<< ちょっとしたネタ(mixiに同一記事あり) | main | 「最強最速アルゴリズマー養成講座」 >>
Twitter


スポンサーサイト

一定期間更新がないため広告を表示しています

posted by: スポンサードリンク | - | | - | - | - | - |

『出来ない』『分からない』への意識 Blog掲載用

「やらされる」から「やるべきこと」へ社員の意識を変えていく──ジャパネットたかた 吉田常務(ITmedia エグゼクティブより)
2004年3月にジャパネットたかたが起こした情報漏えい事件は同社に深刻なダメージを与えた。この事件をきっかけに、いかにセキュリティ意識を社内で醸成していったのだろうか。


 最近感銘を受けた記事。mixiにはこんなことを書いている。
 ニュースをコピペするだけでなく、自分の感想も書いて公開するのが本来のコピペする目的なのだが(一定期間が経つとリンク先は消えてしまう)、今回は単純に記事を紹介したいのと手元に残しておきたい関係でコピペする。

 2008年度後半から09年度にかけて、部活で得た事の一つに"セキュリティへの危機感"がある。部活のIT管理者に対する私からの明確な非難として"管理意識が特筆すべきレベルで低い事"があり、自衛の重要さを悟ったからだ。彼等にセキュリティに関して指摘するとこう返ってきた事がある。『技術・知識がしゅんしゅんに比べて足りないから』……私を馬鹿にしているのか、と今でも思うし、部執行部への怒りや不信にこの事が直結したのは事実だ。無論、企業に求められるレベルを部に強要する事は無い。しかし、最低限のレベルは求められて然るべきであろう。

 以下の文章は何かを学べるかもしれないと思い、掲載する。問う私の立場は無論、問われる諸兄姉も学べる事はあると思う。

 通販会社はあくまで"商品を売る"事を目指していると思う。だから情報管理に意義を見出だすのは難しかったと思う。
 しかし、本業とはずれたそこに着手した事でその向こうにある本来の目的や利益を拡張する何かを得られるのではないだろうか。

※このあと記事引用


 この間……8日に友人と話し、ACFという部活において、セキュリティ管理が困難であることを互いに確認した。というのは、ACF役員会に与えられた任務に対して役員は「神様から与えられた"奉仕"である」と考える。そして、その考えに従うと「伝道、交わり、学び」といった『クリスチャン的任務』は奉仕であると考えやすいが、そういった任務は奉仕とは考えずらい。役員会では『実務』という用語を用いて表現されることからも分かる通りだ。
 元の記事の会社にしてもそうだったのではないか、と思う。ACFに比較して重要さに関する認識は比較にならないほど高かっただろうけれども、それでも、「通販会社」としての任務としては意識が低かったに違いない。

 『実務』が『奉仕』に発展しなければACFにおけるセキュリティ分野の成長は見込めない事を私は感じた。いかに管理システムを提案・構築した所で変化はないと。ACFの行動理念である「神様の御心」とは関係ない所にACFのセキュリティ問題は位置しているのだ。

 しかし、はたして本当にセキュリティ問題は神様の御心と関係ない所に位置しているのだろうか。そうであるならば私はACFにこう宣言しなければならない。「ACFにパソコンは関係ないのだから運用すべきではない」と。パソコンとセキュリティ問題は直結する。セキュリティ問題がACFに関係ないならばパソコンも同時にACFとは関係ない物である。しかし、現にACFはパソコンを有している。つまり、少なくとも「ACFとパソコン(に付随してセキュリティ)は関係がある」と考えた時代があったことになる。
 まず、今もACFとパソコンが関係あるのかという面を考えるべきだと思うが、今もまた運用している事実がある。議事録を作ったり、プロジェクターと繋いでスライドを運用したり。つまりは『関係ある』のだろう。しかし、それは極めて希薄な関係であると思われる。議事録にしろプロジェクターにしろ、ただの便利ツールだ。代替手段はいくらでもある。これでは、セキュリティ意識が低いのも当たり前である。

