期待とは?
|
ガートナージャパンのITデマンド調査室は、日本の企業ユーザーにおけるIT投資効果の実態についての調査結果を発表した。 ガートナージャパンのITデマンド調査室は8月18日、日本の企業ユーザーにおけるIT投資効果の実態についての調査結果を発表した。調査の目的は、これまでのIT投資が、実際に企業の期待にどれだけ応えているかを明らかにすること。さらに、成功している企業としていない企業のITの運用体制を比較し、分析した結果、経営者のトップダウンによるIT導入が重要であることが強調されている。 同社は5月の調査で、IT投資の成果を「期待以上の成功」から「完全に失敗」までの7段階に分けて回答を求めた。 調査結果では、「期待どおりの成功」はわずか6.6%。「期待以上の成功」は0.6%となり、IT投資で期待どおりの効果を挙げた企業が非常に少ないことが明らかになった。 結果として、大きな比率を占めたのは、「ある程度は成功」の回答で61.8%。全体としては、IT投資は一定の効果を挙げているが、期待値よりは低いというのが、多くの企業の見解となっている。 また、ガートナーは、「期待どおりの成功」をした企業とそうでない企業の間で、ITの運用体制にどのような違いがあるかについても調査した。 これによると、「経営陣はITの重要性を十分理解している」という項目の選択率が、成功した企業ほど大きくなっているという。それ以外の項目も、経営戦略とIT戦略の深い関係を示す結果となった。同社では、IT投資の効果を最大限に高めるには、経営者がITの経営戦略上の重要性を十分理解した上で、さらに、幾つかの条件を満たすことが求められると分析する。 まず、IT戦略を経営戦略の中の1つとして考えこと。ITを先に考えるのではなく、まず経営目標を掲げ、達成するための経営戦略を考えた上で、その経営戦略の1つとしてITを捕らえるべきとしている。 次に、経営目標を達成するために、組織全体でITを利用する体制を整えることが求められる。経営者の強力なリーダーシップの下で、社員1人ひとりが経営目標を理解し、目標を意識しながらITを利用するような環境を作る必要があるという。 また、導入効果を継続的に測定することも必要になる。導入した製品の妥当性を把握できれば、新たな投資への意思決定も明確に行えるからだ。 「期待どおり/期待以上の成功」を得た企業と「どちらでもない」と答えた企業におけるCIOの設置比率は、両者とも10%前後と差がなかった。ガートナーは、日本企業におけるCIOが、本来理想とするような機能を果たしていない可能性があると結論付けた。 任天堂、米国でWii Zapperを発売日本ではバイオハザード、ゴースト・スカッドなどの対応が決まっているWiiのシューティング用アタッチメントが米国で発売される。 東急、PASMO初のポイントサービスを開始東急は12月16日から、PASMO電子マネーの利用でポイントが貯まるサービスを提供する。東急グループのクレジットカード「TOP&」と連動する形で、PASMO事業者がポイントサービスを提供するのはこれが初めて。 次世代無線免許、22日公開討論 疑念に総務省「審査を透明化」2.5ギガヘルツ帯の次世代高速無線通信免許をめぐり、免許を申請した4陣営による公開討論会を総務省が開く。もともと討論会の予定はなかったが「交付先が確実になった」と一部で報道され、公平性が疑われたため急きょ企画した。 リスティング広告検索エンジンOodle、新ツールをリリースアパートの部屋探しや中古車売買、求人などのリスティング広告の掲載と検索エンジンサービスを提供するOodleが、新ツールを発表した。 |
[ 19] ITmedia Survey:IT投資で「期待以上の成功」はたった0.6%
[引用サイト] http://www.itmedia.co.jp/survey/articles/0408/18/news039.html
|
