マトリクス組織の情報セキュリティ

わが国には、経済産業省が認定する正式なプロジェクト・マネージャーの資格がある。といっても、じつはIT業界の話だ。情報処理技術者試験の一つに「プロジェクトマネージャ」と呼ばれる種目があるのである。かつての「特種情報技術者」に相当する後継資格として、10年ほど前から設置されたものだ。最初は受験者が少なかったが、近年かなり増えてきている。

ところで、つい最近、その試験センターが、来年度よりプロマネ試験の時間と出題数を少しだけ増やす、と発表した。理由は、昨今の状況に鑑み、情報セキュリティ関係の知識を問う試験範囲を強化するためであるという。また、この秋に行われた試験でも、論文テーマの一つに機密管理が取りあげられた。個人情報漏洩に関わる問題が頻発している情勢では、当然の処置とも言えるだろう。

ところで、企業には、B2C型とB2B型の二種類がある。個人顧客を相手にしたB2Cビジネスでは、個人情報が最大の管理対象になる。小売業・製造直販業などがこれである。これに対して、企業間取引を主体とするB2Bビジネス(製造業・建設業・卸売業など)の場合は、個人情報を扱わないからセキュリティ対策は楽かというと、決してそんなことはない。取引情報=トレードシークレットが機密とすべき重要情報にあたる。漏洩の被害でいえば、金額ベースならばこちらの方が甚大かもしれない。

このB2B型ビジネスにおける情報セキュリティの問題については、今のところ重要な視点が欠けているように思われる。それは、マトリクス型組織における情報のアクセス・セキュリティである。従来のピラミッド型(縦型)組織とは、全く異なるポリシーが必要とされていることに、多くの人が気づいていないらしいのだ。

もともと、情報セキュリティ対策には3つの階層がある。1番目は、物理的なアクセス制限。計算機室に簡単に出入りできないようにする、端末に物理的なロックをかける、といった段階だ。2番目は、OS・ネットワークレベルでのセキュリティである。例えば通信における暗号化、OSやDBMSレベルでのセッション管理などがそれにあたる。

そして3番目が、アプリケーション・レベルでの情報アクセス制御である。誰がどの情報に対してRead/Writeの権限を持つべきなのかを、コントロールする仕組みである。そして、このアクセス制御の仕組みは、ふつうユーザのグループを単位として、行なう。アクセス権限は、ユーザの職位に比例して高くする、という風に考えられることが多い。つまり、平社員より課長の方が権限が高く、課長よりも部長の方がさらに権限が大きい、といった具合だ。そして、部署ごとにユーザがグループとしてまとめられる。

しかし、よく考えてほしい。会社の中で、部署を横断するプロジェクト・チームが結成されたら、このアクセス権の構造はどうなるだろうか。そして、それが二つ・三つと増えていったら。協力会社や有力顧客・ベンダーなどとのジョイント・ベンチャーになっていったら。こうした組織では、大なり小なり、機能別縦型部署と重なる形で、横串(クロス・ファンクショナル)な指示権限が生じるのだ。こうした形態を、マトリクス型組織という。

プロジェクト中心に仕事をするシステム・インテグレータや建設・エンジニアリング業界、そして広告・イベント業界、医薬品や電子情報機器の製品開発部門などでは、マトリクス型組織はほとんど定常的な姿である。

こうした組織においては、情報へのアクセス権は、プロジェクト中心になっていなくては困る。自分がアサインされているプロジェクトの情報にはアクセスできる。アサインされていないプロジェクトの情報はアクセスできない(望むらくは、存在さえも見えない)。こういうコントロールが望ましい。そうでなければ、安心してジョイント・ベンチャーの仕事に従事できるだろうか? 

また、自分が重要な役割を果すプロジェクトでは、情報へのアクセス権が高く、自分が端役でしかないプロジェクトの情報アクセス権は限られている、という権限構造が必要である。このためには、自分の職位とは独立したアクセス権のコントロールが必要なのだ。「個人」に従属する「職位」がアクセス権を決めるのではない。「個人」と「プロジェクト」をつなぐ『役割』に準じて、アクセス権が管理できなければならない。

 × 「個人」→「職位」(係長、課長)=アクセス権
 ○ 「個人」→「役割」(プロマネ、リーダ、メンバ)=アクセス権

現在、世の中にある多くのERPパッケージや、プロジェクト管理ソフトなどは、悲しいかな、この観点での情報セキュリティ管理機能が全く欠けている。だが、今や、どんな業種の企業も部門横断的プロジェクトと無縁ではないのだ。だれもがマトリクス組織の萌芽を抱いている。それなのに、情報セキュリティの面でこれに追いついているソフトウェアは少ない。