見出し画像

自立分散型組織とセキュリティのバランス

Kazuki Tim Watanabe


自律分散型組織というキーワードを耳にしたことはあるでしょうか。2018年にティール組織にまつわる書籍が多数出版され日本国内に新しい価値観が入り込みました。
2023年現在はDAO(ダオ)という組織形態が活動を広げています。

いずれも環境変化が激しい昨今で生まれた新たな組織形態の一つで、企業がトップダウンで進めてきた意思決定フローを変化のスピードや柔軟性を高めるために、一人ひとりが自律性を持って活動し目的(パーパス)に向かって活動することに重点を置いています。

従来の組織でも自律分散型の組織でもパーパスに向かっている事については大きな違いは無いでしょう。一方で意思決定をするために上長の承認が必要か否かでは大きな違いが見受けられます。例えば目標を達成するために必要な経費がある場合には、役職や肩書のある上長によって意思決定を促すでしょう。
自律分散型の組織では発信者(提唱した人)がその意思決定者となり、独断で行うのではなく意思決定プロセスを用います。

意思決定プロセスに基づいて取り決めを行うので、従来の稟議を挙げて上長の意思と命令で実行する形態からは大きくことなる姿です。
今回は、今後広がるであろう自律分散型の組織づくりでセキュリティが守れるか、情報漏えい対策ができるのかについて考察していきます。


マネジメントの方法


自律分散型組織のマネジメントをする上で以下のキーワードを抑えておきましょう。
・目的(パーパス)
これは会社にある理念やビジョンに近い表現です。この組織は何のために存在し、何を成し遂げる為の存在なのかを定めます。従業員もお客様も同じ目的に向かって活動をするので一体感が生まれやすいです。一方でこれまで従業員を束縛していた売上目標や利益目標によって動かされるのではなく、何のために仕事をするのかに意識の重点が置かれますので、売上や利益は結果論として考えられるでしょう。

・アドバイスプロセス
上長からの意思決定や命令が無くても組織の意思決定はできます。その仕組がアドバイスプロセスです。誰もが意見や実施したい事柄についてその牽引をすることができます。今までのプロセスでは2方向からあり、トップからその部下へ指示命令をすることで組織全体に意思決定するトップダウン、その逆で従業員から稟議を上げて上司が承認しエスカレーションして各部署の管理者が部下に下ろすボトムアップの方法です。
アドバイスプロセスはどちらでもなく、従業員が誰でも発信しその発信でアドバイスをもらいます。アドバイスを元に発信者が意識決定をするのです。満場一致や投票による多数決を求めるのでもなく、発信者が独自に決められるというスタイルです。

・情報の透明化
意思決定のプロセスと同様に情報も階層や役割ごとに扱われていました。例えば幹部のミーテイングの議事録、サービス設計者によるディスカウントの内容、営業資料や経理資料等は、関係者だけが知っていれば問題ないものでした。
一方で自律分散型を取り入れる場合は、誰もが公平に取り扱えることが前提にあります。役職や肩書を外すというのはそういうことから始まるのです。アドバイスプロセスを用いて必要な情報は何か、どの様に透明化を進めていくのかを段階的に取り組んでいくことになるでしょう。

自律分散型の組織におけるマネジメントは、目的に向かって従業員が肩書にとらわれずに意思決定し各自が自分自身をマネジメントしていくのです。何も決めない事や放任とも異なり、必要な人通しがコラボレーションしていきながら成果を生み出していきます。従来の主従関係で組織を固めるのではなく、信頼関係を元に組織をなしていくために情報の透明性は必要不可欠になってくるのです。

いわゆる管理されない働き方のように感じられますが、実は代わりにルールで管理する組織づくりでもあります。上司の代わりに組織で定めた憲法のようなルールを元にセルフマネジメントをするので全く自由であるとは異なるでしょう。このルールの元では上司も部下も役員も存在しないという考え方です。
自律分散型には、上記の3つのキーワードに加えてルール化も大事な用途であるでしょう。

情報の透明性を実現するたの方法

情報の透明性を実現するためにはクラウドサービスの利用が欠かせません。日常的なコミュニケーションツールとしてメールからSlack等のチャットへ切り替え、ドキュメント管理も社内設置のサーバーからクラウドストレージへ、社内報もサイボウズやnotion等のサービスを活用する事などで利便性と透明性もぐっと上がります。
いつでもどこからでも自由に情報にアクセスできる仕組みは、従業員にとって公平なことであり結果として情報が集約され透明性があがります。
透明性の目安は、従業員がどこにいて何を考え、どんな仕事をしているのかを従業員すべての人が識別できることです。都度上長に確認するといったプロセスをせずにこの識別ができる仕組みができれば透明化ができています。

セキュリティとは何か

ここでセキュリティに関して話をしていきましょう。そもそもセキュリティとは何でしょうか。会社組織としてのセキュリティ対策としては情報漏えいを防ぐ取り組みが重要な要素の一つです。特にデジタルで管理されたデータの保護と保全性が対象となることが多く、働き方や働く場所そして組織づくりに置いても柔軟性が叫ばれている中で、セキュリティと柔軟性のバランスはどの企業にとっても試行錯誤をされているのではないでしょうか。
つまりセキュリティとは、会社組織の運営を左右する情報を保安することで、その対策として情報漏えいを防ぐ取り組みがあり、柔軟性と反比例する可能性があるものです。

