リスク対策や改善に「気をつけます」はいらない

仕事で、情報セキュリティや監査にかかわっています。
その関係で、リスク対策・改善策・再発防止策などを目にする機会がよくあります。

そういったリスク対策の運用に携わって感じたことを、メモとして残しておきます。

人的要因の事故に「気をつけます」は役に立たない

口だけ対策へのジレンマ

リスク対策や改善策でよく聞く対応が以下。

• 個々人が気をつける
• 留意する（注意する）
• 社内に注意喚起する

これらはまったく意味がないなあ……と、常々感じています。

気をつけて事故が減るなら、世の中に事故はなくなっているはず。
身近な例なら、交通事故なども同様です。

気をつけます、教育します、個人で注意するよう呼びかけます。
どれもすべて、その場を切り抜けるためだけの、その場しのぎの対策です。
そんな内容を聞くたびに、内心「それは何もしないのと同じでは？」

とはいえ、自分の仕事でそういった「口だけ対策」をする場面も過去にありました。
もっといろいろできたらいいのになあ……と悔しい思いをした記憶が……。

すべての事故は人的要因

気をつけること自体が不要！　と言いたいわけではありません。
当事者が注意するのももちろん大事。
会社で行われる従業員教育は、決して無意味ではないでしょう。

しかし、すべての事故は、最終的には人的要因によって起こります。
仕組みでどれだけ防いだとしても、悪意のある人がひとりいれば台なしです。
また、悪意がなくとも、ひとりの運用ミスから起こる大きな事故もざらにあります。

そのため、さまざまな仕組みを組み合わせて、事故が起こらないよう対策する必要があります。

「気をつけます」に留まらない改善を回すために

周知や教育だけでは事故はなくならない

周知や教育はとても大事ですが、それだけでは事故はなくなりません。

教育し続けて事故がなくなるなら苦労しません……。
ベネッセの情報流出事件なども起こらなかったでしょう。

「社内で注意喚起する」も、注意されたときは「ああ、気をつけよう」と意識を改めます。
しかし、実際に事故を起こすよタイミングで、教育の内容を思い出すことはまずありません。
100％ないと言ってもいいくらい。

教育だけでなく、仕組みも必要

そのため、教育とは別に、仕組みでの対策が必要です。
ヒヤリハットで済ます仕組み、ヒヤリハットすら起こさない仕組みが求められます。

ヒヤリハット
重大な災害や事故には至らないものの、直結してもおかしくない一歩手前の事例の認知をいう。
文字通り、「突発的な事象やミスにヒヤリとしたり、ハッとしたりするもの」である。

Wikipediaより

教育や啓蒙、注意喚起で対策しようとすると、ずっと教える側の労力がかかります。とても非効率。

ただ、個人的には、逆に仕組みだけでも不十分だと思います。
「なぜこんなルールが課されているのか？」が分からないと、納得感が得られず不満も生じます。

事故の防止には、仕組みと教育の両方が必要。
業務に携わるたびに、つよく感じています。

本質的な課題を見つけたい

「本当は何が課題なのか？」を突きつめないと、真のリスク対応や改善はできません。

表面上の対応、パフォーマンス（見せ物）としての対策。
そんなものに労力を割くくらいなら、真の課題に切り込んで根っこから改善するほうが断然よい。

しかし、課題への切込みは運用を変更せざるを得ないことも多くあります。
毎回この辺はジレンマを感じるところです……。

仕事を通じてずっと課題に感じており、「これだ！」という解決策も見えていません。
それでも、ひきつづき考え続けていきたい大きなテーマです。

ゆう

情シス正社員から転身し、リモートワークの複業コーポレート＆ビアバースタッフのパラレルキャリアを実践中。ITツールやアプリを活用して、個人のタスクとプロジェクトを管理しています。フレンチトーストとクラフトビールが好き。