Scribble at 2024-10-02 19:19:40 Last modified: 2024-10-02 19:34:34
もう10年以上は社内で言ってることなんだけど、業務のコミュニケーションで会社から許可されていないツールを使うというのは、原則として情報セキュリティの観点からはルール違反だし、それ以前に情報の管理としてマズいんだよね。誰がどのサービスで何を言ったのか、導入した本人は強靭な記憶力があって覚えてるのかもしれないけど、同僚や部下や上司はそうでないかもしれない。すると、必ず「言った、言わない」で揉めたり、どこで書いたのか分からなくなって誰かが検索しないといけなくなる。もちろん、メッセージング・サービスやコラボレーション・サービスなんてものの投稿内容はググったって調べられるわけがないのだから、自分たちが使ってるサービスを全て手作業で検索しなくてはいけなくなる。まぁ、Slack とか API が使えるなら串刺しで検索するようなシステムを俺が開発してやってもいいけど、それはしない。情報セキュリティの部長として、そんなことが必要になる状況こそリスクを高める危険行為だからだ。
類似した目的や用途のサービスを重複して使うことは、情報管理やリスク管理から言って危険である。僕らがクライアントの事情(というか、単に「面倒臭い」)に合わせて、自社で使ってもいない Teams などを使っているのは、あくまでも特殊な事情で「そいつに合わせてやっている」という自覚が必要で、客の気に入るようにホイホイと色々なサービスに(無料アカウントであれ)登録するのは、はっきり言って愚行である。そもそも相手の業務環境に合わせるというのは、ビジネスとして「負け」なんだよ。したがって、下請けなんぞが「Google Chat はどうも苦手で」みたいなことを言ってこようと、それが電通マンのご指定デザイナーであろうと、合わせたら舐められるだけだ。
このようなことが、もちろん弊社だけではなく多くの企業で起きる。そしてその理由はだいたい同じだ。いわく「無料だから会社の負担にならないと思って」使ったとか、いわく「現状のコミュニケーション・ツールでは不満があるから」他のものを使い始めたといった話になる。
もちろん、前者は言い訳にならない。無償ツールだろうと有料サービスだろうと、会社が業務で利用するサービスは、なんであろうと会社が把握していなくてはいけない。とりわけ、てめーの投稿内容をはじめとして情報を扱うからには、無料だろうと有料だろうと他人の運営するサービスに情報を預けるのだから、そのリスクを評価したり担保があることを確認してからでなくては使えないというのが、上場していようといまいと、大企業だろうと零細だろうと個人事業主だろうと、仕事で情報を扱う者の常識である。こんなことは、デジタル・ネイティブだのなんのと言わなくても、コンピュータやネットワーク通信を使って仕事をしていれば、トイレで糞をするのと同じくらいの自然な手順として、凡人だろうとなんだろうと頭に叩き込んでおかなくてはいけない。正直、この程度を心得ていない人は SPI や面接なんて必要ないわけで、会社というものに雇用すること自体が間違いである。僕が情報セキュリティの部長だから、高すぎるハードルを当たり前だと不当に引き上げてると思う? いまどきの高校生とかなら、このていどは大したこと言ってないと感じるよね。なんと言ってもデジタル・ネイティブなんだし。
そして二つめの、会社が使っているツールに不満があるというのは、それはもちろん業務に支障があるとか、自分たちの業務を遂行するにあたって何らかの制約が強すぎるとか、そうした事情があれば、導入した部署や役員に対してフィードバックしなくてはいけない。事業運営に支障があるなら、それは解決しなくてはいけないことであり、そしてそういう解決は会社全体で導入しているサービスであればなおさら、会社が責任をもって対応しなくてはいけない。事業部や一部の社員だけで勝手に他のサービスを使って、しかも会社に黙って「解決」してはいけないのである。弊社でも、メッセージング・サービスとして会社では Google Workspace の Google Chat を基準にしているが、何か偶然の機会に話が出たりすると、それこそ ChatWork だ、Slack だ、BackLog だ、Notion だと、色々なツールを使っていることが分かる。なので、さきほど経営会議レベルの発言場所で「そういうものを場当たり的に使うのはよくない」と釘を刺したところだ。というか、こんなことを15年くらいずっとやってるんだよね。これは、もちろん僕自身が単なる部長の一人というだけではなく事実上のファウンダーとして、他の部長を牽制できていないという恥ずべき事実でもある。
僕が昔から言ってきたセリフとして、「上場企業であれば、こういうことは許されない」みたいなことを言ってきたんだよね。うちは上場を中期の目標にしてるし、入社してきた人材は面接とかで上場を目指していることを聞いて、何かを期待して入社してるはずだから、「そんなことをしてたら上場なんてできないよ」という含みをもたせてるつもりで、こういうことを言ってきた。でも、たいていのサラリーマンなんて会社に在籍してるだけで勝手に上場企業になり、どういう説明をされたのかは知らないが給料が上がるとでも思ってるのかもしれない(実は、上場しても社員の給料なんて上がらない)。でも、てめーの売上を伸ばさない限りは上場なんてできないし、そのままだといずれ資金が枯渇して上場どころか倒産だというくらいの、僕らが何冊も基本書を揃えて勉強してる会社法のレベルの知識なんてなくても、これまた常識として「業績が悪いままだと会社は倒産する」ということくらい、どうやってトイレでウンコすればいいのか知ってるのと同じくらいの常識としてわきまえるべきだと思うんだよね。
そのために重要なことは、もちろん無駄なことをしないということに尽きる。凡人なんて、簡単に生産性を上げたり、世の中を驚かせるようなサービスを考えついたりできるわけがない。凡人が集まっているにすぎない大半の企業が事業を継続し、法人として存続するための第一の秘訣は、クリエーティブでもイノベーションでもなく、要するに愚かな出費や愚かな施策を事前に食い止めることだ。これは、良い悪いはともかく多くの女性が(したがって女性が多い財務や経理の社員なら)同意してくれるように、家計の話と全く同じなのである。でたらめに色々なサービスを使うと、その管理コストだけで無駄が起きる。また、そういう出鱈目なことをしていないかどうか、われわれが一人ずつインタビューしたり、何かを検査するといった手間も増える。そういう不安とか不審を元にしてルールを作ったり監視の業務などを増やすのは、情報セキュリティのプロという立場から言っても、実は望ましくない状況なのである。