Scribble at 2024-01-29 10:05:47 Last modified: 2024-01-30 19:31:53
会社では月末に実施している研修とは別に、毎週の水曜日か木曜日に IT リテラシーをテーマとしたビデオを配信している。これは既に紹介した話だが、IPA の「ITパスポート試験」のシラバスをベースにテーマを選んでいるとは言ったが、機械的に従っているわけではなく、複数のテーマを一度で済ませている場合もあるし(たとえば法令の紹介は何度もなると飽きられる)、それどころか取り上げないテーマもある(セキュリティ攻撃の具体的な手法は XSS やブルートフォースやリバース辞書引き攻撃など最小限にしてある)。そして逆に、今年はオリジナルのテーマ、つまり当社で情報セキュリティやバック・オフィスの業務を担っている一人として言えることを特別にテーマとする予定だ。
たとえば、会社には幾つかの規程やら規則がある。そして、こういうものが必要であるのは何故かという基本的なことを分かっているようでいて、分かっていない人も多いし、もちろん正解があるとは限らないのだから、それはつまり考えたことがないという意味でもある。特に弊社のような、ほぼ全員が転職者(「中途」入社という表現は好ましくないと思う)であるような零細ベンチャーでは、入社時のガイダンスも充実しているとは言えないし、その内容についても始業・終業の打刻だとか Google Workspace の使い方とか具体的な細々とした情報と、それから企業理念のような大掴みな話だけが1日か2日という日程で説明されるだけである。つまり、どれほど過去に企業勤めの経験があろうと、弊社の業務については初心者という人材を、ほぼ裸の状態で現場に送り出しているのと同じである。よく、小規模の会社で新卒を採用しても教育する余裕がないので育たず定着率が低いと言われるが、僕が見ている限りでは転職者についても同じことは言える。前職で上場企業や大企業に長らくいようと(いや、そういう人がベンチャーに来ると却って面倒臭いわけだが)、いやそれどころか仮に同業他社から転職してきた人材であろうと、商材も違えば社内のルールも経営方針も違うわけで、何の満足な研修も説明もなしに現場へ投入されたら、いくら経験が多少はあると言っても相当な期間にわたって混乱したり困惑するのは当然だろう。実際、正確なデータはないけれど、いちおう弊社の従業員として2番めに古い社歴の人間として人の出入りを眺めてきた経験から言えば、新卒と転職者とで定着率に殆ど差はない。そして、やはり他の企業と同じく平均すれば3年位内に大半の人材が辞めている。
それが、たいていどうやっても大半の企業では避けられない傾向なのであれば、特に情報セキュリティの人材として僕が何かしようとは思わない。もし、どうしようもないほど平凡な人々が集まって平凡な人々を雇用したり教育したり働かせているだけであれば、致命的に常識外れで間違ったことをやっているわけでもない限り、採用や教育や人事考課のパフォーマンスを劇的に改善したところで会社の業績がどうにかなるわけでもあるまい。しかし、凡庸な会社が凡庸なままであれば、当たり前だがそのうち倒産するのは目に見えている。企業経営の難しいところは、放っておけば会社という組織は勝手に腐っていき劣化していくという避けられない運命があることと、これまた放っておけば大抵の会社のサービス・ドメインはレッド・オーシャンになるということだ。われわれ凡人の避けられない特徴の一つは、パフォーマンスを一定の水準で長期間に渡って維持できないということである。よく中小企業の社長が言う意見として、一定の売上さえあれば会社を存続できるのだから、必要以上の投資や業容・商域の拡大はしないなどと言ったりする。もちろん、これを経営方針として言うのは自由だし、自分では控えめで堅実な経営方針だと思っているのかもしれないが、実はこういう方針が貫徹できるのは、せいぜいその人物が経営者でいられる数年の話でしかない。なぜなら、簡単な話だが大半の中小零細企業は(少なくとも帳簿では)赤字だからである。そして、ふつうの銀行とか投資会社というのは、赤字が何年も続いていて進展のない事業者に融資するほど甘くはないのである。多くのそうした企業は原本に比べたら少額の利息だけを返済しているから、まだ何年かは取り引きを続けてもらえるが、どこまで行っても利息しか払う能力がないとか、そのうち利息を回収することすら怪しくなってきかねないと判断すれば、銀行はロール・オーバーを断る筈だ。そして、皮肉なことだがそれが原因となって多くの企業は倒産するわけである。たいていの業種、たいていの事業者においては、借りている借金の原本まで返済できるとか、あるいは無借金で経営できるくらいでなければ、「成長は望まない」などと言えない。そして、そういう事業運営が維持できるためには、実は過度の成長はしないまでも、財務的な安定を維持するために必要なだけの成長は必要なのだ。それは、もちろん経済の仕組みとして単純な理由も含まれる(インフレなら売値を即座に引き上げて、デフレでもなかなか売値を下げない工夫が必要だ)。
さて、かなり前置きが長くなってしまったが、そういうことで、凡庸な企業ではあっても一定の努力なり成長を目標にしておかないといけない。「現状維持がいい」なんて理屈は、長野県や熊本県に引っ越してテレワークしていれば「のんびりと安定した暮らし」ができるなどと思いこんで早期退職する都内の若造が思い込むのと同じような錯覚なのだ。したがって、たとえばいかに凡庸なサラリーマンではあっても、少しは基本的なテーマについて考える機会を作ってもいいし、寧ろ作るべきであろう。ということで、今回の本来のテーマである、「何のために会社にはルールや規則や社内規程があるのか」という話題に移ろう。
