JALが泥臭く進めるセキュリティの“自分ごと化”　「現場との二人三脚」で進めた施策の裏側を訊く

まずはクリティカルな課題を「気づいてもらう」　嶋戸氏が現場との会話で意識したこと

　業種ごとに浮き彫りとなった課題に対し、対策はセキュリティ担当者が一方的に決めるのではなく、現場と協同で行った。

　たとえば、セキュリティ対策の自分ごと化を促すための施策として、同社は各部署の業務内容にあわせた短時間動画研修を実施。これは、現場社員と共同で「何気ない日常の業務に内在しているリスク」を抽出し、そのリスクを実感してもらうためにはどうするべきか話し合った結果生まれた施策だ。

　具体的には、出社から退社までの日常業務を時系列で追い、各シーンに潜むリスク（覗き見、不審メール、音声漏洩、端末の放置、裏紙の利用など）とその対処法を洗い出したという。これらの情報を、ポイントを絞って学べるように2〜3分ほどの短い動画にまとめ、スキマ時間で学べるように設計。これにより、長時間にわたる全社一律の研修では難しかった自分ごと化が促進された。

　この取り組みは、「現場とセキュリティ担当者の“会話”」によって実現したものだ。嶋戸氏に話を訊くと、取り組みを始めた初期段階では、そもそもの会話のスタート部分に課題があったという。

　「現場の方と話す際、サービス改善などの話の場合は相手からも積極的に返事が来るのですが、セキュリティの話となるとそうもいかず、はじめの2〜3回ぐらいは協議というより、こちら側から一方的に情報を伝えているだけのような状況でした。しかし、1〜2ヵ月ほど継続的にコミュニケーションをとり続けたら、次第に状況が変わってきました。現場の方から、積極的に意見を出してくれるようになったんです」（嶋戸氏）

　現場とコミュニケーションをとるにあたって、同氏はまずセキュリティの重要性に対する認識合わせから始めたという。たとえば、先述の全社平均よりもセキュリティの理解度が低かった業種においては、その業種の目線に立ちながら情報セキュリティを遵守することの重要性について再確認し、アンケートの結果なども見せながら理解度が低い要因などを話し合った。

　会話をする中では、“課題がどこにあるのか認識しきれていない”部門もあったという。たとえば、とある部門では業務に必要な書類を裏紙に印刷していた。裏紙を使うことについては、SDGsの貢献やコスト削減を図るものとして全社的に指示されていたこともあり、その部門にとって“当たり前”のことであった。

　しかし、そこには同時に情報漏洩などのセキュリティリスクが付随する。該当部門もそのリスクをまったく認識していなかったわけではないものの、コスト削減を優先すべきか／リスク対策を優先すべきかという視点で考えた際に前者が尊重され、リスク対策がなされないまま裏紙が使用されていたのだ。

　地道に会話を続けながら、上記のような潜在的課題を現場社員とセキュリティ担当者が共同で確認し、現行の業務に潜むリスクについて認識合わせを行った。つまり、現場部門が自ら想像力を働かせながら、日常業務の中に潜んでいるセキュリティ課題を実感できるようなアシストを続けたのだ。

　「現場の方に『何か課題はありますか』という聞き方をしても、なかなか意見は出てきません。なので、セキュリティ担当者は地道な会話を続けながら、現場が課題を見出すためのお手伝いをしていく必要があると思います。

　最初からセキュリティ担当の視点でやるべきことを羅列するのではなく、まずは『ここだけは改善したほうが良い』というクリティカルな点を現場の方と一緒に洗い出し、現場の方が主体的に意識を向上できるような施策を打っていく。この意識を念頭に、一歩ずつ活動を続けることが重要なのではないでしょうか」（嶋戸氏）

　このような意識のもと会話を続けた結果、現場から積極的に意見が集まるようになってきた。なかには上記研修を展開後、自らアンケートを実施することで、現場社員の声（効果の確認、さらなる改善点など）を情報セキュリティ部門へ連携してくれた組織もあったという。

　なお、同社はグループ全体で約38,000人の従業員を抱える巨大組織。各部署に対して地道に対話を続けるだけでは終わりが見えない。そのため、運航乗務員や客室乗務員、グランドハンドリングなど各職種を分類し、業務内容に共通点が多い職種には類似の職種で実施した施策を水平展開するといったアプローチをとっていくとのことだ。