セキュリティを守る『組織風土』

 組織の構成員がモチベーションを高く保てない状態では、その組織は良い結果が出せないだろうし、一時的に無理して出していくと、その歪は大きな危機的現象を生みかねない。
 最も軽い現象は、組織員の脱退、会社なら退職。何らかの事由で、それも困難な場合、組織内犯罪、内部犯行、ハラスメントと組織の腐敗に向かって一直線に進んで行くだろう。

 セキュリティ・マネジメントの世界で、昨今強く言われるのが、組織内犯行を防止、組織員を疑う、いわゆる『性悪説』による対策の推進がある。しかし、はっきり申し上げるが、『性悪説』を究極に追及する体制において、実はセキュリティは守れないという矛盾が発生する。セキュリティの世界、いたちごっこであり、攻撃と守りは常に進歩しており、終着点は無い。
 組織内において、『性悪説』を基に、何もできない様に雁字搦めの状態では、仕事は出来ず、それが不必要で無意味に厳しい場合、モチベーションの低下とともに、つい出来心を起こさせてしまう環境となる。バランスが必要なのだ。
 簡単に言えば、『性悪説』の究極の対応は、人に何もさせないこと、なのだ。何もさせなければ、何も悪いことはできない、間違いも起きようがない、しかし、何も価値も生み出せないだけである。

 だからといって、セキュリティ度外視、ゆるゆるの状態では、これからの時代、サイバーセキュリティや情報セキュリティは他人事ではなく、明らかに攻撃の手段は高度化している。また、社会的風潮も、セキュリティ面での不正が発生した場合の社会的制裁は厳しく、機密情報漏洩や個人情報漏洩などが発生した場合、経営は危機管理状態に陥ることは間違いない。
 危機管理対応として最も重要視されるのが説明責任だが、発生した事象が何が原因でどうなったのか、その問題点は何で、どう再発防止策を採るのか、明確にかつスピーディーに説明する必要がある。
 この説明責任を確実に果たせれば、逆に信頼を勝ち取ることにもつながるが、説明できないと最悪の事態に突入だろう。ゼロリスクは、あり得ないので、インシデントを100%防ぐことは出来ない。如何にマネジメントできるかが重要であり、説明することで、そこまで対策していたのなら致し方ない、と思ってもらえる要点が『性悪説』を前提にした対策なのである。

 では、セキュリティインシデントを防ぐには、どうすれば良いか。『性悪説』対策でダメなら、何があるのか。

それは、断言しよう、『組織風土』なのだ。

 組織の内部犯行事例をその真因を追求し、考察を続けて行き当たる、答えが『組織風土』である。テレビドラマの様に、悪意を持って犯行に及ぶケースというのは、実はレアケースである。その犯行に対して失うものと、得るものを天秤にかけると到底釣り合いが取れないからだ。もちろん、米国ペンタゴンなど国家機密を取り扱う場合は、一発勝負、天秤は釣り合うかもしれない。しかし、それは一般のレベルではない。
 では、なぜ内部犯行が起きるか。それは、その組織内で、立場や居場所がなくなり、追い込まれ、已むに已まれず、つい犯行に及ぶ。それは、『組織風土』が病むことで、中にいる組織構成員が悪意を持った結果ではなく、負けてしまった結果なのである。人は弱いもの、これを『性弱説』と言う。

 つまり、これからのセキュリティ・マネジメントに求められるのは、発生しうるリスクに対して、説明責任を果たせる対策を実行し、真の意味で事故を発生させない、鉄壁の『組織風土』を構築することに他ならない。

 この『組織風土』を健全に保つために、構成人員のモチベーションの総和を高く維持する必要がある。この場合のモチベーションを測る方法として、モチベーションタイプやマズローの欲求モデルよりも、ハーズバーグの動機付け・衛生理論分析が適切だ。

 ハーズバーグの動機付け・衛生理論は、モチベーションの要素をプラス要因の動機付け要因と、マイナス要因の衛生要因に別けて考える。動機付け要因としては、『達成』『承認』『仕事そのもの』『責任』『昇進』『成長』に分類、衛生要因は、『会社の方針と管理』『監督』『監督者との関係』『労働条件』『給与』『同僚との関係』『個人生活』に分類する。
 各構成員に、アンケートするなどして、この分類ごとのスコアリングを行い、『組織風土』面の問題を洗い出し、対策を打つべき課題をあぶり出す。
 簡単なアンケートで、かなりのレベルのスコアリングがはじき出せるので、対策前と後の変化を見ることでKPIともなり得るのだ。

最後に繰り返しになるが、組織の弱さの順は
① 悪いことをやれてしまい、ついやってしまう組織
② 悪いことをやりたくても、やれない組織
③ 悪いことはやれてしまうが、やらない組織
④ 悪いことはやれないし、やらない組織
なのである。