年初に見直したい｢形骸化したセキュリティ目標｣ 《行動を生まないスローガンはむしろ危険！》本当に｢意味がある｣目標を立てるための3ルール

「尼崎市 USB メモリ―紛失事案に関する調査報告書」によると、委託業者の社員がUSBメモリの紛失に気づいた後、飲酒していた事実を隠して虚偽の報告を行ったことで、初期の捜索範囲やリスク評価を誤らせてしまったのです。

結果として対応は混乱し、後に事実が判明したことで「隠蔽体質」との批判が強まり、行政の信頼に大きな影響を及ぼしました。報告の遅れや不正確さは初動対応を誤らせ、被害を拡大させる典型例と言えるでしょう。

現実的に機能する目標を立てるための「3ルール」

ここまで書くと「下手なセキュリティ目標は立てないほうがいいのでは」と思うかもしれませんが、最初から完璧である必要はありません。

網羅的で立派な目標を掲げるよりも「現実的に機能するかどうか」を重視した目標を関係者で考えることです。次に挙げる視点を意識するだけで、目標の立て方はずいぶん変わるはずです。

・人の行動を主語にする

ツールの導入や対策の強化を目標にするのではなく「従業員がどう判断し、どのように動くことを期待するか」を明確にします。日々の業務の中で具体的な行動が思い浮かばない目標は現実では実行されません。行動を想像できることが実行への第一歩となります。

例えば、従業員が操作ミスに気づいた際に自己判断をせず、早い段階で上長や担当部門に相談・報告する行動を取れる状態を目標にするというものです。事故そのものを完全になくすのではなく「気づいた後にどう動くか」に焦点を当てることで、被害の拡大を防ぐことができます。

そのほか、業務上の都合でセキュリティルールを守れない状況に直面した場合でも、従業員が独断で回避策を取るのではなく、上長や関係部門に相談する判断を優先できる状態を目指すことも有効です。

ルール遵守を求めるだけでなく、迷ったときは相談してよいという行動指針を示すことが、結果として初動対応の遅れを防ぐことになります。