とは言え、実はそれほど複雑なことを説明するつもりはない。僕が入社時のガイダンスで話している内容と大差ないので、せいぜい喋って説明すれば数分で終わるような内容だ。でも、これを話しておくと、後で関連するテーマや似たような話をするときに、僕が「こういうことを話していた」と覚えている社員は、僕が別のテーマで同じ原則から説明したり批評するときでも、一定の(既に自分が聞いたことのある)理由があって説明したり評価しているのだと理解できるわけである。この、何のために会社にルールがあるのかという話題についても、あらかじめ簡単にでも僕の意見を(それに同意するかどうかは、もちろん各自の好きに考えて構わない)話しておくことで、いちいち何か話すたびに基本的なことや現状から帰納的に原則へと落とし込むというプロセスを省略して、原則から演繹的に議論を展開できるというメリットがある(逆に言えば、話を聞いていない者はそういう演繹的な議論に着いてこれない)。
さて、会社には多くのルールや決まり事がある。もちろん、その最も基本になっているのは、「定款」と呼ばれている文書である。これは、単に会社の名前が正式にこうであるとか、取締役が誰であるというだけではなく、事業として何をするために当社があるのかとか(経営理念のような話は別として)、少なくとも会社法という法律で絶対的記載事項として求められている事柄は明らかにしておく必要がある。というか、こういう必要事項を定めていないと会社は設立できない。そして、定款に記載された会社設立の目的に照らして、それぞれの規則や規程が作られる。よく知られているのは、就業規則とか、休暇規程とか、あるいは弊社だと個人情報保護基本規程のようなものがある。そして、こうした決まりごとの多くは、こうでなくてはならないという命令をしているため、それに違反すれば一定の罰則がある。弊社はフレックスタイム制を導入しているが、コア・タイムとして午前10時から午後3時までの(休憩を除く)4時間が設定されている。したがって、事前に部門長の承認など特別な手続き無く午後1時から午後8時まで休憩なしに働いたから1日分の仕事をしたなどと言っても、それは通用しない。
しかし、会社のルールや決まりごとには別の仕様で決められていて、異なる使い方や適用をするものがある。僕が管掌としている情報セキュリティとか個人情報の保護というマネジメント・システムでは多い決まり事だと言えるのだが、それは考えられる複数の選択肢から、会社としてどれを選ぶかというガイドラインのような役割をもつ。たとえば、情報セキュリティの管理策としてスタンダードな「クリア・スクリーン」という決まりごとは、無条件にあらゆるコンピュータのデスクトップ画面について求められるようなルールではないし、その具体的な実施内容も会社によって全く違う。デスクトップに一切のアイコンを表示してはならないなどという厳格なルールを強制する場合もあれば、弊社のように実質的には「やったほうがいいよ」という程度の牽制にとどまるような場合もある。しかし、「クリア・スクリーン」という原則の話を聞いた社員は、自分の場合はどうすればいいのだろうかと気になるかもしれない。そういう場合に、会社として幾つかの選択肢を示したり、あるいはベスト・プラクティスはこうだと思うという提案を規程として示すことがある。こういう場合には、社員が個人として規程よりも高水準で厳格な選択肢を自ら選んでもいいわけである。業務に支障が出ると困るが、この手の裁量は社員の判断に任せている。
このように、特定のアクションなり手順を取りなさいと強制するような決まりごともあれば、選択肢を示して社員が自分で判断するように促すような決まりごともある。どちらにせよ、これらに従って効果的かつ正しい業務を遂行することが求められる。そして、社員の裁量に任せるとは言っても、ルールにそもそも従わないなどという任意性はないわけであって、会社員である以上は(内部通報に関わる権利を行使する場合を除けば)会社のルールに従う必要がある。
同じようなことは、僕の管掌である情報セキュリティの他にも多くの話題で言える。たとえば、通勤するときに公共交通機関を利用する人が大半だと思うが(バイクや自家用車での通勤は労災や事故の一部の責任を「業務上」の結果として会社が負う場合もあるため、規則で禁止している事例も多い)、その経路を会社から指定される人は少ないだろう。僕は、大阪市中央区に住んでいて、会社へ行くときは JR を利用したり京阪電鉄を利用したり Osaka Metro を利用したりと、幾つかの経路で出勤している。実際には、Osaka Metro を使った場合の実費を会社から支給してもらっているため、実は京阪や JR を使うと持ち出しになってしまうのだが、列車の混み具合という理由で快適な経路を勝手に選ぶことがある。これは、会社が想定する経路ではないにしても、何らかの譴責を受けるようなルール違反ではない。あらかじめ経路を会社に申請して交通費を支給してもらっているが、これを経費精算のような手順に変更して、実際にかかった費用を会社へ請求できるようにしたとしても、JR や京阪で出勤したことを会社から咎められるなんてことはないはずである。もちろん、こういう裁量には限界がある。いくら好きな経路を選べると言っても、京都に出張する用事もないのに大阪市内からいったん京都へ向かって、そこから大阪市内へふたたび戻るような(ふつうそんなことするわけもないが)経路を使って、片道で1,000円以上の交通費を会社に請求すれば、それは「なんだよ、これ」という話になるのは当たり前だ。