続くテーマは、従業員とセキュリティの関係性についての解説だ。
矢野氏は、従来のセキュリティ対策はIT部門がやるものという前提があり、これまでの企業の活動は従業員に対する啓蒙や教育に多くを割いていたのではないかと指摘する。
しかし、そこには課題があり、従業員に真の意味でセキュリティを理解させるには、ちょっとした工夫が必要だという。
従業員へ単にルールを強制しても反発を招くため、なぜ必要なのかの理由付けが求められるとのことだ。 既にそうした活動を実施している企業もあり、主な手法としてはテクノロジー面からきちんと説明するというものだが、一般従業員には難しい話なのではないかと矢野氏は指摘する。 従業員の最大の悩みは、「自分たちだけが割を食っているのではないか」という疑念だとのことだ。
それを払拭するには、会社全体としてどのようなセキュリティ対策を実施していて、その中で従業員が担うのはどの部分なのかといった、全体感のある説明だという。
その際にキーとなるのは、それぞれの役割の説明だと矢野氏は解説する。IT部門はセキュリティ対策において多くの部分を日常の業務として担っているが、従業員はこれまで説明を受ける機会が無かったため、あまり理解していないとのことだ。
矢野氏は、役割ごとにセキュリティの説明をしていく工夫が肝要だと説く。 目指したい形としては、従来の上意下達型ではなく、会社と従業員が横並びでそれぞれの役割を全うするという、新しい形の関係性をきちんと目にできるように示すことだという。