オフィスセキュリティは、ハードや仕組みさえ出来上がればそれで終わりというものではありません。肝心なのは、それを行う会社や従業員のスタンスや気持ちです。最後に、この肝心なところをお伝えします。
会社側の施策
オフィスセキュリティの仕組みが出来上がったら、それを継続、チェックしていくための体制や教育が必要です。管理体制を作り、従業員にわかりやすい社内規則と定常的に意識できる仕組み、ミスを防ぐ教育・訓練が必要不可欠。加えて、不正行為をしづらい環境作りと適切な監査も同時に行っていかなければなりませんし、場合によっては、ペナルティを課すというルール作りをしなければならないケースも出てくるでしょう。
欧米ではCRE(コーポレートリアルエステート/企業不動産)という、不動産戦略の全体最適を目指す組織を持つ企業が多いのですが、日本では地域ごとだったり、不動産部門、総務部門、財務部門とバラバラの組織で不動産利用が行われており、部分最適の域を脱していないところがまだまだ多いと認識しています。私どもでは、オフィスセキュリティについても同様だと考えています。セキュリティを全体統括する組織(図❼)があれば、それぞれの施策の間での漏れや重複がなくなり、過剰な投資を抑え、生産性も阻害しない、組織や事業の変化にも経営に直結した情報で素早く適切に変更対応できるなど、全体最適目線での構築が可能となるでしょう。管掌範囲は少しずつ異なるようですが、金融機関や総合商社以外の業種でもリスク統括といった組織を持つ企業が増えてきていますので、事業活動を停滞させない活動に期待したいところです。
従業員の取り組み
会社側の施策を生かすも殺すも、それを利用する従業員次第です。「自分くらいはいいだろう」、「自分には関係ないだろう」といった考えはもはや通用しません。意図的に何かをするということは論外ですが、自分で気が付かないうちにリスクを引き起こしている、またはリスクにさらされているという現実、経済社会におけるさまざまな活動はリスクと表裏一体であるという認識をすることが大切ではないでしょうか。もちろん四六時中「これはリスクか?」と考えているわけにはいきませんし、ビジネスを拡大させるためにはリスクを負って飛び込んでいく必要もあるでしょう。ただ、きちんとリスクを認識しておくこと、そのような場面に出くわしたとき、これは危ないぞと回避策を考えるというような感覚を育てることも大切だと思います。こうした社内啓蒙的なことについてのコンサルティングサービスも存在しており、相談されてみるのも一案です。日常的には、リスクと安全に対する認識を高めるための声掛けや、セキュリティに対する情報共有をはかり、より良い仕組みを作っていくためのリスクコミュニケーションがますます必要になっていくでしょう。
発生時の対応とDRP、BCP、EHS&Sとの関連性
きちんとプロセスを踏んだ計画を着実に実行していけば、より適切な高いレベルでのセキュリティが期待できるわけですが、オフィスにおけるリスクは多種多様であり、現実には完全に払拭することはできません。そうだとすれば、事故や間違いは起きるという前提で、そのときの対応を準備しておくことも重要です。
リスクマネジメントの概念・定義は人により若干差があるようですが、基本的には「回避」、「転嫁(移転)」、「軽減(低減)」、「受容(保有)」という概念になります。たとえば、物的被害であれば交換・修繕等でそれなりの費用がかかってきますし、一人当たり一万円~四万円程度といわれる情報漏洩による損害賠償も、場合によっては一人当たり一〇〇万円超にも及ぶケースもあるようです。これについては保険等での転嫁の準備が必要でしょう。
また第二章で述べたように、リスクの影響度により回避だけでなく軽減策も考慮しておく必要がありますし、リスクをそのまま受け入れることもあるでしょう。コンティンジェンシープラン(不測の事態への想定・対応計画)を立てるためには、どのようなことが起き得るかを関係者全員が想像力を働かせて出し尽くすことが大事ではないかと考えます。これは、大局的に捉えればDRPやBCPにつながるものです。
本稿ではその内容については触れませんが、この三月の震災ではDRPがないことが従業員の安否確認や拠点・資産の被害状況確認を進められない原因となった事例も多いようです。BCPはあるものの、想定以上の影響の大きさに見直しを余儀なくされたというところもあったようです。今後はあらゆる分野で、英知を結集し有事に備える計画がなされるものと期待します。
また、ファシリティマネジメントにおける概念で、EHS&Sというものがあります。Environment、Health、Safety、 Security の略で、FM推進連絡協議会の文献によれば、環境・健康・安全・セキュリティに関する基本方針と、そのマネジメントシステムを表します。企業や団体の活動において、顕在化するリスクを排除し、ステークホルダーに対する健康・安全の尊重、地球資源の持続的利用(サスティナビリティ)、法令遵守、環境保全などに努める、米国を中心として広まっているリスクマネジメントシステムの手法です。セキュリティだけでなく、事業活動におけるリスクマネジメントを考え始める際のガイドラインとして活用いただけるのではないかと思います。
最後に
弊社で携わるさまざまなファシリティ戦略やプロジェクトにおけるリアルな経験を基に、オフィスにおけるセキュリティについてお伝えしてきましたが、何度も申し上げる通り、自社のリスクは自社の方々が本来もっともよく知っているはずで、知らなくてはならないと思います。そして、その対策を講じるための動きに着手するのも、やはり自社にほかならないでしょう。企業によって守るべき経営資源は異なり、対策も当然のことながら違ってきます。そんな中、一から十まで専門家に丸投げということではなく、自社でなくてはできないところ、自らやらなくてはいけないところと、外部のリソースを使うべきところとをしっかりと見極め、オフィスのセキュリティ構築をされることをおすすめします。
POINT
- セキュリティに関する統括組織は効果的
- 従業員のリスクに対する認識向上も重要
- リスク発生時の対応もきちんと計画しておく
