ID&IT2012というアイデンティティマネジメントに特化したイベントの鳳として、最も多くの聴衆を集めて開かれた「組織はコンシューマライゼーションとどう向き合うか」というセッションから感じたことを備忘メモする。
タイトルにもなっている問いは、要するに『BYODが一般化したら、またぞろBYOCloud(個人契約のDropboxやGoogleDriveの業務利用)という言葉がでてきました。次はBYOSNSとか言い出しそうです。はて、各人の裁量に任せていいのでしょうか、まずいとしたらどうしたらいいでしょうか』という趣旨で、大変興味深いパネルディスカッションだった。
第一観は(i)この問いに対する答えは、企業が感じるID管理やフェデレーションに対するモチベーションにかなりの影響を与えていきそうだが、(ii)かなり原理的なレベルから順番に整理していかないと、きれいな答えは出そうにない、といったところ。
どういう順番に整理していくべきか、ざっくりと考えてみると…
(1)そもそもそのBYOxxxは組織にどのような「価値」をもたらすのか?
(2)価値を考慮して取り入れるにしても、運用上、法務上、etcでの実際的な潜在的脅威を生まないのか(まず生まないという答えは考えにくいが)?
(3)その脅威を評価すると、どの程度のリスクになるのか(評価され管理されていないものはリスクと呼ばない)?
(4)そのリスクはマネジメント可能か?リスクを除去あるいは軽減できる手段はあるか?
といったところだろうか。事業として考えると当たり前だが、こんな生真面目に考えるところは少なそうだ、と思う。なにしろ、この問いへの客観的・具体的な答えが出ている組織の方が少ないだろう。
◎ 職場で個人契約したDropboxやTwitterを使えるようにすると、組織にどんな価値があるのか?
そこを建設的に議論したとして、選択肢はどうなるのだろう。こんなところだろうか-。
(1)アカウントを取得することを認めない
(2)個人でアカウントを取得することは認めるが、従業員(公人)としての利用は認めない
(3)特定の時期、時間帯に限って公人としての利用は認めない
(4)ドレスコードならぬ投稿コードを設定し、それに抵触しない範囲であれば利用はいっさい制約しない
(5)黙認する
最も民主的な(4)を選んだ場合、投稿コードの設定や結果の監査など、それ相応のコストが生じるはず。それだけのコストをかけても活用する「価値」があるのか考えもせずに、選ぶと言うこともなく(5)を選び、潜在的脅威を受容する結果となっているケースがやはり多いらしい。
アイデンティティはどうあるべきか。公人と私人との境目はつけるべきか否か。つけないと、どんな問題があるのか。ザッカーバーグが言うように、SNSでは唯一のアカウントから同じ人格として発信するべきなのか、しかし、アメリカ人女性は平均6つのアカウントを使い分けているらしい。やはり、LinkedInとFacebookとTwitterを用途別に使い分けるほうが賢明なのか。前者は乱暴なのか、後者は欺瞞なのか。
望むと望まないとにかかわらず、投稿コードを決めると、企業や経営者の性根が透けて見えるものだ。期待される価値を尊重し、想定されるリスクに配慮した内容を作れば、従業員からは共感が得られ、金など掛けずともリスクは減少する。その逆になれば、取り組みの足を引っ張るだろう。
しかし、この国では、どう評価するか、どうガイドラインを定めるか、この一連の作業にどの程度のコストを受容するか、を議論するより、効果のありそうなソリューションを導入して対応しようと考えがちである。ソリューションを導入して問題が出なければよし、出た時は出た時、という危うさが今も支配的だという。
あぁ、どうにもめんどくさい感じになってしまう。しかし、このめんどくさい話は結局いつか来た道になるようだ。BYODを率先して導入した企業が最近BYODを止め始めているという。こういう本質論を些末なことにしないことが、リスクマネジメントには欠かせないし、経営者に求められる能力の一つだと思う。FBをイントラにするという佐賀県某市長さんは、パネラーから失笑を超えて嫌悪(侮蔑?)が向けられていた。考えなしに推奨するのは、頭ごなしに禁止するより、よっぽど質が悪い、というのはその通りだと思う。
