「事務局じゃなかったら、自分でもこんな面倒くさいことやらなかったよな」といった事務局担当者のお話をお伺いすることがあります。そもそも、人間なので「面倒くさい」と思ってしまうことは自然な感情です。
 今回は、どのようにして「面倒くさい」を減らしていこうか、というお話です。前回以上にセキュリティよりも汎用的な業務改善のお話に近くなりますが、お付き合いいただければ幸いです。

■　「面倒くさい」とはどういうものか
「面倒くさい」という感情は、ざっくり考えますと次のような心理状況を強いられているものではないかと思います。

その１　活動を実施するために理性的な裏付けが必要となる
その２　活動を実施することに心理的な妨げとなる要因がある
その３　活動実施することのメリットとデメリットのバランスがとれない

今回は、それぞれに対し、どんなアプローチが出来るのかを考えてみます。

■　その１　活動を実施するために理性的な裏付けが必要となる
「理屈ではわかっているけど、本心ではやりたくない」、という状況です。
コツコツタイプではない方、夏休みの宿題を最終日にあわてて考えていた方などは、“理屈ではわかっている”、けれど、なかなか体が動きません。
こうしたケースでは、二つのアプローチが考えられます。
ひとつは、期限を設ける、実施の必要性を訴えることで、理性的な裏付けを大きくすることです。
もうひとつは、理性的な裏付けが無くとも自然に実施できるよう、繰り返し“習慣化＝しつけ”を行うことです。コンサルの仕事を通じて、様々なお客様を訪問する機会がありますが、「挨拶がしっかりできている」、「議事録をつくる文化がある」お客様は、日常点検等のセキュリティの取り組みも自然と習慣化する傾向があるようです。

■　その２　活動を実施することに心理的な妨げとなる要因がある
「報告書のテンプレートが使いにくい」、「様式が社内のどこにあるのかがよくわからない」などと、事務局のメンバーからすれば、“ちょっとしたこと”が、利用者の「面倒くさい」を増加させているケースがあります。
解決するためには、“ちょっとしたこと”をいかに吸い上げ、具体的に改善できるかがキーポイントです。
あまり積極的にセキュリティ活動に協力頂けない方に話を聞くというのは難しいこともありますが、あえて「何が面倒くさいのか」を直接聞いてしまえば、改善すべきポイントを導き出すことは、そんなに難しくないかもしれません。
また、教育の効果測定アンケートにおいても、「運用上の課題があれば報告して下さい」といった抽象的な質問よりも「使いにくいと思うテンプレートはありますか」といったように、具体的に現場が「面倒くさいだろうな」と思ったことを直接聞いてみた方が、より明確な意見が出てくるようです。

■　その３　活動を実施することのメリットとデメリットのバランスがとれない
「クリアデスクなんてことをしていたら、かえって仕事の効率が下がる」、「そもそもやる意味がわからない」、そんな声をお客様から頂くケースもあります。こうした場合、タスクの意味や、セキュリティのリスクが発生した場合の影響を具体的にイメージしてもらうアプローチがあります。
安全教育の分野ではKYT（危険予知トレーニング）という手法があり、様々な業務の状況の中で、自身の行動がどのような事故につながるかを想定してもらい、安全活動の必要性への理解に役立てよう、というものです。
インフォセックでもKYTを応用したセキュリティ教育プログラムをお客様に提供しています。
現場で発生しそうなセキュリティ事故のディスカッションや、もしも現場で事故が発生した場合に、誰にどんな影響があるかを具体的に話し合ってもらうことで、実際に「事故の疑似体験」をしてもらいます。
単に「○○をしなさい」、「××はダメです」という押し付けの教育に比べると、満足度も高く、教育以後も個々人が具体的な行動につなげているケースが多いようです。

■「面倒くさい」は“改善のタネ”
あまりにもセキュリティのルールや管理が過剰であることで、「面倒くさい」が発生し、そもそもの"セキュリティの目的" を損なうことになっているかもしれません。本来、情報セキュリティはビジネスを支えるためにあるものです。
「面倒くさい」を発見することを通じて、本当に情報セキュリティが組織に役に立っているのかを自問することも大切なことかもしれません。

次回は、「第3回　事務局の憂鬱」を掲載予定です。

－　執筆者　－
株式会社インフォセック
コンサルティング本部 プリンシパルコンサルタント　松本照吾

<< 情報セキュリティ月間特集 ～変化球で考える情報セキュリティ 第1回～
>> 情報セキュリティ月間特集 ～変化球で考える情報セキュリティ 第3回～