1/4 PAGES
2/4 PAGES
3/4 PAGES
セキュリティチームの報告内容を深掘りしない、報告を受けても予算や人員の議論につなげない。担当者から見れば、「関心があるポーズだけ取って、実際には何も変わらない」と映ります。こうした経験が積み重なると、担当者は報告そのものを形式的にこなすようになり、本当に伝えるべきリスクが経営に届かなくなります。
経済産業省とIPAが策定した「サイバーセキュリティ経営ガイドラインVer 3.0」では、経営者が実践すべき3原則の1つとして「関係者との積極的なコミュニケーション」を挙げています。
ここでいうコミュニケーションとは、「大丈夫か?」のような一方通行の確認ではなく、リスクの状況を把握し、対策の優先順位を一緒に決めていく双方向のやり取りを指します。
担当者が話したくなる「3つの問いかけ」
では、「大丈夫か?」の代わりに何を聞けばよいのでしょうか。問いかけの言葉を変えるだけでは不十分です。担当者が「話したい・伝えたい」と感じるのは、自分の答えが次の何かにつながると感じられたときです。答えを引き出して終わりにするなら、聞き方を変えた「大丈夫か?」にすぎません。
大切なのは、問いかけを「組織として動く意思を示す場面」として使うことです。そのうえで、具体的な3つの問いかけを提案します。
- 「いま一番心配しているリスクは何か?」:担当者が優先度を伝えやすくなる。返ってきた答えを次の経営判断の出発点にする姿勢で聞くことが、この問いに意味を与える。
- 「それに対して、予算や権限で足りていないものはあるか?」:答えを受け取った後に「検討する」「持ち帰る」という言葉が続いて、初めて意味を持つ問いかけ。
- 「もしインシデントが起きたら、最初の24時間で何をする想定か?」:答えがうまく出てこないなら、関係部署を巻き込んで一緒に考えられる体制を整える。担当者一人に準備を丸投げしていないことを示す問いかけになる。
3つとも、「大丈夫かどうか」のYes・Noを求めていません。「何が課題で、何が必要か」を具体的に引き出す問いかけです。そして、引き出した答えを経営の議題に乗せていくことで、初めて担当者に「この組織はやる気がある」と伝わります。
4/4 PAGES