日本銀行ワーキングペーパー創刊前の資料(局室別ワーキングペーパー) > 日本銀行調査統計局ワーキングペーパーシリーズは、調査統計局スタッフおよび外部研究者の研究成果をとりまとめたもので、内外の研究機関、研究者等の有識者から幅広くコメントを頂戴することを意図しています。ただし、論文の中で示された内容や意見は、日本銀行あるいは調査統計局の公式見解を示すものではありません。 なお、ワーキングペーパーシリーズに対するご意見・ご質問や、掲載ファイルに関するお問い合わせは、論文の執筆者までお寄せ下さい。 「インフレ期待」は、マーケットで日々形成される(観察可能な)名目金利と経済主体に実質的な影響を及ぼす(観察不可能な)実質金利とを結び付ける重要な概念である。インフレ期待の概念なしに、観察される名目金利の高低だけを以って経済環境への影響を論じることは、誤った判断に陥る危険性が高い。 また、中央銀行が、自らの金融政策の舵取りが名目金利の変化を通じて経済主体にどのような影響を及ぼしてゆくかを理解するためには、(1)経済主体の期待形成のパターンを把握し、(2)期待形成のパターンが経済主体によってどう異なっているのかを把握することが肝要である。これは、経済主体の期待形成パターンが適応的であるか、合理的であるかによって、金融政策の効果浸透のスピードや効率性が異なってくるためである。 このように、インフレ期待という概念は、中央銀行が金融政策を遂行することによって、経済主体がどのような反応を示すかを判断し、その結果、経済主体の期待形成や実際の経済活動にどのように働きかけてゆくべきかを論じる際に非常に重要なポイントである。それにもかかわらず、わが国においては、その定量的な分析が十分なされてきたとは言い難い。 本稿では、以上の問題意識から、(1)家計や企業に対するアンケート調査(「消費動向調査」等)などを用い、主としてカールソン・パーキン法により足許までの期待インフレ率を計測するとともに、(2)Roberts[1998]に従い、「適応的か合理的か1」という観点から、家計や企業の期待形成パターンを定量的に把握することを試みた。 1 適応的期待形成とは、ある変数(例えば物価)に関して、過去何年間かの(物価の)傾向を踏まえて、これまでの期待を徐々に修正しながら、現時点の期待を形成すること。合理的期待形成とは、ある変数(例えば物価)に関して、現時点で利用可能な情報(物価以外の情報も含む)をすべて利用して期待を形成すること。 まず、短期の期待インフレ率をみると、消費者態度指数とCPI(除く生鮮食品)から計測した家計の(短期)期待インフレ率は、CPI(除く生鮮食品)実績値に対して3四半期先行しており、直近(本稿では99/2Qまで推計)は前年比で依然プラスながら、プラス幅はごく小さなものとなってきている。また、短観製品価格判断DI(製造業)と国内WPI四半期ベースの前期比年率換算値から計測した企業の(短期)期待インフレ率は、国内WPI実績値に対して先行・遅行関係はなく(一致しており)、直近(同)は前期比(年率換算ベース)▲2〜3%と引き続きかなりのマイナスを続けている。 次に、残存期間3年の国債利回りと企業行動に関するアンケート調査報告書の向こう3年間実質期待成長率から計算した中期の期待インフレ率をみると、CPI(除く生鮮食品)実績値に対して1四半期先行しており、直近(同)は前年比ベースでトレンドとしては若干上向きとなっているものの、依然として小幅ながらマイナスとなっている。 (5) 企業や市場参加者が期待形成の主体となっている中期の期待インフレ率では、適応的な期待形成と合理的な期待形成の割合は半々となっており、(4)の大企業の期待形成パターンと似ている。 これを踏まえ、背景およびインプリケーションについて簡単に考察する。まず、企業と個人の期待形成の違い、すなわち、企業のほうが家計よりも適応的期待の割合が高い点については、企業の組織的な意思決定の性質が影響している可能性が指摘できる。つまり、家計は昔も今も「自由」に期待形成を行えるのに対し、企業の場合は組織としての意思決定を行う際、過去の趨勢に合わせて「保守的」な期待形成となりがちであるため、企業の方が適応的な期待形成の割合が高いと考えられる。実際、Roberts[1998]では、リヴィングストン・サーベイをベースとした職業エコノミストの期待形成の割合は約4割が適応的であるのに対し、ミシガン・サーベイをベースとした家計の期待形成の割合は3割弱が適応的であるとの結果を得ている。ここで、「職業エコノミスト」は企業人であると考えると、本稿の結果と整合的である。