現場の協力が不可欠だったセキュリティプロジェクト
「働き方改革」「デジタル革命」「ワークスタイル変革」など、近年のビジネスシーンでは「改革」や「変革」をうたったキーワードが大きく取り上げられています。経済情勢や市場動向は刻一刻と変化しており、そのスピードは年々増す一方です。この変化に企業が対応していくには、従来とは異なるスピード感で自社のビジネスモデルを迅速かつ柔軟に改善していく必要があります。
現在多くの企業が、この「変化の時代」「不確実性の時代」での生き残りを賭けて、改革プロジェクトに着手しています。その多くはITシステムの導入を伴いますが、一般的なシステム導入プロジェクトと大きく異なるのが、システムの変更だけにとどまらず、業務の変更までを伴う点です。そして多くの場合、現場は業務の変更に対して決していい顔をしません。場合によっては、強硬なまでの抵抗を示します。
今回紹介するプロジェクトも、業務現場からの抵抗が予想される案件でした。
近年、さまざまな企業で問題となった大規模な個人情報漏洩事故を受け、リクルートでも多様化するセキュリティ事故に対して、スピード感をもって柔軟に対応できるよう、全社的にセキュリティ向上を目指すプロジェクトが発足しました。
このプロジェクトでは、40社を超えるグループ企業を束ねて、リクルートグループ全体で横断的にセキュリティポリシーを適用する必要がありました。それだけに、各グループ会社からは、自社の事情を主張するなどさまざまな形で反発が生まれることが予想されました。
「チェンジマネジメント」の手法で、ステークホルダー間の意思を統一
情報セキュリティに対する各グループ会社の取り組みや考え方はまちまちで、さらに社内にもさまざまな立場や考え方の人々がおり、ステークホルダーの数は膨大でした。これらステークホルダーが別々の方向を向いたままでは、プロジェクトの成功は到底おぼつかないと考えました。
そこで、私たちプロジェクトマネジメントチームは、「チェンジマネジメント」の手法を取り入れることにしました。チェンジマネジメントとは、組織の変化に伴うさまざまなハードルや抵抗をクリアし変革をスムーズに進めるための施策をマネジメント手法として体系化したものです。具体的手法としては「定量的な情報を示すことで危機意識を高める」「変革のビジョンを明確化する」「短期的な成果を生む」といったものがあります。
チェンジマネジメントに関する情報を収集し、その手法を参考にしながら、まずは各グループ会社のトップや内部統制担当の責任者に、今回のプロジェクトの目的や意義、ビジネス上のインパクトなどについて説明し、理解を求めました。
グループ会社のトップや内部統制担当の責任者は元々セキュリティ意識が高く、実行自体の理解は非常に高かったものの、セキュリティ対策としてどこまで投資するべきか、何をやるべきかについては改めて目線を合わせる必要があったのです。
例えば、セキュリティ・インシデントが発生した際の株価の傾向や特別損失額について、他社の状況を踏まえた上で自社で起こった場合にどうなるのかをシミュレーションし、その経営インパクトをより実感できる形で伝えました。
このセキュリティ・インシデントが発生した際の経営インパクトと、セキュリティ対策費やセキュリティ対策により業務効率が低下した場合の事業経営計画へのインパクトを比較し、セキュリティ・インシデント発生時のほうが経営インパクトは大きいということを理解してもらい、全社としてセキュリティ対策を進めることとなりました。
しかし、情報セキュリティ対策の強化は多くの場合、業務現場の仕事の進め方に一定の縛りを設ける場合が多く、その結果業務効率が低下することも少なくありません。トップや内部統制担当の理解は得られているものの、現場を任せているマネジメント陣にも理解をしてもらう必要があります。そこでまずは、各ステークホルダーに「なぜこのプロジェクトを遂行しなければならないのか?」「経営陣はこのプロジェクトにどういう思いを込めているのか」という点を、相手が納得するまで繰り返し粘り強く説いて回りました。
やはり中には、反発を示すステークホルダーもいました。私たちの説明に対して、「『経営層からの指示なので従え』と言っているように聞こえる」といった反応もありました。打ち合わせが終わった後に、私たちに対して直接クレームが寄せられることもたびたびありました。
しかし、こうした反発に接しても私たちは方針を変えませんでした。前述のさまざまなチェンジマネジメントの手法をうまく活用しながら時間をかけて、一歩ずつ前へ進んでいきました。そうすることで、やがて各グループ会社のマネジメント陣もこのプロジェクトの意義をきちんと理解し、協力してくれるようになりました。