JALが泥臭く進めるセキュリティの“自分ごと化”　「現場との二人三脚」で進めた施策の裏側を訊く

“横”同士の話し合いが意識向上のきっかけに　

　そのほか、「『仲間をつなぐ活動』にも力を入れた」と嶋戸氏。同社では、およそ3年前からグループ全体で管理職向けの情報セキュリティ研修を始めていた。はじめは座学を中心とした研修を進めていたが、とあるタイミングで参加者同士のディスカッションの機会を設けたところ、それが好評だったという。

　「情報セキュリティについて、取り組みの重要性はわかれど『実際にその意識を高めていくためには何をすれば良いのか』という点は、どの部署・組織でも共通の課題でした。そこで、ディスカッションの場とテーマを設けたところ、参加者の皆さんが自部門の課題感や取り組み内容などを共有し合ってくれたんです。この取り組みから、『一方的にルールを教えるだけでなく、“横”同士の話し合いの機会を設けること』の重要性を実感しました」（嶋戸氏）

　また、同社は2月〜3月を「情報セキュリティ強化月間」に設定し、その一環として「セキュリティDAY」という社内イベントを昨年から開催している。このイベントでは、アウェアネス活動の進捗発表とともに、昨年は他社講演やクイズ大会といったアクティビティなども行われた。これも、“横”同士のつながりを深め、情報セキュリティを自分ごと化させるための取り組みのひとつだ。

　また、イベント内では情報セキュリティ意識改善に貢献した社員を「Goodアクションアワード」として表彰する“褒める文化”を導入。これは、不適切な行動を指摘するだけでなく、良い行動を称賛することで、ポジティブな動機づけと風土醸成を図ることを目的としている。

　加えて、今はコミュニケーションをもっと“フランクに”行える場を作ろうと考えているそうだ。具体的には、同社が利用しているコミュニケーションツールの中に、情報セキュリティに関するチャットスペースを作り、ざっくばらんに情報交換ができる場所を提供することを検討している。

着々と浸透するセキュリティ意識　目指すは「情報漏洩0件」

　これらの活動は、既に組織に定量的・定性的な効果をもたらしているという。まず、意識調査アンケートの回答率が昨年に比べ上昇している。初年度は全社員の約20%に留まっていたアンケートの回答率が、活動の周知と重要性の浸透により、約50％にまで向上した。それに加えて、全社的な「アウェアネスレベル」も向上したという。特に、初回のアンケートで弱点として判明した特定業種に対して集中的な研修や共同対策を行った結果、当該部門のセキュリティリスク認知における理解度レベルが大幅に向上した。

　それ以外にも、「仲間を守る文化」の醸成が進みはじめている。 情報セキュリティを「航空の安全」と結びつけ、「安全に懸念を感じたら迷わず立ち止まり、問題を過小評価することなく、迅速かつ的確に対応する」というメッセージを浸透させ続けることで、不適切な取り扱いに遭遇した際に躊躇せず指摘ができる風土、すなわち仲間を守る文化の醸成を図っているという。

　今後について、「『情報漏洩の件数を0件にする』という目標を継続的に掲げていく」と嶋戸氏は語る。情報漏洩は、フィッシングメールを誤って開いてしまうといった社員の小さなミスでリスクが拡大してしまう恐れのあるもの。そこを改善していくために、まずは年次意識調査アンケートでレベルCやB（セキュリティリスクを把握できない、または具体的な対処法がわからない状態）の社員をゼロにすることを目指すとした。そして、社員一人ひとりがレベルAの状態、つまりセキュリティリスクを認識し、対処法がわかる状態にもっていくことを目標に、アウェアネス活動を推進していく方針だ。

　「活動はまだまだ道半ば。正直、終わりが見えないと感じることも多々ある」と語る同氏。しかし、社員一人ひとりにセキュリティを自分ごと化してもらえるような施策を地道に続けていき、情報セキュリティを「安全文化」として根付かせていくその取り組みは、着実にJALの中で芽生え始めている。