内部統制やリスク対策、中でもセキュリティ対策はやるべきと認識しているが、どの程度までやれば良いのか

◆　セキュリティ対策はやるべきと認識しているが、どの程度までやれば良いのか
◆　従業者教育はやるべきと認識しているが、どれくらいやれば良いのか

本日のセキュリティトレンドフォーラムで、私がお話しました基調講演におきましても、同様のご質問を頂きました。

『どんなに巨額を投じて対策しても、リスクはゼロにはならない』のです。

故意という視点では、組織の内部に2名、外部に1名の協力体制をとられたら、どんなセキュリティでも破れるでしょう。
また、故意でないヒューマンエラーをゼロにすることもできません。

まずは、失敗する（事件事故が発生する）体質チェックをしてみましょう。

では、質問です。

○がふたつ以上あれば、御社は危ういと思ってください。

なぜなら・・・・・・・・・・・・・・

携帯電話のマニュアル、分厚くなりましたよね。
あれをすべて読破されるのは、3割に満たないそうです。全く開かないひとも1割いるとのこと。

ちなみに、私自身も、使いながらなんとかなるでしょ・・派で、あのマニュアルを読もうと思えない人間だったりいたします。

そもそも、日本人は、規則が形骸化しがちな民族です。
憲法自体が、アメリカ主導で、日本の実態などによらないところで作られたものですから、遵守しにくいものとして、神棚と同じような認識でいるからだと言われています。

制限速度を遵守しているドライバーは、どのくらいおられるでしょうか・・
逆に、制限速度30キロを遵守するドライバーは、他のドライバーから、『なんだ、あいつ』と思われるかもしれません。

企業内のルールも同様で、言いたいことはわかるけど、守っていたら仕事にならない的な位置づけになりますと、ほとんどの規程は形骸化して、有効性を発揮できないのです。

つまり、遵守できない規程は、ないのと同じと肝に銘じておくべきものということなのでございます。 セキュリティ事件事故は、増加の一途です。

もちろん、これは、社会の認識が進んで、過去には見逃されたものまで、カウントされている背景もあるでしょうが、企業のセキュリティ対策投資金額の増加と比較して、その投資効果は現れていないということは、言えるかと思います。