IT企業の買収劇とセキュリティー強化時における相互理解

　今さら個人情報保護法が施行されたウンヌンは聞き飽きた。ここはずばり、2005年は、球界を巻き込んだライブドア、楽天の企業買収劇に揺れた年だったといえよう。IT業界に深くかかわっている著者の場合、話の流れでヒルズ族（経営者が六本木ヒルズに住居を構えていることから呼ばれる俗称）に話題が及ぶことがある。すると普段温和な人が突然、拒否反応を示す。拒否反応があることは「想定内」なのだが、後々までしつこく「あいつはホリエモン派」と言われてしまう。こちらはいい迷惑である。後日、同席した者も同様に感じていたことがわかり、ひと安心するのだが、六本木ヒルズには永遠に住めない貧乏人の嫉妬、とあきらめている。話を情報セキュリティーに戻すが、企業のセキュリティー制度やリスク管理を新しく導入する場合、あきらめるだけでは前に進まない。企業のセキュリティー担当者は、時として社員の拒否反応に遭遇する。

　例えば、情報システムのアクセス権を強化するために行う「利用者のパスワードの管理強化」がある。パスワードに使用する文字数制限（8文字以上）、パスワードに使用する文字の制限（大小英数記号を必ず含める）を情報システムの利用ルールに追記したとする。すると、拒否反応を示す人が必ず出てくる。彼らの言い分の約9割は同じだ。「パスワードが長くて覚えられない」、「面倒くさい」である。これまで会社に勤務してX年、仕事のやり方を変えたくないのである。ウインドウズ環境で社内システムを構築している場合なら、アクティブディレクトリーで、強制的に社内システムを変えさせてしまうことは可能だ。しかし、独立しているシステムの場合、社内で定めた運用ルールに従わないことが起きる。こうなると、担当者は忙しい。セキュリティー内部監査で発見されたら、100%指摘される。そこで担当者は、地道に社内を回り、個別に説得を行っていくのである。内部監査担当者は、そんな苦労を知っているが、顔には出さないで淡々とセキュリティー監査を進めていくのである。

　また、企業の合併・買収では最初に「機密保持契約」が結ばれる。社員が入社する時にも、「機密保持に関する合意書」とか「個人情報に関する機密保持契約」に署名している。しかし、ずいぶん前に入社した社員の場合、個人情報に関する規定事項が含まれていないことは珍しくない。そこで、改めて社員全員に契約を締結しようとすると、拒否反応を示して、機密保持契約書に署名しない社員が数名登場する。遭遇したら、どうするか。全社員に署名をしなければ、組織の安全性は保てない。担当者は個別に説得を行い、署名された機密保持契約書を集めることになる。

　この他にもセキュリティーの確保を行う場合、色々な拒否反応が出てくる。そのような場合には、次のように説明するようにしている。情報セキュリティの専門家、学術経験者らによる検討が行われ、最終的に集約されたものであること。そして、多くの企業で導入が進んでいることを説明すれば、まず理解を得ることができる。

　セキュリティー強化によって、従来の業務プロセスの流れが変わるし、面倒に感じる人も出てくるだろう。しかし、新しい世の中の動きとして受け入れざる得ない時もある。組織が新しい環境に適用できなくなる時、それは組織の硬直化の始まりであり、事業の継続性が失われつつある段階ともいえる。IT企業の買収話には拒否反応を示しても当人の勝手だが、新しいセキュリティに拒否反応を示すことは、別の視点で判断する者が必ずいる。それが経営者や新しい株主かもしれない。もしかすると将来の顧客かもしれない。拒否反応を示す前に、その背景や理由（根拠）を聞いてみるてはどうだろう。