第3回 ルールを守りたくなる環境を創り出す - 技術に頼らないセキュリティ:ITpro(情報元のブックマーク数)
罰則を作ることでのセキュリティを順守させるのも限界があるとのこと。
第3回 ルールを守りたくなる環境を創り出す | 日経 xTECH(クロステック)罰則の限界
ルールを構成員全員に守らせるために最も多く行われるのが,「ルールを破った際の罰則を設ける」ことです。これは,「ルールを破ると割に合わない」状況を作り出すことでルールをないがしろにさせないための方策です。ただ,情報セキュリティを順守するための組織ルールが定着するかどうかは,構成員個人に依存しますから,罰則を設けるだけでは「自己管理としてルールを徹底させる」という目的達成に限界があります。
そうなんですよねぇ、、、既成事実が広がると有名無実となってしまいますよ・・・
例えばルールを破っても,必ず情報漏洩につながるとは限りません。そのような事態が重なると「これくらいは大丈夫」,「みんなやっているから大丈夫」といった感覚を構成員に持たせてしまう危険性があります。もっと危険なのは,「見つからなければ大丈夫」という感覚です。この感覚が広がってしまうと,その時点でルールは有名無実化します。
第3回 ルールを守りたくなる環境を創り出す | 日経 xTECH(クロステック)
ルールを押しつけるのはNG、守るように仕向ける、面倒なルールは運用が難しい、ユーザはルールを守ってもらえるようなルールが必要。
USBメモリを利用禁止というだけでなく、USBメモリを技術的に止めて、会社指定の暗号化されたUSBメモリを徹底するとかですねぇ。
第3回 ルールを守りたくなる環境を創り出す | 日経 xTECH(クロステック)人は「自ら得たもの」を好む
「罰則の限界」「ルール詳細化の限界」を乗り越えるには,「ルールを押し付けるのではなく,ルールを守るように仕向ける」ことが重要です。つまり,十分に簡素で分かりやすいルールを自主的に守るような環境を作り出すことです。ここで,筆者の見てきたいくつかの事例を紹介しつつ話を進めたいと思います。
これは面白い事例ですね。
始まりは一人の女性管理職からの「デコレーション(つまりデコ電)して良いですか?」との問い合わせでした。最初にそれを受けた時には「何を言っているのだ?」と戸惑いましたが,「カワイクないと扱いがぞんざいになって無くしそう」,「カワイイと自分の分身みたくするから無くさない」という話を聞いているうちに一理あると考え,試しに「返却時に元通りにできるようにすること」を条件に許可しました。その結果,女性に限っては紛失がピタリとなくなりました(男性の紛失はその後も続きましたが)。「愛着を持った物は大切にする」という人の心理を利用し,「自分だけの端末」という愛着を持たせることで,自然な形で「端末をなくしてはいけない」というルールを順守させたわけです。
第3回 ルールを守りたくなる環境を創り出す | 日経 xTECH(クロステック)
なんでも拒否をするものではなく、日々の事例を考えてみてルールを改定が必要ってことですね。
「そう簡単にいくものではない」と思うかもしれません。ただ,日々の何気ない事柄に目を配ることで方法が見えてくるケースは多々あります。重要なのは,不平,不満,要望などの「ちょっとしたことを見逃さない」ことと,「当事者として事に臨む」ことです。ともすると見逃してしまいそうな「ちょっとしたこと」に問題解決の糸口が潜んでいることは珍しくありません。当事者意識を持つことで,そのような「ちょっとしたこと」が,よりはっきりと見えてきます。
第3回 ルールを守りたくなる環境を創り出す | 日経 xTECH(クロステック)