組織の柔軟性VS情報漏えい対策


自律分散型組織の運営で情報の透明性が重要であると説明しました。この組織形態を導入した会社の中には、全顧客の契約情報から従業員の給与に至るまで透明である組織も存在します。
情報の透明性が向上すればするほど、どの従業員でも今まで会社の幹部が扱っていた情報にまでアクセスすることができますが、その分情報漏えいのリスクも恐ろしく上がってしまうでしょう。
このような状況の中で情報管理が無法地帯になること無く、情報漏えいの無い状態を維持するための考案をしてみます。

1)ルールを定める
2)情報へアクセスできるアカウントを管理する
3)情報アクセスの履歴も透明化する
4)セキュリティマネージャーの存在は必要
5)セキュリティマネージャーはCEOにはなってはいけない

1)ルールを定める
セキュリティ対策に限らず組織は無法地帯では成り立ちません。情報に対する取り扱いはルール化され認知度をあげ続けていく努力は必要でしょう。
すべてのルールを日常生活のなかで適用していくとは人の記憶からしても不可能でしょう。ファーストステップとして最低限守るべき、情報漏えい対策を定めましょう。
例えば、機密と記載されているデータは口外してはいけない、組織情報を活用して私利に活用してはいけないなどです。
情報漏えいが結果としてどのような悪影響があるのか、その際のペナルティを認知してもらう事も重要です。

2)情報へアクセスできるアカウントを管理する
クラウドサービスのアカウントは、無料で誰でも発行できるものと管理者が取り扱う事ができるものに分けられるでしょう。
自律分散であってもアカウントも分散してしまうと保全性を保てません。しかしながら、すべてのクラウドサービスに対して有料の管理が可能なアカウントを発行してしまうと必要経費も膨大となってしまうでしょう。費用をかけずにアカウントを管理する方法がいくつかあります。
アカウントの共有:クラウドサービスの規約が許すのであればアカウントの使いまわしは節約になります。誰が利用しているのかの所有者管理が曖昧になるため、月に1回程度のパスワード変更は必要でしょう。

無料アカウントの利用:多くのクラウドサービスには無料版が利用できます。これには利用期間や機能の制限があるでしょうが、一部分のユーザーのみ利用するシーンでは有効な手段です。情報漏えい対策の観点でいうと、無料アカウントであってもアカウント情報は正しく管理していることと、パスワード変更が特定の第三者ができる事が必要でしょう。

フリーミアムの利用:かつてSlackやGoogeWorkSpaceは無料ですべての機能が利用できました。今は有料プランと無料プランで区分けされ無料プランは部分的な利用にとどまります。クラウドサービスの多くは無料で使わせユーザーが増えたら有料になる、フリーミアムという考え方があります。これを汲み取り、無料で使えるサービスを渡り歩くことも費用削減として役立ちます。ただしこれには管理の煩雑性と人のメンテナスが求められるでしょう。

3)情報アクセスの履歴も透明化する
システムだけでセキュアな状態を維持することは困難であることから人の認識も求められるでしょう。クラウドストレージのアクセス履歴やログインの履歴を管理することはシステムができる領域で、従業員がこの状態を認識しておくことは情報漏えいを防ぐ抑止力に繋がるでしょう。意図しても意図せずとも不用意に情報を取り出さないことは対策として求められる事です。

4)セキュリティマネージャーの存在は必要
自律分散型であってもそうでない組織だとしても、ITの有効的な活用は欠かせません。ITのヘルプデスクの設置やセキュリティマネージャーの存在は必要になると考えます。それが雇用されている状態であれアウトソーシングであれです。
セキュリティや最新のIT情報に関しては、役割として適任かどうかが分かれます。適任者が運用を決断できるようにルールを整えて行きましょう。

5)セキュリティマネージャーはCEOにはなってはいけない
情報管理やコミュニケーションなどクラウドサービスの利用が業務の多くを締め、その管理をセキュリティマネージャーが担う場合、マネージャーに情報が集約される構造にもなりかねません。新しいツールを導入する際も、解約する際も、データをバックアップする際も判断を求められる存在になってしまいがちです。
しかし、あくまで役割の一つであり権力までもってはいけません。ここにも情報の透明性が求められることと、いつでも後任をつくる状態を目指していきましょう。

総括として

この100年でITの進化は著しいです。この進化に、経済の仕組み、法律の仕組み、人間の知識や経験の差異など、連動していないことが多くあります。
ITの利用が増えるとともに、利便性と引き換えにセキュリティの問題も浮き彫りになりました。この問題の完全なる解消を目撃できる日はまだ先になりそうですが、解決手段が考案され続ける流れにはかわりありません。
私達はこの解決手段を探し、取り入れ検証し、改善していくことが大切な仕事になってくるでしょう。

この記事が気に入ったらサポートをしてみませんか?