前々回の本コラム 【学びの窓（DX編）】第41回　BCP（事業継続計画）策定のお勧め では、セキュリティや災害対策としてBCP（事業継続計画）の策定のお勧めについてお話しましたが、現実には、費用を掛けてでも整備しておかなければならない領域と、ある程度見切りをつけて、出来る範囲で対応すればよい領域と、があるのだとは思っています。

 

例えば、人命に関わる領域や国防、財産や権利保護の領域は”落ちてはならない”最優先領域でしょう。
一方で、嗜好品の販売等は短期間停止してしまうとしても多額の費用を商品価格に上乗せしてでも対応が必要とする判断には至らないと思います。（嗜好品が死ぬほど必要！という方には酷かもしれませんが．．．）
仮に結果として損害を被ったとしても金銭で充当する、物品は再調達する、との割り切りも計画のうちです。

前者の重要領域に関しては、最近の流れのひとつとして「経済安全保障」に関して国の指針が具体的に進化する動きもあります。今年１月にIPA-独立行政法人情報処理推進機構から発表された「情報セキュリティ10大脅威 2024」においても、組織に対する脅威として
 

が挙がっています。
 

皆様も、大手取引先から「セキュリティポリシー」に関する状況確認のアンケート依頼を受け取られたことがあるかもしれませんが、大手重要企業の場合は取引先に対してサプライチェーンの一環の位置付けで、一定以上のセキュリティレベルを同様に要求することになると推測しています。

 

また、

DX（デジタルトランスフォーメーション）の推進にあたっては、業務の見直しのなかで「仕組み化」を考え、仕組みをデジタル化／システム化することにより業務全体を効率化・安定化することに取り組むことになりますが、「安定化」の視点で、セキュリティや災害に対して強靭なシステムであることが望まれます。
仕組みの稼働継続を如何に確保するかを考えるとして、稼働を阻害する要因として不測の事態などを想定することになるはずです。
仮に三つの区分に分けてみましょう。

 

１． 悪意（不正アクセス、ランサムウェア・マルウェア感染、デキゴコロを含む）

２． 事故（人為ミス、天災）

３． 瑕疵（システムの不具合）

 

１に必要なのは、やろうとしても出来ない仕組み、

２に必要なのは、うっかりやっていまいそうになっても抑止出来る仕組み、

３はシステムの構築および運用に関する課題、と考えて下さい。
 

何れの場合にも、何某かの「ルールの策定」が必要となるわけですが（←セキュリティポリシーの話ですね）、ポリシーの策定や監視・監査の為のシステム導入を検討する場合、「従業員の安心感」に着目する必要性を私はよくお話しています。
ルールは通常「縛る」ものなのですが、本来のDX（特にトランスフォーメーションの部分）を意識するならば、変革のための余長・余白があるくらいの柔軟性も確保しておきたいと思うのです。
ルールの実装を人手に頼るのではなくシステム化により人への負担を軽減したうえで、必要以上に「縛られた」感で従業員を”萎縮”させてしまうのではなく、「最低限のルールを守っていれば事故は事故として責任を問いませんよ」というくらいの姿勢も、DX推進において重要なのではないか？と考えています。
万一の事態が発生してしまったとしても、従業員は手順通りに業務を行っていた、悪意は無かった、という従業員の無実を証明するための仕組みであって欲しいと思うのです。