なぜ「役割・責任・権限」を定めるのか

本コラムは、経済産業省・IPAが策定した「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」について、
その要求事項を中国古典『孫子の兵法』の視点から読み解くシリーズです。

前回は「社内ルール」を取り上げ、戦うための前提条件を定めることの重要性を整理しました。

第1回:なぜセキュリティは「社内ルール」から始まるのか

大分類:ガバナンスの整備 / 中分類:役割・責任・権限(1-2)

役割・責任・権限とは何か(SCS評価制度の要求)

SCS評価制度では、次のような要求が示されています。

セキュリティ推進活動を担当する部署、役員及び従業員を決定し、責任及び権限を割り当てること。
サイバー攻撃及び予兆を監視・分析する体制を整備すること。
守秘義務のルールを策定し、遵守させること。

これらは個別の要件に見えますが、共通する目的があります。

組織として意思決定を行う主体を明確にすることです。

セキュリティ対策は、単に仕組みを整えるだけでは成立しません。
誰が判断し、誰が責任を持ち、どこまで決定できるのかを定義する必要があります。

なぜ役割が必要か(孫子における「将」の考え方)

この考え方は、『孫子』における「将」の概念に対応します。

将者,智・信・仁・勇・厳也

―『孫子兵法・計篇』

(将とは、判断力・信頼・配慮・実行力・統制力を備えた存在である)

ここで言う「将」は個人の人格論ではありません。

重要なのは、戦いにおける意思決定がどこに集約されているかという点です。

情報と判断を一箇所に集める構造を持つこと。

これが、組織として戦うための前提になります。

責任と権限の関係

役割を定める際に重要なのは、責任と権限がセットであることです。

  • 責任だけがある場合、判断ができません
  • 権限だけがある場合、統制が失われます

意思決定できる範囲と、その結果を引き受ける立場を一致させる必要があります。

監視・守秘と組織の成立条件

監視・分析体制の意味

監視・分析体制は、単なる技術要件ではありません。

孫子は次のように述べています。

知彼知己,百戰不殆

―『孫子兵法・謀攻篇』

(敵と己を知れば、危うきことはない)

適切な判断を行うためには、情報が必要です。

監視とは、意思決定のための情報を集める機能です。

この機能がなければ、どれだけ役割が定義されていても、判断は成立しません。

守秘義務の意味

守秘義務はコンプライアンスの問題に見えますが、組織構造の観点では別の意味を持ちます。

  • 情報が漏れると、優位性が失われる
  • 規律が崩れると、統制が効かなくなる

情報の管理は、組織を維持するための条件です。

これは外部からの攻撃だけでなく、内部からの崩壊を防ぐための仕組みでもあります。

まとめ

SCS評価制度の「役割・責任・権限」は、担当者の明確化にとどまるものではありません。

  • 誰が意思決定するのか
  • どの情報をもとに判断するのか
  • どのように組織を維持するのか

これらを設計することによって、初めて「戦える組織」が成立します。

前回の「社内ルール」が前提条件の整理であったのに対し、
今回の要求は、その条件のもとで動く主体を定義するものです。


セキュリティは仕組みだけでは成立しません。
誰が判断するかによって決まります。

チェック:意思決定の構造は明確か

以下はチェックシートです。
すべてに☑が付く状態が望ましい状態です。

  • ☑ 組織として意思決定を行う主体が明確になっているか
  • ☑ 誰が最終判断を下すのかが曖昧になっていないか
  • ☑ 判断に必要な情報が、意思決定者に集約されているか
  • ☑ 責任と権限が一致しているか(責任のみ/権限のみになっていないか)
  • ☑ 状況に応じて迅速に判断できる構造になっているか
  • ☑ 情報の管理(監視・守秘)が意思決定を支える形で機能しているか

もしこれらに一つでも☑を付けられない場合、
判断すべき場面で、誰も責任を持てない状態が生じる可能性があります。

意思決定の所在が曖昧な組織では、
状況が変化したときに対応が遅れます。

まずは、誰がどこまで判断するのか、
その構造を明確にすることが必要です。

次回は「セキュリティ方針」を取り上げ、
組織としてどのように勝つのかを事前に定める重要性を整理します。


第3回:なぜ「セキュリティ方針」が必要なのか

参考