調査リリース
LRM株式会社にて、様々な組織における情報セキュリティ対策に関わっておられる方を対象に、「情報セキュリティ担当者と経営層のコミュニケーション実態調査」を実施しました。
「情報セキュリティ担当者」と「情報セキュリティ担当役員・担当部長」に分けて同内容の質問を投げかけることにより、情報セキュリティに関する現場と経営側の間で、意識の乖離が存在することが明らかになりました。
調査概要
| 調査タイトル | 情報セキュリティ担当者と経営層のコミュニケーション実態調査 |
|---|---|
| 調査期間 | 2023年5月23日~2023年6月7日 |
| 調査対象者 | LRM株式会社顧客企業等における情報セキュリティ担当者93名 |
| 調査方法 | インターネット |
調査結果
情報セキュリティ担当者の約15%が、担当役員・担当部長が情報セキュリティに関する現場課題を十分に理解していないと回答
情報セキュリティ担当役員・担当部長が、情報セキュリティ担当者が抱えている課題についてどの程度理解しているかについて質問したところ、情報セキュリティ担当役員・担当部長の97%が「十分に理解している」「多少は理解している」と回答し、「あまり理解していない」「全く理解していない」と感じている割合は3%でした。
しかし、同じ内容を情報セキュリティ担当者に質問したところ、情報セキュリティ担当役員・担当部長による情報セキュリティ担当者が抱えている課題についての理解度においては「あまり理解していない(と思われる)」「全く理解していない(と思われる)」と感じている割合が15%を占めており、情報セキュリティに関する現場課題への理解度については、担当者側と担当役員・担当部長側とで乖離が存在することが分かりました。
担当役員・担当部長と情報セキュリティ担当者間で、約40%が密なコミュニケーションを取れていると回答した一方で、約10%が意見交換等はなく指示・報告のみと回答
情報セキュリティ担当者に、担当役員・担当部長とのコミュニケーション状況について質問したところ、「デスクが近場であったり、チャットツールで常につながっている等、密なコミュニケーションが取れている。」と回答した層が全体の40%以上を占めており、回答者の多くが、密なコミュニケーションが取れていることを実感していました。
一方で、「概ね、月に1回のミーティングで意見交換やコミュニケーションを取っている。」と回答した層が全体の約30%、「意見交換に類するコミュニケーションの機会は無く、基本的に指示・報告のみである。」と回答した層が全体の10%であり、情報セキュリティ担当役員・担当部長と情報セキュリティ担当者とのコミュニケーション頻度について、組織によってコミュニケーション頻度が大きく異なることが分かりました。
情報セキュリティ担当役員・担当部長の約10%が、情報セキュリティ担当者とのコミュニケーションについて、意見交換を伴わない指示・報告のみで十分と回答
情報セキュリティ担当役員・担当部長と情報セキュリティ担当者との理想のコミュニケーション頻度について質問したところ、情報セキュリティ担当者は45%が「デスクが近場であったり、チャットツールで常につながっている等、密なコミュニケーションが取れている状況」が理想と回答した一方で、「意見交換に類するコミュニケーションの機会は無く、基本的に指示・報告のみ」という状況を理想とする層はわずか2%でした。
しかしながら、情報セキュリティ担当役員・担当部長の側では、13%が「意見交換に類するコミュニケーションの機会は無く、基本的に指示・報告のみ」の状況が理想と回答しており、情報セキュリティ担当者側の意識との間で、顕著な差異が見られました。
情報セキュリティ担当者の約15%が、担当役員・担当部長が考えている組織としての意図や戦略を「あまり理解できていない・共有されていない」と回答
情報セキュリティ担当役員・担当部長が考えている組織としての意図や戦略について、情報セキュリティ担当者がどれくらい理解しているかについて質問したところ、情報セキュリティ担当役員・担当部長の94%が「十分に理解している(と思われる)」「多少は理解している(と思われる)」と回答し、「あまり理解していない(と思われる)」と感じている割合は6%でした。
しかし、同じ内容を情報セキュリティ担当者に質問したところ、情報セキュリティ担当役員・担当部長が考えている組織としての意図や戦略について、情報セキュリティ担当者側の14%が「あまり理解できていない・共有されていない」と回答しており、情報セキュリティに関する組織としての意図や戦略について、担当者側と担当役員・担当部長側とで理解度の捉え方に乖離が存在することが分かりました。
理想のコミュニケーションの在り方について、経営層と担当者で再確認を
今回の調査で、情報セキュリティ対策を推進する担当者と経営層の間における意識差に一定の傾向が見られることが明らかになりました。
例えば、担当者-経営層間の理想のコミュニケーション頻度について、経営層側の2割以上が「概ね2週間に1回のミーティング」を希望していましたが、担当者側でその頻度を希望しているのは約6%に過ぎないという結果も出ています。
経営層にとっても担当者にとっても、自分たちにとって理想的なコミュニケーションの在り方が、(社内の)ステークホルダーも同様の理想を抱いているわけではないことを自覚しないと、知らない間にコミュニケーション不全が生じる可能性もあります。
小規模な組織であれば、意思決定者と実務担当者が同一である場合も多いかもしれませんが、一定以上の規模を有する組織においては、情報セキュリティ対策の実施や意思決定には、経営層や担当者等、複数の立場の方が関わります。
健全な議論が心情的な要素によって阻害されないよう、情報セキュリティ対策の意思決定において悩まれている場合は、自社においてはどのようなコミュニケーションの在り方が理想なのか、経営層と担当者という垣根を超えて、フラットに議論される機会を設けられることをおすすめします。