また、Batchelor and Dua[1989]やKeane and Runkle[1990]等の先行研究においても、定量的な割合比較は行っていないが、職業エコノミストの期待形成は適応的であり、家計の期待形成は合理的であるとの結果を得ている。 次に、企業規模別の期待形成の違い、すなわち、大企業のほうが中小企業よりも適応的な期待形成を行っている割合が高い点をみると、組織が巨大な大企業における意思決定は「保守的」な傾向が強く、経営者リーダーシップがより強く発揮されると考えられる中小企業は家計の「自由」な期待形成パターンに近いことを示しているものと思われる。 最後に、1983年以降の「物価安定期」における期待形成の比率をみると、家計は6割、企業も5割が合理的な期待形成を行っており、全体としてみれば過半数の経済主体が合理的な期待形成を行っている。仮に、このように、合理的な期待形成が優勢となっているとすれば、(1)人々の中央銀行への信認が十分であり、かつ(2)中央銀行自身が判断の誤りを犯さない限りにおいて、中央銀行は、現時点の経済環境に基づいたメッセージを適切に発信することによって現時点の人々の期待形成にリアルタイムに働きかけることが可能となる。この場合、中央銀行がメッセージを発信した時点の経済環境とその結果が発現してくる時点での経済環境の差異が小さいため、中央銀行が意図した通りの反応がより効率的に得られ、経済全体にとっても政策発動と効果顕現化のタイムラグに起因する社会的損失が少なくて済むと思われる。このような状況下では、中央銀行による適切な情報提供が政策効果を高めることにつながり得る。近年議論されている中央銀行の透明性とアカウンタビリティーの向上は、こうした観点からも重要と言えよう。 |
[ 20] インフレ期待の形成について
[引用サイト] http://www.boj.or.jp/type/ronbun/ron/wps/kako/cwp99j07.htm
|
「第6回 情報セキュリティ監査の重要性」では、情報セキュリティマネジメントの視点から、ISMS認証基準Ver2.0(案)やBS7799-2:2002で要求されている「情報セキュリティ監査」の重要性について紹介し、さらに、内部監査やマネジメントレビューといったプロセスにおけるポイントについて述べた。そこで、今回は、「情報セキュリティ監査制度」について紹介する。 情報セキュリティ監査を実施する際、組織内で監査員(内部監査員)を養成することは、技術面や情報セキュリティに関する知識の吸収が困難なため容易ではないことに前回触れた。 セキュリティ監査項目を立案し、行ったセキュリティ対策の正当性や有効性を客観的に評価し、セキュリティ上の不適合があれば、その個所に対して是正処置を計画していくことは容易なタスクではないからだ。 このような理由から、独立したかつセキュリティ分野に専門的知識を有する専門家が、客観的に組織のISMSの取り組みを評価するニーズが高まってきている。このニーズにこたえるべく、平成15年4月に情報セキュリティ監査制度を経済産業省が告示した。今回は、この制度の概要について説明する。 「情報セキュリティに係わるリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人(情報セキュリティ監査を行う主体)が独立かつ専門的な立場から、国際的にも整合性の取れた基準に従って検証または評価し、もって保証を与えあるいは助言を行う活動」 と定義し、その目的を「情報技術」(IT)に関連するいわゆる情報システムのセキュリティだけではなく、より広く「情報資産」(information また、「情報セキュリティ監査」を実施する際に準拠する基準(2つの基準、3つのガイドライン、2つのモデル)を大きく以下の3階層の構成に分けられるとし、発表した。 この表からも分かるように、本制度は、「情報セキュリティ管理基準」と「情報セキュリティ監査基準」の2つの基準を合わせていることが特徴であり、これらの概要は以下のとおりである。 各組織体が自らの管理基準等を規定する場合の拠り所であり、同時に「情報セキュリティ監査」の際には判断の尺度となる基準である。 