orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

「リスクの移転」にまつわる誤解

f:id:orangeitems:20210411164542j:plain

 

リスクの高い業務、例えば個人情報などを扱う話があって、それを自社で処理をして利用するときに、会社の中で安全に扱うというのは難度の高い話です。個人情報をきちんと管理して・・といいながら、会社のファイルサーバーでしかも誰も見えるところにExcelファイルで放置されていたり、メールで平気で添付ファイルで送信されていたり。印刷したリストが机の上に放置されていたり・・。いや今はそんな時代じゃないでしょとは言いますが、担当者の資質次第ではそんな処理も必ず起こらないとは言えません。一方で、個人情報の漏えいは会社ブランドを大きく毀損し、「何であいつに任せてしまったんだ」ともなりかねない、本当にリスクのあるのが個人情報ですね。

この、作業、じゃあ社内で扱うのは厳しいね、と、専門の会社にお願いしてしまうことがあります。リスクの移転、という言葉を使いますが自らで解決せず第三者に任せてしまうという判断です。保険を購入するというのもそうですね。日本の会社は結構、外部の会社に任せるというのが大好きです。

SIerに長く関わっているというのもありますが、会社において実力の一つに、他社とのつながりを作り、他社にどうパフォーマンスを出してもらうかというのがあります。40代、いや30代でも最早求められるかもしれません。外部の業者と仲良くしていて、それを発注したらちゃんと仕上げてもらうという関係を多く作っている人は、他社に転職してもそれを実力値とできます。この価値観を今持っていない、特に若手の人は注意が必要です。すべての仕事は自社のみで完結できるとは限りません。自分がやらなくてもそれを制御できる実力があれば、自分の実力の範疇に入るのが、ビジネスの面白いところでもあり、技術ばっかり考えると見失う部分でもあります。もちろん技術もないと他社へ丸投げしかできなくて、結局は逆に言いなりになり制御を失ってしまうので問題です。すべてはバランスと信頼関係であり、人間性を磨かなければいけない理由の一つでもあります。

さて、リスクの移転に関しては、じゃあ任せてしまえばリスクは無くなるのでしょうか。それは幻想です。移転した先で問題が起こったとしたらどうでしょう。この前ある金融機関のシステム障害の理由に、ベンダーの不手際、という文言がでてきました。これにはこの金融機関も大きな批判に見舞われました。ベンダーを選んだのはこの金融機関ですし管理・監督するのもこの金融機関です。不手際はベンダーに遭ったとしても、その責任は金融機関側で追わなければいけません。ベンダーのブランドを傷つけつつ自らは守られる、なんてことはあり得ません。何で移転先を理由にしてしまうのか。もし移転したとしても主体性を持ったうえで監査を正しくやれば防げなかったのか。

別の話で、保険を買っておいて、システム障害が起こってもそれにかかる費用などが保険会社から支払われるなら会社は傷つかないのか。それは傷つきますね。そんなことする会社なんだ、という評判は営業活動に悪い影響を及ぼすでしょう。

このように、リスクの移転と言う言葉は、なんだかリスク自体が別の場所に移ってしまい、安全になるかのように見えますが実は全然そんなことはありません。どこに引っ越そうがリスクはあり続けます。どちらかと言えば安全、と言う場所に移しただけに過ぎません。

常に主体性を見失わず、リスクの存在を認識し、細かい機微に常に注意を向け、問題あればスピード感を持って対応する。移転しようがしまいが、大事なことは一つだと思います。