パネルディスカッション　アジア各国のセキュリティー事情（第4回）

各国で文化的な事情やセキュリティーを含めたITリテラシーの理解度が異なっていることがよく分かりました。セキュリティールールの趣旨やルールを遵守することへの重要性を社員に自覚してもらうために、どのように説明すべきなのか心掛けていることを教えてください。

中国の場合、日本とのセキュリティーに対する意識の違いはあります。弊社は日系企業なので入社時に、日本で決められたセキュリティールールのうち、弊社も対象になっている事項については守るように伝え、そのルールを守ってもらっています。セキュリティールールについてはそのルールの背景と目的、守らない場合にはどうなるのか、また、セキュリティー事故を起こした場合のデメリット（評価に影響するなど）も伝えるようにしています。

ベトナムの場合、セキュリティールールをはじめとし、文書化するのではなく、基本的に物事は口頭で伝えます。また、文書を作成したとしても、何か変更が生じた場合に運用管理できるか、という点についても注意が必要です。

前回のパネルディスカッション時に、フィリピンやシンガポールでは、入社の際に、労働条件などの説明はあるもののIT資産の使用やセキュリティールールの説明はなく、セキュリティーインシデント事例を紹介するなど、定期的にセキュリティー向上のために啓蒙活動しているとのことでした。その点は、ベトナムではいかがでしょうか。

同じような状況です。ただ、定期的なセキュリティー研修などはなく、セキュリティールールなどはOJT研修で先輩社員から教えてもらうのが一般的です。

タイの現在の状況では、セキュリティー意識がそれほど高くないベトナムの状況に似ているかもしれません。ただ、先ほどもお伝えしましたが、セキュリティー関連法案が整備されつつありますので、今後は意識が向上していくかと思います。文書化することが苦手なタイ人ですが、今後は文書化し、定期的にセキュリティー向上のための啓蒙活動をおこなっていく必要があり、そのような仕組みが会社の中で浸透していけばよいですね。また、セキュリティールールは利便性と相反することですので、ただルールを説明するのではなく、なぜ必要なのか背景や目的なども含め、丁寧に説明する必要があります。

セキュリティールールを文書化した場合、タイの人はそれを読んでくれますか？

はい、読んでくれると思います。

フィリピンでは、ルールに明記されていないことについてはやってもよいと解釈するとのことですが、皆さんの国ではいかがでしょうか？

すべてを文書化するのは難しいので、そのような場合にはタイでの常識によって判断すると思います。また、先輩社員や上司などに確認するケースもあるかと思います。

フィリピンと同じ解釈です。そのためには、定期的な啓蒙活動が重要になります。

フィリピンと同じ解釈です。性善説を前提とした考え方はナンセンスかと思います。

インシデント発生時の対応はルールに沿って行っていきます。中国の場合は、インシデントが発生すること自体は当たり前で、その際にインシデントをどのように迅速に解決するかが評価されます。再発防止や原因追及は得意ではなく、その点では、むしろ日本が特別かなと思います。ただ、日本側から詳細なレポートを求められますので、随時記録するように指示しています。

インシデント発生時の対応については、日本と同様に迅速に対応できます。ただ、原因究明や再発防止に対する対応については、日本の方がきめ細やかな対応ができているかと思います。

日本側から詳細なレポートを求められることがあるかと思いますが、それに対する抵抗感などはありますか？

日本側の求めるレポートは詳細であると感じますが、必要であれば対応するという姿勢です。

まずは落ち着いて対策を考える。次に真の原因追及を考える。複雑なセキュリティーインシデントの場合、納入業者、SIer、IT管理者、エンドユーザーなど登場人物も多岐にわたり、第三者に責任を押し付けるようなことがあります。タイ人の結束は固く、自分たちの立場を守ることを優先します。自分たちの立場が悪くするような回答はまずしません。また、原因追及もまともに調査できない状況にされ、力が強いものが生き延びるような回答が意図的に作られてしまいます。結果として、真の原因を追及できずにクローズすることがあります。そのため、真の原因を追究できるように、日頃よりコミュニケーションを取り、各人の事情を理解しておくことがとても重要です。

中国国内の市場では独自なものがあり、欧米系のクラウドセキュリティーソリューションなどは利用できず、日本で利用しているものが規制によって利用できないということもあります。そのため中国独自で開発されたツールを調達することになります。

グローバル製品（英語化された製品）であれば、問題はありません。言語に依存してしまうため、日本で開発された日本語でのみ対応している製品は導入が難しいと思います。

ベトナムと同じくグローバル製品（英語化された製品）であれば問題ありません。また、各ディストリビューターも現地にいますので、手厚いサポートを受けられます。

現地を信頼し、現地の需要に合わせて現地側に権限移譲することが大事です。一方、日本側から現地の状況が見えづらくなってしまうため、各企業にとっては適度な距離で管理していくのがよいかと思います。

言語や文化、歴史的な背景など異なる価値観や環境を理解し、日本の常識や価値観を無理に適用させないことが重要です。

日本人駐在者などタイへ来て働いている日本人とタイ人との間で、話が嚙み合わないこともよくあります。いずれも、会社のために一生懸命働いているということは理解しています。そのため、例えばセキュリティーポリシーの適用についても、お互いの立場を理解し、尊重し、時間はかかるかもしれませんが、根気強くコミュニケーションを取ることが重要かと思います。

一番大切なことはその国を理解することです。たとえば、日系企業がタイでビジネスを開始する場合、おそらく従業員の7割以上は現地のタイ人を雇用するかと思います。そのような状況では、まず大枠のセキュリティーポリシーを決める、その後、タイの国民性にあったルールを作っていくことがうまく運用していくコツだと思います。

私たちユニアデックスと各国ネットマークスは、いろいろな企業がさまざまな国で活動することをずっと支援してきた実績とノウハウがありますので、何か役に立つヒントをお伝えできるかと思います。是非とも私たちにご相談いただければ幸いです。