筆者が見た事例としては、問題の発生を防ぐために業務の各段階で部長クラスの承認を得ることというルールを定めていたケースがありました。しかし、これを厳格に行うとなると当該の部長は1日に100枚近くの書類を処理しなければなりません。その部長承認の前に課長・係長の承認も必要なため、課長・係長クラスでも10数枚以上の書類を処理する必要がありました。
結果として、承認は形だけのものになり、最後には「判子を預けておくから押しておいて」ということが課長・係長クラスで公然と行われ、部長席でもアシスタントが「代理」で押すという形になってしまっていました。問題を防ぐどころか、当の担当者以外のチェックが全く行われない状態に陥ったわけです。中には、「問題が発生しても自分で対応して最終報告までできるのだから、チェックも最低限で良い」と考える社員も出てきました。

第７回 現場参加型でルールを作る | 日経 xTECH（クロステック）

情報セキュリティ対策の目的は、組織における情報資産のセキュリティレベルの保全です。この目的は業種・業態・規模にかかわらず普遍的なものですが、それを実施する方法は必ずしも一つではありません。組織の実態に合わせた方法を選択することが効果的な実施につながります。手段と目的を混同することなく、適切な手段の選択を行うことが重要です。

第７回 現場参加型でルールを作る | 日経 xTECH（クロステック）