本連載で数回にわたって説明したように、情報セキュリティに対しては組織的な取り組みが必要であり、日々目まぐるしく変わる脅威に対しては、“リスクアセスメント”を実施し、適切な管理策を選択する“リスクマネジメント”が必須である。 情報セキュリティ監査制度では、情報システムにかかわる設備などの強度だけでなく、該当する組織においての情報資産に対するリスクマネジメントが効果的に実施されているかを判断できるという点で、当該組織体からの期待も高まっている。これは、当該組織体において、情報産業に対するリスクアセスメントが実際に行われているかどうかを判断し、さらにそのリスクアセスメントの内容が適切なものであるかを判断するため、監査主体が当該組織体に対するリスクアセスメントを実施し、監査を行うことが要望されていることを意味する。 さて、当該組織体が期待している効果としては、次の3点が考えられる。これらは、本制度の定義にもあるように、情報セキュリティにかかわるリスクのマネジメントが効果的に行われているかをセキュリティ分野に専門的知識を有する専門家が検証または評価することからくる期待である。 「灯台下暗し」ということわざがあるように、身近のなことは細部まで行き届かないものである。ましてや、情報セキュリティに関しては、自身で判断するよりは専門家に見てもらうことで、至らぬ点が見えてくるものである。 例えば、昨年末に世界中にその猛威を振るった「SQLスラマー」ワームも、どちらかといえば、既知の脆弱性(セキュリティホール)を狙ったものであり、事前に専門家からアドバイスを受け、最新パッチを導入しておけば、あれほどの被害には至らなかった。情報セキュリティ監査によってこのような点が補完されれば、被害の拡大の防止につながるであろう。 情報セキュリティ監査制度では、「不備はなかった」ということを示す“保証型監査”と、「不備な点は、ここ」ということを指摘する“助言型監査”がある。監査結果で不備を指摘されるだけでなく、助言による改善のための指摘も受けることが可能である(助言型監査)。これにより、自らでは気付かなかった脆弱性に対して適切な助言を受けられることが期待される。 情報セキュリティ対策は、日々変化する脅威と技術に対応して、進化させる必要がある。また、情報セキュリティの事故の多くは組織内部の人的原因で発生するというのも事実である。従って、その組織内において情報セキュリティマネジメントを確立していくことが必要となる。情報セキュリティ監査は、この確立に対して的確な指摘を与えることが可能であると期待される。 情報セキュリティマネジメントの経験があまりない組織にとって、情報セキュリティマネジメントの実施状況がどのレベルにあるのかを自ら判断することは困難であると考えられる中で情報セキュリティ監査制度は、成熟モデルという枠組みを採用することにより、組織の情報セキュリティに対するマネジメントのレベルを測る仕組みを持つ。これにより、監査された組織は自組織のマネジメントレベルがどのレベルを満たしているのかを判断することができる(図1)。 そのほかにも「情報セキュリティ監査研究会 報告書」の中では、3つの成熟度モデルを紹介しているので参考にしてほしい。これは、単にレベルの判断に用いられるだけではなく、情報セキュリティマネジメントを構築し、レベルをアップさせていくことに非常に有用な仕組みでもあることが期待される。 図1 情報セキュリティ監査の実施により、情報セキュリティ対策のレベルが向上する(経済産業省 情報セキュリティ監査を受け、その結果を第三者(取引の相手方や国民など)に示すことで、その組織体が、適切な情報セキュリティ対策を行っているとの信頼を獲得することが可能になると期待される。 特に、国家においては、電子政府の本格的な運用に当たり、個人情報や企業情報などの保護に関する問題が指摘されている。情報漏えい事件が多発する現代社会において、国民からの不安感を払しょくすべく、情報セキュリティに対する取り組み姿勢を見直すことが急務であるとされている。そうした中、当該組織体にとって、この制度を利用することで部分的にも情報セキュリティに対する何らかの取り組みに対して「お墨付き」が付与されることで、第三者からの信頼を獲得できるとの期待もある。 