 ACFがパソコンをこれからも運用していくとしたら、ACFはパソコンのさらなる運用手段、クリスチャン的に言えば「用いられ方」を考えていく必要があるだろう。ACFのそれは確かに旧型で心許ないものだが、それでもACFが思うよりは大きな可能性を秘めたマシンである。そして、キリスト教学生団体でパソコンを有しているのは国内に多いわけではないだろう。だが、その運用方法は充分な模索……祈り、考え、話し合う……が必要であろう。
 キリスト教と情報社会というのはもっと開拓されて行く必要がある分野であると私は思う。




元の記事は追記部分に引用。

ジャパネットたかたに大打撃を与えた情報漏えい事件



 近年、個人情報保護法の策定による法的な後押しもあり、多くの企業では情報漏えい対策が取られている。にもかかわらず、情報漏えいに関する事件や事故は増加傾向にあるのが現状である。これまでいくつもの事件が世間の大きな関心を集めてきたが、中でも大きなインパクトを与えたものの1つが、2004年3月に通販会社のジャパネットたかたが引き起こした約51万件にも上る個人情報の流出事件である。



 ジャパネットたかたの前身である「株式会社 たかた」は1981年6月、長崎県佐世保に創業した。通販会社として事業を行う中、90年代からラジオを皮切りに、新聞広告、テレビなど、複数のメディアを活用した顧客開拓戦略を実施。独特な語りで商品を宣伝する高田明社長は、ジャパネットたかたの名物キャラクターとして人気を集め、同社は通販業界の雄として、まさに飛ぶ鳥を落とす勢いの急成長を遂げることになった。そんなジャパネットたかたを襲ったのが、大規模な顧客情報漏えいだったのである。



 アイティメディアが2月25日に開催した経営層向けのセミナー「第13回 IT mediaエグゼクティブセミナー」の特別講演に登壇したジャパネットたかたの吉田周一常務は、事件当時を振り返り、情報漏えいの怖さと社内におけるセキュリティ教育の重要性を訴えた。




次にまた事件を起こしてしまえば……



 情報漏えい発覚後、ジャパネットたかたはすぐに謝罪を行い、自発的な業務停止を発表した。この対応の早さは現在では不祥事を起こした企業の好例として取り上げられることが多い。しかし、その内情は「とても美辞麗句で語られるようなものではなかった」(吉田氏)という。



 業務停止による減収は154億円にまで膨らみ、高田社長は会社をたたむことも考えたという。具体的な犯人が分かるまで、犯人捜しのようなムードが社内にまん延し、社員間に人間不信の空気が広がった。行政からは毎月のように呼び出され、会社には毎日多くの投書が届いた。投書の内容は批判的なものもあったが、実のところ7割は励ましの手紙だったと、吉田氏は話す。しかし一方で、その事実にこそゾッとした。



「もし、わたしたちが再び不祥事を起こせば、励ましがそのまま裏返しの感情になるに違いなかった。つまり、もう二度と信頼を裏切ることはできず、後がないことを実感した」(吉田氏)



 吉田氏は、その日から信頼回復のために徹底したセキュリティ体制を社内に築くことにした。情報管理を5つのステージで考え、1つ1つ実践していったのである。5つのステージの内容とは、「第1ステージ:社内対策の構築」「第2ステージ:社外対策の構築」「第3ステージ:対経営陣・幹部へのアプローチ」「第4ステージ:BCM(事業継続管理)が必要とされる背景」「第5ステージ:事業継続リスクとリスク管理手法」である。




不合格者の名前を容赦なくさらす



 この取り組みにおける同社の最終ゴールは、情報セキュリティ対策を導入し、社員を守る環境を作ることである。それに向けて第1ステージの社内対策の構築では、 「見える化」と「アイデアの具現化」という2つのフェーズに分けて進めた。



 まず、情報セキュリティの重要性を気付かせるためのコンプライアンステストを実施した。管理職用、一般社員用など、職務や立場に応じて内容の異なるテストを行い、合格者、不合格者の名前をはっきりと分かる形で廊下に貼り出して、不合格者には補講と再テストを行った。テストで好成績を収めたのは新入社員が多く、管理職はさんざんな結果だったという。再テストでも結果を残せなかった者は名前を大きくして廊下に貼り出した。「管理職は反発し、徒党を組んで抗議してきたが、名前を貼り出し続けた。最終的には、根負けして真面目に取り組むようになった」と吉田氏は述べる。



