セキュリティとユーザービリティの狭間
INST石野です。
魚が届くかもしれないオンラインサロン会員募集中!
日本の会社はセキュリティ意識がとても高いと感じます。INSTのクライアント企業は個人情報を扱う人材ビジネスや企業人事が多いので特にそう感じるのかもしれませんが。
個人的な意見ですが、「この人が転職活動をしている」とか「どこ出身でどこの大学を出てどの会社に入って辞めたか」みたいな個人情報ってそんなに重要なものなのでしょうか?と感じてしまいます。
※もちろん大事に思う人が当社のクライアントに多いのは認識しておりますし、個人情報保護のためのセキュリティ強化を怠っている、ということではありませんので誤解のないようにお願いします。
住所や連絡先に関するプライベートな情報は流石にちょっと困りますけどね。余談ですけど、法人の取締役(商法上の取締役)になったら、住所なんか登記簿に記載されてますし、法務局行けば誰でもどこの会社の登記簿でも取得できるんです。日産のゴーン前会長が逮捕されたときに、日産の登記簿取得してゴーンさんの自宅の住所調べてた人がいました。なので僕の場合はある意味、履歴書・職務経歴書をほぼ公開しているのに等しいのです。
セキュリティを強化する目的は、内部のミスや外部からの攻撃による情報漏洩を防ぐためですが、100%絶対に漏洩しないような強固なセキュリティなどは実現不可能なんですよね。
例えばちょっとした操作ミスや悪意ある従業員の持ち出し行為などによる個人情報の漏洩は後を断ちませんし、どんなに完璧なセキュリティシステムを構築したところで、腕利きのハッカーが本気出したらほぼ突破されてしまうわけですし。
ITのクラウド化、サービスのSaaS化が進む中で、あまりに厳しいセキュリティが業務の障害になることもあります。
当社も会社経営のスタイルとしてクラウド化・SaaS利用はどんどん進めていますが、「資料がセキュリティの関係でダウンロードできないのでPDF添付して送ってくれますか?」とかよくあります。そういった会社は他の会社に比べて動きが1テンポ遅れてしまいますし、こちら側にも対応の負荷がかかったりします。それが積み重なるとどんどん労働時間が長くなったりして「あれ、あの会社働き方改革って言ってんのにオンラインTV会議もできねえの?」みたいなめちゃくちゃ本末転倒な事が起きたり。
「INSTのサービス、自社でサーバー立ててオンプレで運用したいんですけど」みたいなことも何回か言われたことありますが、このSaaS全盛期の今の日本でオンプレに対応してくれる有名なSaaSなんてあるんでしょうかwというか、そもそもそれってもうSaaSじゃないしね。
そういう自前主義みたいなのが積もり積もるから従業員が自分のPCのローカルにデータ保存するようになって、カバン落としたりして流出したりするんでしょうが、と言ってやりたいです、まじで。
INSTは物理サーバーを一切持たず、ほぼすべてのデータをクラウド保存してます。自前でサーバー立ててセキュリティ構築するより、AmazonとかGoogleにお願いしたほうが絶対に安全だと思っているからです。AmazonとかGoogle以上にセキュリティ強固にしようと思ったらどんだけコストと時間がかかるか見当もつきません。
セキュリティは勿論大事ですし、それは勿論認識しているのですが、ブログのタイトルにも書いたようにセキュリティとユーザービリティの狭間でセキュリティに傾きすぎているので、日本のFintechとかHRtechって遅れちゃってるんじゃないかなーと思ってつらつらと書いてみた次第です。
※繰り返しますがセキュリティの重要性は認識しておりますし、個人情報保護のためのセキュリティ強化を怠っている、ということではありませんので誤解のないようにお願いします。
それでは。
Kosuke