これに対し、第三者にとっては、監査主体と当該組織体との独立性および監査主体の専門性が気になるわけだが、本制度では、基本的には、監査主体が当該組織体の監査対象範囲に対して独立性を証明し、当該組織体がそれを了承する流れになるが、「情報セキュリティ監査研究会報告書」において、モデルとして、電子政府の「情報セキュリティ監査」を行う外部の第三者である主体は、現在または過去において、当該組織体(***省)における当該監査対象となる情報システム(関連業務を含む)および、情報セキュリティのマネジメントやマネジメントにおけるコントロール(関連業務を含む)の企画、開発、運用、保守にかかわる業務を行ったことがないことを証明することが適当である、としている。また、監査主体側には、高い専門性が求められており、監査責任者は、システム監査技術者、情報セキュリティアドミニストレータ、ISMS主任審査員/審査員、公認システム監査員、公認情報システム監査人(CISA)のいずれかの資格を有す必要がある。 上記のメリットは、民間市場においては大企業から中小企業まで、また政府関係市場においては、中央省庁から都道府県、市町村までであり、幅広く考えられる。 次に、情報セキュリティ監査はISMS適合性評価制度とどんな関係にあるのだろうか? ISMSの認証基準においては、組織に対して、図2のような情報セキュリティに関するマネジメントシステムの構築を要求している。 図1に示したとおり、情報セキュリティ監査制度は、情報セキュリティ監査を実施することによって、組織の情報セキュリティ対策のレベルが向上し、結果的にISMS認証取得レベルにまで到達するような仕組みとなっている。 本制度は、情報セキュリティ管理基準の項目の一部のみの監査を受けることも可能である。例えば、技術的な部分について、客観的に評価をしてもらいたいと思えば、「アクセス制御」の部分についてのみ、重点的に監査を受けることも可能である。またこれらの積み重ねでISMS準拠性監査を行い、ある段階でISMS認証を取得するといったことも考えられる。 従って、情報セキュリティ監査の普及は、ISMS認証取得組織体のすそ野を広げ、結果として認証取得組織体も増加していく相乗効果を生むものと期待される。 冒頭で本制度は、2つの基準で構成されていると述べた。ここでは、そのうちの情報セキュリティ管理基準について説明する。情報セキュリティ管理基準は、以下の特徴を有す基準である。 また、国際的な整合を図ることが望ましいことから、JIS X 5080:2002(情報技術−情報セキュリティマネジメントの実践のための規範)を基に策定された。加えて、ISMS適合性評価制度の認証基準も、JIS X 5080:2002を参照して策定されていることから、情報セキュリティ監査とISMS適合性評価制度の判断の尺度は、整合が図られることとなる。 「JIS X 5080:2002の管理策(コントロール)」において、管理すべき内容が複数ある場合はそれを細分化する。 「JIS X 5080:2002の管理策(コントロール)のガイダンス」の内容を項目化し、内容に応じて上記のコントロールごとに振り分けする。 2)基本方針には、定められた見直し手続に従って基本方針の維持および見直しに責任を持つ者が存在すること 1)見直し手続によって、当初のリスクアセスメントの基礎事項に影響を及ぼす変化(例えば、重大なセキュリティの事件・事故、新しい脆弱性、または組織基盤もしくは技術基盤の変化)に対応して確実に見直しを実施すること 2)記録されたセキュリティの事件・事故の性質、回数および影響によって示される、基本方針の有効性について、日程を定め、定期的に見直しを実施すること 3)事業効率における管理策の費用および影響について、日程を定め、定期的に見直しを実施すること 4)技術変更による効果について、日程を定め、定期的に見直しを実施すること すなわち上記の例(表1)のように、情報セキュリティ管理基準は、JIS X5080:2002を利用しやすいように細分化したものにすぎない。 従って、この情報セキュリティ管理基準は、すべてのケースにおいて網羅的に利用するものではなく、あくまでも個別組織体の管理基準(監査項目)を策定するに当たっての参照元であるにすぎない。組織に合った管理基準(監査項目)を策定する必要があり、策定のためのガイドが、「個別管理基準(監査項目)策定ガイドライン」である。 