 テストは年間ランキングを設け、成績優秀者には「ゴールドスター」、「シルバースター」などの称号を与えるとともに、それがひと目で分かるよう、社員証に印を付けたのである。やがて、管理職の中からも称号を獲得する者が現れ、社内に競争意識が芽生え始めた。このテスト結果は人事評価の要素にも取り入れ、年に2回、評価制度面談を実施し、賞与へ反映させていったのである。



 さらに、会社に持ち込んではいけないもの、持ち出してはいけないものをリストアップし、抜き打ちで持ち物検査も実施した。持ち込んではいけないものの中には携帯電話も含まれている。個人情報漏えいを招きかねない違反品が見つかれば問答無用で没収した。没収品の一覧表を作成し、年に一度は没収品の展示も行った。没収された違反品1つ1つは小さな資料や機器だったが、蓄積された違反品は部屋一杯に並び、その量に高田社長も驚いたという。




セキュリティ意識を社員に根付かせるアイデアマラソン



 第2フェーズのアイデアの具現化では、セキュリティ環境の維持向上を図るためのアイデアを募集するために社員にノートを配り、気付きをノートに記すことを義務付けた。この取り組みは「アイデアマラソン」と名付けられた。ノートに書き込まれるアイデアは、大小さまざまな効果を生み出していった。



 例えば、ジャパネットたかたのキャビネットに並ぶ複数のファイルには、ファイルをまたいで背表紙に斜めのラインが入っている。どこかのファイルを抜き取れば、何番目のファイルがないかがひと目で分かるという仕掛けだ。また、ノートに書き込まれたアイデアをヒントにお茶の間にICレコーダーの新たな使い方を提案し、ヒットさせるという事例も生まれた。例えば、両親が共働きの子どもが学校から家に帰った際、メモ代わりに母親の音声を吹き込んだICレコーダーを使うという提案が顧客に受けたのである。



 たとえ小さなものでも、アイデアが形になるのは社員にとってうれしいことだ。ノートへの書き込みは次第に充実し、セキュリティに対する自発的な姿勢を社内に育んでいるという。




やらされている状態から、自ら取り組む状態へ



 第2ステージの社外対策の構築では、ステークホルダーとの関係強化が図られた。情報保護についての定例会議を実施し、社内のノートで培ったアイデアマラソンのような形でアイデアを出し合うことも行っている。第3ステージの対経営陣・幹部へのアプローチでは、経営におけるCSR(企業の社会的責任)の重要性の普及に努めた。第4ステージのBCMが必要とされる背景については、顧客を消費者でなく、物事を考えて行動する生活者として認識し、その信頼に応える企業の体質作りをアピールした。第5ステージの事業継続リスクとリスク管理手法では、会社を取り巻くあらゆるリスクを洗い出し、タイプごとに分類。リスクの高さから取り組むべき優先順位を明確にしていった。



「分かることと、できることは違う。社員すべてができる状態になるには、やらされ感から自発的に取り組む状態にしなくてはならない。そのためのルール作りであり実践なのだ」(吉田氏)


posted by: しゅんしゅん | その他 | 22:54 | comments(2) | trackbacks(0) | - | - |

スポンサーサイト

posted by: スポンサードリンク | - | 22:54 | - | - | - | - |
コメント
 
2010/03/29 12:04 PM
Posted by: ひかる
こんなに責めてどうしたいの?
しゅんしゅんがいにくくなるよ
2010/03/29 12:27 PM
Posted by: しゅんしゅん
 うーん、あまり責めているつもりは無いのだけれども……むしろ、ここをこうすれば有効に運用出来るのでは、という提言の意図が強いかな。

 逆に、どこが責めに感じたかを教えてくれると文章を直せるのでありがたいです?









トラックバック
 
http://syun2ej.jugem.jp/trackback/3017