情報セキュリティ月間も後半に入りました。今回は「事務局の憂鬱」と題してお話を進めます。

さて、この連載を目にしていただける方の何割かは、企業でセキュリティ運営の事務局をつとめている方かと思います。
認証審査のプレッシャー、営業等の“稼ぐ”お仕事に比べての会社での評価の低さ、現場の理解が得られないなど・・・。事務局担当者が憂鬱になるポイントは、盛りだくさんです。今回は、こうした事務局の“もやもや”を少しでも解消できればと考えております。
 

■ほめられない事務局
多くの事務局担当者は、総務やシステム管理等の業務と兼務しています。
専任の担当者を配置できるような会社は、経営者の深い理解があり、かつ、ある程度の安定が確保されたような大きな会社だけでしょう。
当然、忙しい時には会社全体も、また、事務局担当者の中でもセキュリティに関する運営業務の優先順位が落ちることも多くなります。また、そうした時に限って、セキュリティ事故が発生してしまい、「事務局がしっかりしてないから！」などと言われてしまう。
認証審査は毎回一夜漬けのように直前にバタバタ、他の仕事に移りたいけど会社が後継者を育ててくれない・・・。
こんな繰り返しの中で“報われない”という気持ちを抱く事務局担当者も少なくないのではないでしょうか。

■ほめられること＝モチベーション向上
心理学では、人には「承認欲求」、つまり認められたい欲求があると言われています。自分や自分の仕事が価値がある、と認められることで“やりがい”につなげている、ということです。
仕事の価値を認める、というのは会社が儲かっているのであれば、賞与や給与に反映、ということが出来ました。ところが、現在はそんな余裕のある時代ではありません。また、生き方、働き方が多様化した現代では、必ずしも金銭報酬や地位が“仕事のやりがい”ではなくなっています。
というわけで、事務局長やCIO、セキュリティ委員長等の立場にある皆様、もしこのコラムを読んでいましたら、社長さんにコピーを渡すのでも良いですし、ご自身でも構いません、お疲れ気味の事務局の皆さんの”がんばり”を認めてあげて下さい。
ほめるときは、「がんばってるね」ではなく、具体的に相手の行動を認めてあげましょう。「今回、○○さんがつくってくれた教育の教材、とてもわかりやすかったよ」など、具体的であればより効果的です。

■事務局も改善を！
しかしながら、会社の経営層、一般の社員の方からすると、次のような意見もあるかも知れません。

「仕事するのは当たり前なんだから、ほめろって言われても困るよ」
「がんばってるね。っていつも言ってるのに、これ以上何をほめろと言うのだ」
「そもそも、ほめられるほど、ちゃんと活動してるのか。事務局からの指示はいつもよくわからないものばかりだ」

こうした声に応えるためには、事務局の活動を現場に伝える仕組み、そして現場から提示された課題や不満を事務局が受け止め、改善していることをアピールする仕組みが必要となります。そもそも、正当な評価を得るためには、経営層や社員に事務局の活動を伝える努力が必要です。

■事務局活動の満足度評価、そして達成状況評価を！
このような仕組みとして事務局活動の満足度評価と達成度評価をしてみてはいかがでしょうか。マネジメントレビューの場や社内広報を活用して、事務局の活動の"見える化"をし、その内容を継続的改善の要素としよう、ということです。

・事務局への不満点を”見える化”すること、
・その改善結果を伝える場をつくること

この二つがそろえば、”何をがんばったのか”をカタチにすることが出来ます。
ISMSでは管理策の有効性評価を行うことが求められています。様々なセキュリティの管理策は、目的を達成するための手段にしかすぎません。「管理策を実施した」ことに意味があるのではなく、「管理策を実施した結果、組織がしっかりと改善されたのか」に意味があるのです。事務局の“がんばり”は、一般の社員を含めた利害関係者に価値を提供して意味を持つものなのです。
「社内に活動をアピールするなんて意味が無い」、「満足度評価なんてしたって不満しか出てこない」となどと思わずに、まずは、簡単なアンケートから、”改善のタネ”を探してみましょう。

さて、次回は本連載の最終回として、今回の続きで「憂鬱からやりがいへ」を考えたいと思います。

－　執筆者　－
株式会社インフォセック
コンサルティング本部 プリンシパルコンサルタント　松本照吾

<< 情報セキュリティ月間特集 ～変化球で考える情報セキュリティ 第2回～
>> 情報セキュリティ月間特集 ～変化球で考える情報セキュリティ 最終回～