根性こそがスポーツを行ううえでもっとも大切という“根性主義”は、東京オリンピックにおける大松博文監督率いる日本女子バレーボールチームの金メダル獲得がひとつの契機となって、わが国に確立された。しかし、現在のスポーツ界では、根性主義の限界が明確に認識されている。その根性主義が情報セキュリティにとって害悪となると主張するのは三菱総研の村瀬一郎氏のコラムである。
コラムは、情報セキュリティの確保に際して、実質的に達成することが無理な目標を立てることや、実質的に守ることが無理な規則を策定することなどは、情報セキュリティにおける“根性主義”の具現化だという。「情報システム事故は絶対にあってはならない」との考えは真っ向から否定はできないが、情報システム事故をゼロの目標とすることの適切さは、各企業の姿勢や立場、状況・文脈などに依存すると指摘する。
例えば、つい最近、ある小学校の教諭が自宅に持ち帰ったパソコンがウイルスに感染し、個人情報が漏えいした事件があり、個人情報の校外への持ち出し禁止を破った教諭本人の罪を問う風潮があった。だが、小学校の教諭が頻繁にテスト(個人情報)を自宅で採点せざるを得ない実態は、教育関係者であれば誰もが既知のこと。それにもかかわらず、多くの教育委員会が、校外に個人情報を持ち出すなという規則を作っている、と疑問を呈する。
情報セキュリティの世界で、100%のセキュリティ確保はあり得ない。それを目指すことは、余分な費用が発生するとともに、担当者個人に責任を押し付けることになり、モチベーションの低下を招くことが多い。だから、100%のセキュリティ確保を目指すよりも、事故は発生するものという前提に立って、業務をデザインし人員配置を行うことが重要なのだとの考えだ。
近年は、業務継続計画に注目が集まり、事故は不可避なものであるという認識が企業社会に根付き始めている。“根性主義”の功罪を、情報セキュリティ確保に携わる関係者、特に経営者は認識すべきときがきている、と村瀬氏は注意を喚起する。実態を無視した目標・計画・規則などの策定といった面での“根性主義”の弊害は、情報セキュリティに限らず多くの場面でみられるようだ。