社内セキュリティ人材の流出対策してますか

　もし、情報セキュリティ担当者が退職届けを提出したらどうしますか。有能なシステム管理者、情報セキュリティ責任者であれば、ヘッドハンティングされる可能性は高い。転職でなくとも、退職後に独立して起業するかもしれない。多くの企業では、どんな対策を用意され、失敗した事例を紹介しよう。

　経営者は、信頼できるビジネスパートナーが離反する日を避けることはできないことを知っている。同じ志をもって会社を設立しても、企業が成長して目的（例えば株式公開）を達成した後、次なる目標や方針に違いが生じることがある。ストックオプションで大金を得て、退職してノンビリ過ごす人もいる。その一方で、家族の看病、介護必要によって職場を去る人もいる。去る人を会社はつなぎとめることはできない。つまり、経営者は少なからず、経験を通して対策を講じているのである。問題は、それが有効かどうかだ。

困るのは部下も同じ

　実はかつての上司（男55歳）は、ある日突然、私に彼の父親が痴呆症を発症したので、2ヶ月後に退職することを伝えてくれた。仕事の関係もあって、経営者の了解をとって直ぐであった。とりあえず業務の引継ぎを進めたが、彼は同時に彼の父が経営してきた事業をたたむ手続きを並行して行い、介護する為に引越し先を選び、引越し先で勤め先を選ぶことになった。彼の実務経験をもってすれば、次なる仕事先は直ぐに見つかったが、それでも親の介護をする条件を満たす職場探しには苦労していた。

　むしろ会社としての問題は、退職する彼に見合う人材の確保であった。退職する彼を確保するのに、IT系の人材バンク、ヘッドハンティング会社を使って入社するまで要した時間は1年間。その半年後に退職され、代わりとなる信頼できる人材が簡単に見つからなかった。お陰で部下であった私は、これまでの仕事プラス、マネージャーとしての仕事も追加され、しかし給与（年棒制だったけど）は変わらず、苦労した経験がある。

　それ以降、いつ上司、経営者が抜けても耐えられる仕掛けを作るようになった。部下は上司を選ぶことはできないが、自分のできる範囲内ではあったが、その効果が発揮されたのは、意外にも自分が転職する時にスムーズに仕掛けが機能したからだ。業務の引継ぎ、権限委譲、専門スキルの習得は、日頃から徐々に慣れていかないとうまくいかない。経営のノウハウは他のブログに譲り、ここでは流出対策に話を戻そう。

情報セキュリティ人材への誘惑、ノウハウの流出

　外部からの誘惑（ヘッドハンティングからの誘いも含む）で企業が懸念しているのは、組織の機密情報、セキュリティ維持に関わるノウハウの流出がある。このような情報を企業が守ることは正直なところ容易ではない。まず米国のトレードシークレットのような仕組みは日本には無い。国内法の不正競争防止法など法的な対応には限界がある。法律が守ってくれると思っていたある企業は、思わぬ落とし穴で足元をすくわれた。日本の企業を退職し、国境を越えた外国の企業に勤めたのである。ノウハウを某国で教え、その企業は相応に成長を遂げたのである。海外の企業が成長した理由は、他にもある。しかしノウハウも寄与したことは間違いなかった。

同業者への転職禁止ルールは意味が無い

　ある企業では、退職する際に同業者への転職を禁止を誓約させている。誓約しなければどうなるのか、そこまで明示させないで署名を要求するところが企業のやり方であった。しかし、そもそも憲法の職業選択の自由に違反しており、明らかにコンプライアンスに違反している。そして守っているように見えても、それは退職者が倫理的に自主的に行っているだけだったりする。また、競合する企業を調べてみると、その会社のOBが在籍しており、同業者への転職禁止は実質的に効力のある対策ではない。しかし、今でも、その会社は、退職者に同業者への転職禁止の誓約を行っている。

さて、究極の対策とは

　情報セキュリティの世界に限らないが、究極のセキュリティ対策は、人的なつながりが有効だと経験的に思っている。諸事情があって職場を去るのは仕方が無い。しかし、代わりとなる人物の紹介を、去る人が推薦し、引き継いでもらう方法がある。人的なつながりは、仕事の紹介だけでは終わらない。業界内の情報交換（ノウハウの流出という意味ではない）、スキルや技能の習得・向上などに効果がある。私が関与した企業では、こんな信頼関係の絆を維持することで、情報セキュリティを確保している。