このガイドラインは、情報セキュリティ管理基準に従って、組織体ごとに具体的な管理基準(以下、「個別管理基準」)を策定する際の手順について示したものである。情報セキュリティ管理基準を各組織体の実情に見合ったものとする際のガイドラインであるから、情報セキュリティ監査において監査人が監査項目(「監査要点」ともいう)を選択する際のガイドラインとしても有用なものである。 といったステップを踏むことを推奨している。この際、上記1から7の手順は、組織体の情報資産の洗い出しとリスクアセスメントに基づいて行わなければならない。 個別管理基準(監査項目)を策定するに当たって、情報セキュリティ管理基準を参照し、当該組織にとって必要とされる項目を抽出する。 項目の抽出後、項目中の文言を当該組織にとって適切な表現に修正を行う。また、必要に応じて、項目を分割または、統合を図る。 それぞれの作業の後には、監査人への説明、あるいは後任の担当者への引き継ぎのため、修正理由を記述しておくこと。 情報セキュリティ管理基準から項目を抽出した後、当該組織体にとって必要と考えられる項目を追加する。特に、個別管理基準(監査項目)の適用範囲内において非常に重要な情報資産が存在し、脅威の発生頻度が高く、発生し得る被害が大きなものとなる場合、通常の情報セキュリティ対策に加えて、厳重な対策を追加することが想定される。 項目を追加する際は、ほかの項目における表現の抽象度を参照しつつ、表現を検討し、対策の詳細については、技術的検証項目(後述)、実施手順書などに記述するなど、適切な表現での項目を追加する。 個別管理基準(監査項目)の策定以前に組織内規定が存在し、情報セキュリティ管理基準の中には記述されていない組織内規定の項目について、個別管理基準(監査項目)に追加または、その組織内規定との関連が理解できるように記述する。 組織内規定と個別管理基準(監査項目)との整合を図り、両者に矛盾が生じないようにそれぞれを修正する。 法令の順守については、当然であり、情報セキュリティ管理基準の中にも記述されているが、その内容について個別管理基準(監査項目)に記述されることによって、情報セキュリティ関連の規定を整理することが可能となる。 TR13335(GMITS)など情報セキュリティ管理を行ううえで参考になる基準が存在する。これらを適宜参照して、適切なコントロールの下位にサブコントロールとして項目を追加あるいは、修正を行う。 これまでに当該組織が利用してきたセルフチェックリスト、当該組織が属する業種において利用されている基準を追加・修正する。 個別管理基準(監査項目)においては、当該組織が必ず順守すべき必須項目とともに、可能であれば実行すべき項目が存在する。そのような項目に対して、それぞれ「○」、「△」を付し、「必須項目」と「推奨項目」の区別を行うことによって、経済的で効率のよい情報セキュリティ対策を行うことが可能となる。 追加・修正すべき項目の中には、技術的に高度な内容のため、個別管理基準として記述することが、適当でない場合がある。特にIT製品のシステムの設定を行うといった専門的で、技術的に高度なコントロールの場合には、サブコントロールとは別途、技術的検証項目として策定することが適当である。技術的な設定・手続きについて、それぞれのサブコントロールの下位に、技術的な検証項目を策定しておくことが適当である。 また、このような技術的コントロールは陳腐化が激しい場合があり、サブコントロール以上の項目とは別に、比較的頻繁にメンテナンスを行っていく必要がある。 このようなステップを踏んで、電子政府における一般的な庁内ネットワークシステムを想定して、策定されたものが、「電子政府情報セキュリティ管理基準モデル(庁内ネットワークシステム)」である。 この電子政府情報セキュリティ管理基準モデル(庁内ネットワークシステム)は、情報セキュリティ管理基準を基礎として、電子政府用の主体別・業種別管理基準として利用可能なモデルを提示することを目的としている。 