セキュリティ活動を進めるためには、組織的な対応が必須で、
そのために会社としての方針、規程を作ります。
全社員がセキュリティ活動で、
・確実にやるべきこと
・やってはいけないこと
を正しく理解して行動するには、
社員一人一人が自覚することから始まります。
しかし、多くの場合、
経営者や幹部の自覚が不足する場合が多いようです。
たとえば、
・皆の前で怒鳴りつける
・ダメダメダメと繰り返す
・チェックや点検だけを繰り返す
これでは、現場は、ピリピリです。
ルールで身動きとれない状態です。
経営幹部は、
・社員が間違いを起こしにくい業務の手順
・社員が間違ったとしても、顧客に迷惑をかける前に訂正できる仕組み
・社員が働きやすい職場環境
・社員にストレスが溜まらないような仕組み
を提供しているでしょうか。
セキュリティを上手に運用する組織では、経営幹部がこのようなことに気を使っています。
ただ、ルールを作って、やれ、というだけでなく、
実行する側のことを考慮しておくと、結果として間違いは減っていくのではないでしょうか。
それから、もうひとつ。
経営者や幹部の役割は、社員が作業ミスやセキュリティ上のトラブルを起こさないような、業務の流れや役割と責任を分担して確認する組織を作ることです、
方針書、規程書としてドキュメント化したものを
用意したほうが、伝わりやすい。
これは多くの企業で経験している事実です。
言葉だけで伝えても、
伝言ゲームのように、
その意味は異なって伝わります。
時間の経過とともに、
組織の活動内容やルールの意味や解釈が、
変化していきます。
したがって、
その方針書、規程書も、
たまには(できれば事業計画に合わせて)見直しが必要です。
さて、
現在取り組みされているセキュリティ活動では、
「やるべきこと」と「やってはいけないこと」
のどちらが多いでしょうか。
また、
「やるべきこと」と「やってはいけないこと」
のどちらが、印象に残っているでしょうか。
こんなに多くの「やるべきこと」
「やってはいけないこと」を確認するため、作業が増えた
という状況はないでしょうか。
セキュリティ対応を進める組織では、
社内でどのように感じられているか、という
感じ方を把握することが大切です。
なぜならば、
ルールは守ってもらうために作成するわけで、
守らなくてもいい、遵守が大変、
という状況があると、
せっかく制度化した方針、規程、手順
が形骸化し、意味のないものになってしまうからです、
社員の皆が、
喜んでルールに従うような
ルール作りが大切です、
喜んで実行するルール、規程であれば、
ルール違反は発生しません。
監査(歓作)では、
方針、規程、ルールの作成は、
社員が喜んで実践するような作り方をしているか、
を確認します。
したがって、
規程や手順書があればいい、
という監査では、
組織力は向上しないのです。
