セキュリティ対策を実施していくならば、まずはセキュリティポリシーが重要だ――そんな考えに立って立派なセキュリティポリシーを作成する企業は多い。しかし、その肝心のセキュリティポリシーを社員一人一人が納得し、理解しているかとなると、どうだろう。一度文書を読まされて、判子を捺して、それでおしまい――そんなケースは少なくないのではないか。

「どうもセキュリティポリシーは、『これさえあれば大丈夫』というお守りのようなものになってしまっている」