情報セキュリティやITガバナンスというのは、実は文化人類学的な思考が必要な仕事だと考えています。

世の中には様々な技術があり、買ってきて実装すればなんとかなります。しかし問題は、オフィスの人々がそれをどうやって使う、もしくは、どの様に使って人々の行動を制御するかであり、実装以前に、その組織の人々の行動様式や文化というのを十分に分析し、理解した上で、想定されるシナリオを描くか、ということで、文化人類学の学者的な視点が必要だと考えています。

第二次世界大戦時にアメリカ政府は社会学者や文化人類学者を採用し、敵の行動様式を分析させ、戦略シナリオに反映しました。多数の植民地を持っていたイギリスは、人文地理学を通して支配する人々の慣習や考え方を徹底的に分析し、徹底した支配体制をひき、支配したい地域の対立グループを敵対させ、自らの手を汚さずに領土を支配する手法を編み出しました。つまり、防御と攻撃には、敵を知ることが最も重要なわけです。敵を分析する際に最も重要なことは、相手は自分とは違う人間である、ということです。

日本の職場の多くは、北米やイギリスに比べると、人の多様さに欠けます。日本人の割合は100％に近く、転職も盛んではなく、同じ組織に10年も15年も務めている人が珍しくはありません。他の先進国だと2-3年で人が入れ替わるのが慣例の業界でもそれが当たり前だったりします。

蛸壺化した組織は、居心地の良い疑似家族状態となり、村社会が形成されていきます。

同じ顔、同じ言葉を話す村社会では、ツーカーで物事が通じると考えます。だから、日本の組織では、ルールを明文化せず、プロジェクト文書も曖昧であり、職務区分も曖昧で、各自の専門性さえも曖昧であります。そのような蛸壺的組織には、コミュニケーションや管理のコストがかからないという利点もありますが、お互いを信用しすぎているので、情報漏洩や犯罪などのリスクに対しては弱い、というデメリットもあります。

情報セキュリティの世界では、脆弱性のないシステム、脆弱性のない運用体制というのは、すなわち「人を信用しないこと」であり、性悪説にそってシナリオを描き、監視体制を設計します。人は入れ替わり、異なる考え方、異なるモラル、異なる思考回路を持っていることを前提とするのです。日本の業界関係者や組織の上層部に、北米やイギリス基準で運用やコンプライアンスを提案すると、「厳しすぎる」とびっくりされることが少なくありませんが、人を信用しない土地ではそれが当たり前です。

しかし、日本の場合は正反対です。性善説にそって設計し、構成員は皆同じだと想定します。その結果は、緩い運用体制であり、緩い罰則であり、セキュリティのコストカットであり、セキュリティ担当者の低い報酬であり、最悪の場合は、組織に壊滅的な破壊をもたらすセキュリティインシデントであります。

ところで日本年金機構の皆様においては、看護職への転職を希望する方々が結構おられるようですが、皆様の転職がうまくいくことを祈念しております。