現金より情報の方が盗みやすい？――ある実験が明らかにした「行動規範はセキュリティに役立つか」：「セキュリティ心理学」入門（2）（2/2 ページ）

不正を防ぐには？――ダン・アリエリーのもう一つの実験

　前に紹介した二つの実験に加え、ダン・アリエリーは以下のような実験も行っています。

　この実験の結果から、以下のことが分かりました。

• グループ3の正答率は、解答の内容をごまかすことができないグループ1と同じだった
• 「十戒」の10項目全てを思い出した人も、一つや二つしか思い出せなかった人も、結果に違いはなかった

この実験から考えられること

　もし、この実験結果が有効だとするならば、「『社是・社訓』『倫理規定』などの行動は、この実験における『十戒』の代わりになる可能性がある」と考えられます。少し前の調査になりますが、2012年に大同生命が「社是・社訓の制定は、組織力を高める原動力になるか」という趣旨の調査を行いました（参考リンク）。これによれば、調査対象の全企業のうち29.7％が社是・社訓を制定していると回答しています（下図）。

　また、日本には創立が古い企業が数多くあるといわれていますが、創業年数が長いほど、社是・社訓を制定している企業数が増えるようです。創業「80〜99年」では41.6％、「100年以上」では38.3％と、創業が80年未満の企業に比べ、より多くの企業が社是・社訓を持っていることが分かります。

（出典元：http://www.daido-life.co.jp/110th/questionnaire/pdf/oganization.pdf）

　その上、業績が良い企業（35.8%）の方が、悪い企業（26.8%）より、社是・社訓を持っている割合も多いともされています。さらに「10年後の業績予想」においても、良くなると回答した企業の40.3%が社是・社訓を持っており、悪くなると回答した企業では25.8%にとどまっています。こうして見ると、社是・社訓を定めるのは良いことずくめのように思えます。

　とはいえ、当然のことながら、この調査だけで「社是・社訓を持つことが企業にとって必要である」と軽々に判断することはできません。ただ、前述のダン・アリエリーの実験などと併せてみたとき、「こうした行動規範にはそれなりの効果があるのではないか？」と筆者は考えています。

　筆者の知る限り、日本国内ではこうした規範を持っているセキュリティ専門家組織などはあまり多くないようです。筆者が以前参加したある海外の研修組織の「セキュリティ実践コース」では、修得した攻撃技術を不正に使用しないことを研修開始時に全ての参加者に誓約（宣誓書にサイン）させていました。企業などでも、社是・社訓（あるいは「セキュリティ規約」など、名前は何でも構いません）を定期的に確認させるなどの取り組みを行えば、それなりのセキュリティ上の効果を得られるのではないでしょうか？

　また、国内の情報セキュリティ関連の資格などでも、先ほどの（ISC）²の倫理規約のようなものを定めているものは多くありません。筆者は、国内における情報セキュリティ資格でも、知識の確認だけを行い永久に資格を与えてしまうのではなく、（ISC）²や、同様の規範を定めているISACAの資格試験のように、行動規範に違反した場合には資格を剥奪するような仕組みや、定期的な維持教育で規範を再確認させるような仕組みがあってもよいのではないかと考えています。

　毎朝の朝礼で、社員一同が社是・社訓を「唱和」する。最近、あまり見かけない光景ですが、セキュリティ対策としては効果的な取り組みなのかもしれません。もはや情報セキュリティを避けて通れない以上、皆さんの組織でも、いま一度こうした「行動規範」の必要性について考え直してみてはいかがでしょうか。