IT前提経営®️ブログ

2020.12.06

ネットリテラシー教育と内部統制

こんにちは、高柳です。

 

私は一般社団法人ネットリテラシー検定機構という団体の理事をしています。文字通り、検定を通してネットリテラシーの向上を行う団体ですが、英検などが個人のスキルアップを目的としているのとは少し違い、検定を通して個人がスキルアップを行うことを通じ、最終的に健全に法人を守るというのが目的になっています。

 

ではなぜネットリテラシーで法人が守られるのでしょうか。

 

連日メディアを通して報道される「炎上」の類によって一義的に損を被るのは個人ですが、その個人が所属する法人も同様に損を被ります。アルバイト店員による「遊び」の動画が炎上し、当該フランチャイズ店が閉店に追い込まれたり、ホテルのアルバイトが有名人を盗撮してTwitterにアップしたことで、当該ホテルが有名人が所属する事務所から損害賠償請求を受けたり、「コピペ」によって作られた資料が予期せず公になり、権利者から著作権侵害で訴えられたりと、書き出すとその「形(かた)」は枚挙に遑がありません。

 

私たちの仕事の一つにIPOを控えた企業のIT内部統制へのアドバイスがあります。四半期決算/四半期開示を目的とした基幹システムのセキュリティーは大丈夫か?というような重厚長大と思われる課題から、社員がもつノートパソコンやスマホのセキュリティーは大丈夫か?といった身近な問題まで「すべて」対応しなくてはならず、その作業は膨大です。従って、ISMS(Information Security Management System)Pマーク(プライバシーマーク)の様な認証を取得することで、効率的に組織をアップデートする方法もある一方、上述したような「炎上」に備えるには認証の取得だけでは難しいのです。

 

情報漏洩事故の多くはシステム要因ではなく、人為的ミスまたは悪意の伴う人為的問題であるということは、以前から指摘されてきたことです。実際、2018年の日本ネットワークセキュリティ協会の調査によると、その割合は実に約70%にも及びます。「クラウドサービスの利用を検討しているがセキュリティーは大丈夫か」という言説をよく聞きますが、この数字を見るに、多くのクラウドサービスは問題がなく、ほとんどはそれを使う人間の問題に起因していることがわかります。

 

実は経営はこのことを正面から捉えなくてはなりません。どんなに堅牢なシステムがあったとしても、それを使う人が問題になるならば、人の教育をしなくてはならないということです。当然、上述の認証取得と認証の更新維持のルーチンには社内教育を行うことが明記されていますが、以前ポストしたように、認証の維持が形骸化すると社内教育はまったく意味を成さないのは周知の通りです。

 

当然、内部統制は企業が上場し、公の会社になることに必要不可欠なプロセスで、レピュテーションリスクと一対になって考えられます。上場を待ち望む広い意味でのステークホルダー(事業会社、既存投資家、主幹事証券会社、監査法人、証券取引所などなど)たちは、安心安全を目指すわけですが、最後の最後まで心配なのが、結局のところ人間となります。従って、上場準備期間に、このレピュテーションリスクをミニマイズするために社員全員、または、情報システムに関わる部署全員にこのネットリテラシー検定を受けさせる企業も多いのです。

 

一体なぜでしょうか?

 

前述した有名人の盗撮の事例では、当該ホテルがこういった事件事故が起こらないように、社員のみならずアルバイトにも「繰り返し費用を支払って(投資して)セキュリティーに関する社内教育を行っていた」ことが裁判で認められ、損害賠償に有利に反映されました。しかし、法人として一切社内教育を行わずにこういった事故が起こった場合は当然申し開きができません。実際、検定機構では、それを見越した損保大手との「炎上保険」の提携なども行っています。

 

ところで、ネットリテラシー検定機構は、もともとは、新卒社会人を対象にした検定サービスでした。しかし近年、企業の新卒のみならず幹部までもが受験を組織的に受験するような現象がおこっています。それと同時に幼年化もおこっており、実績としては高校生の検定受験は珍しくなく、公立私立とも、小・中学校向けの問題提供依頼や講演依頼も続いており増加傾向にあります。今の社会事象を考えると小学生から大人まで一緒になってネットリテラシーを身につけるのは重要なことでしょう。一方で、その事実を軽視すると、どんなに社会経験豊かな大人でも、大きなしっぺ返しを食うことになります。これは各種ハラスメントと構造が似ています。つまり、出来ていると思っても出来ていないのです。

 

私が大学生の頃、「メディアリテラシー」という概念と言葉がフォーカスされました。意味は「メディアから発せられる情報を批判的に読み解く能力」ということで、試験などではこの「批判的に」という言葉を抜かすと0点でした。ではこのメディアリテラシーと「ネットリテラシー」はどう違うのでしょうか。ネットリテラシーはこのメディアリテラシーの概念に「発信力」を加えた概念です。つまり「メディアから発せられる情報を批判的に読み解いた上で、しっかりと自らの責任において発信できる力」となります。即ち、今から30年前は、個人が物事を発信する方法がなく、従って「マスメディア」の時代だったのです。しかしインターネットの時代においては、誰もが簡単に情報を発信することができます。誰もがメディアと同じ力を身につけたと言っても過言ではありません。発信する力にはレバレッジが効いていて、従ってちょっとした発信によって、想像を絶する反響があることを誰もが自認していないといけないのです。そして企業の経営は、この事実を軽視することはできず、しっかりと法人としてのレピュテーションを保つためにも、形骸化しないネットリテラシー教育を、一丸となって行っていかないといけないのです。



ガーディアン・アドバイザーズ株式会社 パートナー

立教大学大学院 特任准教授

高柳寛樹

 

----

IT前提経営®︎アドバイザリーでは、セキュリティー対策や認証の取得、組織体制の整備などを含めた、ITの内部統制構築に関わるご支援させて頂いています。

ケーススタディ_IPOに向けたガバナンス体制構築

その他支援の事例をまとめた資料については弊社のIT前提経営®︎アドバイザリーページよりダウンロード頂けます。

また、高柳の著書はこちらよりご参照ください。

IT前提経営」が組織を変える デジタルネイティブと共に働く(近代科学社digital)2020

まったく新しい働き方の実践:「IT前提経営」による「地方創生」(ハーベスト社)2017

----

 

 

IT健康診断 期間限定キャンペーン実施中