゆる場面でモバイル機器が活用されている。
モバイル機器の活用やITサービスのクラウド化によって、よりタイムリーに、いつでもどこでも情報共有ができるようになった。企業から従業員への素早い情報発信が可能になり、一人の従業員がアクセスできる情報量も増えた。オンラインのコミュニケーションにより、部署や拠点、国境すら超えたナレッジシェアやコミュニケーションが可能になった。
安価で手軽なICT機器やオンラインサービスの台頭により、会社が新しいツールを提供してくれるのを待たずに、事業部や部署ごとに独自のツールを導入するハードルも下がった。これらの恩恵によって、業務の生産性向上、顧客へのホスピタリティ向上などの効果を実感している企業も多いだろう。
しかし、歓迎すべき側面だけではない。最近では顧客先で「もはや社内のどこでどのようなツールがどんなふうに使われているのか、IT部門が把握・管理しきれなくなっている」という話をよく耳にするようになった。また、かなり現場でのデジタル活用が進んでいる企業のIT部門から、「実は情報セキュリティポリシーが存在していない。作りたいので手伝ってもらえるか」という相談を受けて驚いたことがある。(ポリシーが存在しなかったからこそ現場の自由度が高くて、デジタル活用が進んだのかもしれないが……)
立派なセキュリティポリシーやルールが存在している企業でも、それが実際に機能しているかどうかは別問題だ。文書を作り、仕組みを導入しただけではセキュリティは担保されない。アルバイトスタッフによる不適切なSNS投稿を防ぐにはどうしたらいいか、もし情報漏えいが起こったらどう対応するのか、謝罪会見の段取りや、謝罪動画の作り方といったリスク広報の相談を受けることもある。セキュリティ対策に必要なことは非常に幅広く、IT部門だけでは手に負えない。本当はIT部門が人事や広報、経営企画などの関係部門と連携してリスクを洗い出し、対策することが必要なのだが、責任の所在をあいまいにしたままどの部門も積極的に取り組まないために、水面下でリスク要因が増え続けていることもある。
サプライチェーンにおけるセキュリティの弱点が見えているか
IPA(独立行政法人 情報処理推進機構)が発表した2019年度版の情報セキュリティ10大脅威(組織編)の第4位に、「サプライチェーンの弱点を悪用した攻撃の高まり」が新たにランクインした。「うちの会社はちゃんとサイバーリスク対策をしている」と本社のIT部門が胸をはって答えても、「関連会社や派遣社員、アウトソーシング先まで教育や管理が行き届いていますか?」と質問すると途端に言葉を濁すのが現実だ。
ではどうしたらいいのか、と考えたとき、まず出てくる発想は「ルールやチェックの厳格化」ではないだろうか。しかし大きな組織になればなるほど、現場ごとに業務内容が異なるので、従業員のセキュリティに対する意識は大きく異なってくる。たとえば特許の情報を扱う法務部や、新製品の情報を扱う企画部門と、製造ラインの派遣社員や、アルバイトの店舗スタッフに、同じ意識を持てと言っても無理があるだろう。そんな状態で同じルールを適用しても、業務の実態にそぐわずに形骸化してしまう。
また、チェックする仕組みには限界があり、厳格すぎれば業務効率を落とす。セキュリティのせいで業務効率が落ちるのであれば社員は抜け道を考える。チェックの仕組みや違反に対する罰則だけではリスクは防ぎきれないのだ。しかし、「現場の実態を調べた上で、それぞれの現場に会ったルールやチェック体制を作る」ことができている企業はどれだけあるだろうか? 「ルールが業務の実態に合っていない」「ルールやチェックが形骸化してしまって守られていない」という声はまず現場からは上がってこないので、自ら現場の声を拾いに行かない限りIT部門や経営層は現実を知る由もないのだ。
目に見えない危機を防ぐために
まずは、従業員や関係する外部委託先などがセキュリティに対してどのような意識を持ち、どのような行動をしているかをしっかり把握すること、その上で、関係者の教育・啓蒙を根気強く実施していくことが必要だ。もちろん一般的な情報セキュリティ研修も意味がないわけではないが、現場の実態にそぐわない一般論では、現場の心には響かず、「そうはいっても……」という面従腹背状態になってしまうだろう。現場の納得感を生むのは「現場の業務に即した教育」だ。
ところが、新しいITツール導入のためのアンケート調査や、定期的な社員満足度調査は行っていても、「セキュリティ意識に関して正規・非正規を含む全社員、派遣スタッフやアウトソーシング先まで含めた調査を行っている」という企業には、私自身いまだに出会ったことがない。たとえ「コンプライアンス調査で個人のセキュリティ意識の傾向は把握している」としても、実際に現場の業務やコミュニケーションどうなっているかがわからないままでは、有効な対策を立てることができるとも思えない。
たとえば製造業であれば、工場での労働安全運動、5Sの推進は徹底しているだろう。安全と効率は二律背反ではない。それなのに、なぜ目に見えない「情報」に関する安全はこんなにないがしろにされるのだろうか。リスクが目に見えないから防ぎようがない、というのはその通りだが、製造現場で起こるヒューマンエラーのリスクだって目には見えない。ヒューマンエラーに関する研究や対策は多数あり、防ぐことができる。
中でも経営層を悩ませる問題は「悪意のある情報漏えい」をどう防ぐか、ということだ。性悪説に基づけば「ルールとチェック厳格化」や「罰則の強化」しかないかもしれないが、前にも述べた通り生産性とのトレードオフになりかねない。そして、多すぎるチェックや罰則は、従業員に対して「会社はあなたたちを信用していない」というメッセージにもなりかねない。では、性善説で対策をするならばどうだろう。「従業員・関係者のエンゲージメントを向上する」ということに尽きるのではないだろうか。従業員が悪意のあるルール破りや意図的な情報漏えい、不適切なSNS投稿など、会社に不利益を与える行動に出るのはなぜなのか。その背景には「会社や上司に不満がある」「こんな会社どうなってもいい」という、エンゲージメント低下があるのではないだろうか。
情報に関する事故は人の命にはかかわらないかもしれないが、事故が起こった際の企業へのダメージは甚大だ。あなたの会社の情報セキュリティ、そして従業員エンゲージメントは大丈夫だろうか?
関連サービス
関連事例
株式会社ソフィア
取締役、シニア コミュニケーションコンサルタント
築地 健
インターナルコミュニケーションの現状把握から戦略策定、ツール導入支援まで幅広く担当しています。昨今では、DX推進のためのチェンジマネジメント支援も行っています。国際団体IABC日本支部の代表を務めています。
株式会社ソフィア
取締役、シニア コミュニケーションコンサルタント
築地 健
インターナルコミュニケーションの現状把握から戦略策定、ツール導入支援まで幅広く担当しています。昨今では、DX推進のためのチェンジマネジメント支援も行っています。国際団体IABC日本支部の代表を務めています。
株式会社ソフィア
ワークショップデザイナー
幾田 一輝
社員意識調査を通じた組織課題の分析から、IT・人事分野の改善施策の企画立案、施策実施に向けた伴走支援を担当しています。改善施策の中では、ワークショップの企画、設計を得意としています。
株式会社ソフィア
ワークショップデザイナー
幾田 一輝
社員意識調査を通じた組織課題の分析から、IT・人事分野の改善施策の企画立案、施策実施に向けた伴走支援を担当しています。改善施策の中では、ワークショップの企画、設計を得意としています。