2)基本方針には、定められた見直し手続に従って基本方針の維持および見直しに責任を持つ者が存在すること 1)見直し手続によって、当初のリスクアセスメントの基礎事項に影響を及ぼす変化(例えば、重大なセキュリティの事件・事故、新しい脆弱性、または組織基盤もしくは技術基盤の変化)に対応して確実に見直しを実施すること 2)記録されたセキュリティの事件・事故の性質、回数および影響によって示される、基本方針の有効性について、日程を定め、定期的に見直しを実施すること 2)情報セキュリティに関する事件、事故があった場合、当該事件、事故の影響を勘案し、情報セキュリティポリシーの有効性について定期的に見直しを実施すること 3)事業効率における管理策の費用および影響について、日程を定め、定期的に見直しを実施すること 3)情報セキュリティ対策に関する費用対効果について定期的に見直しを実施すること 4)技術変更による効果について、日程を定め、定期的に見直しを実施すること 上記の例(表2)は、電子政府情報セキュリティ管理基準モデル(庁内ネットワークシステム)を想定して策定されたものだが、組織において、リスクアセスメントを基に、各組織がこのような監査項目を策定し、自分の組織に合った内容で監査していく必要がある。 政府では、各業界別にこのような業種別管理基準が策定されることを期待している。これには、業界内でアライアンスなどを設置し、管理基準を検討する仕組みが不可欠になるであろう。 株式会社アズジェント セキュリティポリシー事業部 取締役事業部長、ISMS適合性評価制度技術専門部会委員副主査、英国BSi 副部会長。2003年4月より立教大学大学院ビジネスデザイン研究科非常勤講師。 トータルセキュリティソリューションプロバイダ。ファイアウォールなどセキュリティ商品提供を始め、コンサルティングや各種トレーニングを開催している。 トラブルシューティングはCentOS 5におまかせ (2007/11/15) リリースから半年が過ぎたCentOS 5、もう使っていますか? これにはSELinuxの運用をもっと楽にしてくれる便利なツールが追加されています ヘルスチェックしてる? 怠ってはならないDNSのケア (2007/11/9) DNSやDHCP、安定稼働しているからといって放っていたりしませんか? ネットワークを支える要となるサービスにもう一度注目しよう 脆弱なホストを狙った不正中継を見抜く (2007/11/7) 攻撃者は設定ミスや脆弱性を残しているマシンへどのように攻撃してくるのか? 踏み台にされないために、その見抜きかたを知っておこう 不正を見破り、紙・メール・ファイル状況変化“なし” (2007/11/6) 「守る」という意味が日々変化するセキュリティの世界。あらゆるデータの不正を許さない環境を実現するために、製品も日々進化します ホワイトペーパー利用者に「Amazonギフト券」を抽選で100名様にプレゼント!――TechTargetジャパン リニューアル・キャンペーン @ITトップ|Security&Trustフォーラム トップ|会議室|利用規約|プライバシーポリシー|サイトマップ |
[ 21] @IT:期待が高まる「情報セキュリティ監査制度」
[引用サイト] http://www.atmarkit.co.jp/fsecurity/rensai/guide07/guide01.html
|
誰だって期待されればそれに応えようとするものだ。しかし、「部下不在」「達成不可能」な目標は、部下を困惑させるだけ。あなたの期待を部下のやる気につなげるにはどうすればよいのだろうか。 部下にベストを期待すれば部下はベストを返してくれる──スターリング研究所の創設者、J・スターリング・リビングストンが1969年に「ハーバード・ビジネス・レビュー」誌に発表した独創的な論文「ピグマリオン・マネジメント(マネジャーの期待と信頼が部下を育てる)」で取り上げたこの現象は、実に理にかなっているように思える。逆に、部下にあまり期待しなければ部下は貧弱なパフォーマンスしか返してくれない。INSEAD(欧州経営大学院)教授、ジャン=フランソワ・マンゾーニとジャン=ルイ・バルソーは、これを「失敗確実症候群(set-up-to-fail syndrome)」と名づけている。 だが、高い期待を設定して、部下にそれを告げるだけで仕事をしたと思っているマネジャー、つまり期待設定のプロセスに部下を参加させないマネジャーは、あまり期待しないマネジャーと同じく、貧弱な成果しか得られない。