昔、スキル標準の導入・活用事例として、社員のスキルの見える化に取り組んだ。取り組みの事例と活用を各社の経営の方々に紹介させていただいたときのこと。スキルでもなんでも、可視化できないものは計画的な成長ができないので、標準に基づいた可視化は大事って話。
各社のIT部門長の反応は、意外と辛口の評価が多かった。
「人材育成、大事なんだけど、投資対効果が見えないので、計画的な人材投資にはなかなか意思決定ができない」というご意見が多かった。
確かに営業経費の方が、一定の売り上げ利益につながるように思える。接待なら会社のお金で美味しいものを食べれるとも言えるし。
最近、組織でのセキュリティ対策の必要性を説明していても似たような反応があって
「セキュリティ対策。何をしたら十分って話がないだったら、何をやってもだめなんじゃないか」
「なんにでも効く万能な製品・サービスは、ないのかな(それなら、投資してあげるよ)」
「わかったわかった。CISOを置くから、どんな人材の人を置けばいいのかな。我が社は零細だから、そんな高度人材の人は雇えないんだけどな」
まあ、どちらも程度問題でもあるし、社員のキャリアプランや、セキュリティリスクに対する社員の安全を考えてくれない経営者では、あまり長居できないかもしれない。人材育成、セキュリティ対策、どちらにしても、現状何が課題で、何を解決していかないかと予め考えられていないと、計画的な対策にならない。
セキュリティ対策の場合に1つ考えておきたいのが、「属人性」。出来る人がいれば、リスク把握と対策は出来て、セキュリティ製品の必要性も低くなるし、一々手順書を作らなくてもいい塩梅でやってくれる。すくなくとも「出来る人」が手順書をまとめるモチベーションは低いし、仕事ができる人には仕事も集まるから、そもそもそんな忙しい人に不必要なものを作ってというと、モチベーションが下がる。
ここをどのように対策を取っていくかの方法を決めるのがセキュリティ対策の第一歩だし、考える場を決めるのが、情報セキュリティ委員会の設置と運用なんじゃないかな