パフォーマンスについての期待を部下に首尾よく達成させるためには、上司は次の4点を実行する必要がある。 多くのマネジャーが、期待を設定する際に決定的に重要な第一歩──自分が提案した期待に部下が同意するか否かを見きわめること──をしていない、とインシード・グループのコンサルタント、リンダ・フィンクルは言う。人間は自分が参加して決めた目標に対しては、より熱心に取り組むし、その目標を達成できるという自信をより強く持つ。その結果、より高いパフォーマンスが生まれる。 人材派遣会社、コムフォースの副社長、ボブ・セネターは、次のような言葉で期待設定への社員の参加を奨励している。「われわれは一緒にこれを達成できると私は思っている。君はどう思うかね」。彼と部下のマネジャーたちは話し合いによって期待を設定し、そのマネジャーたちもまた、各自の部下と同様にして期待を設定する。上司と部下の各ペアは、それから進捗度を測定するための基準を設ける。 コムフォースのアプローチでは「部下は設定された期待をより意味のあるものに感じるし、自分が期待を達成できそうにないときは、それをより敏感に自覚できる」と、セネターは言う。とはいえ、「それぞれの社員が期待を見事に達成したとしても、会社全体としては収益などの目標を達成できないということがある。会社の成功を確実にするために、われわれはときとして期待の調整を要求しなければならない」。 期待設定のプロセスにどれほど積極的に参加しようと、自分に期待されていることを具体的に理解していなければ部下は十分なパフォーマンスを示さない。 期待をあまり細かく表現すると限られた反応しか得られないおそれがあるとして、さほど具体的でなくても明確に示すことは可能だと主張する企業幹部もいる。 だが、期待が明確なだけでは不十分だ。設定された目標は、部下本人が現実的で達成可能だと感じるものでなくてはならない。イギリスのランカスター大学マネジメント・スクールの組織心理学教授、ゲイリー・L・クーパーは次のように語る。「期待とパフォーマンスの相関関係はベル型の曲線を描く。高い期待はパフォーマンスの向上につながるが、期待が非現実的なほど高くなると、それは過大な負担やストレスを生み、パフォーマンスの低下を招く。それでも多くの幹部マネジャーが、ますます高い目標や業績を設定して、部下を絶えず駆り立てるべきだと思い込んでいる」。 「目標は難しいものであるべきだが、部下本人が不可能だと感じて拒絶するほど難しいものであってはならない」と、フィラデルフィアのラサール大学で人的資源管理を教えているジェイムズ・スミザーは言う。努力すれば目標を達成できると感じられること──スミザーが「自己効力感」と呼ぶもの──が大切なのだ。自己効力感が高ければ、人はより難しい目標を設定する。スミザーによれば、マネジャーは次のことを実行することで部下の自己効力感を高めることができる。 ●大きな仕事を小さな要素に分解して、それを一度に一つずつ与えることで、「小さな勝利」を重ねさせる。 ●高いスキルを持つ他の社員が望ましい行動──数量化できる仕事の遂行であれ、そうではない対人スキルの行使であれ──の見本を示すのを観察させる。 ●批判に焦点をあてるのではなく、部下に対する信頼を表明する。もしくは、設定された期待を達成することに部下がすでに自信を持っているという前提でものを言う。 適切な期待を設定したら、マネジャーは次に、フィードバック、訓練、励ましなど、部下の目標達成を手助けする手段に目を向けるべきだ。 フィードバックと訓練は、マネジャーがそれに励ましを加えればさらに大きな効果を発揮する。ビジネス・コーチのジュリエット・ファントはこう指摘する。「『君に○○をしてもらいたい』と言うマネジャーと、『私は君に○○ができることを知っている』と言うマネジャーの間には、とてつもなく大きな開きがある。マネジャーは絶えず高いパフォーマンスを認識し、評価し、それに対する感謝を表明しなければならない」。 ただし、「賛辞の伝え方は相手に合わせて変える必要がある」と、コンサルタントのベン・レイクトリングは言う。「どのような形でほめられたいと思うかは人によって異なる。公の場で、口頭でほめられたいと思う人もいれば、手書きの手紙か何かで親しみを込めてほめてほしいと思う人もいる」。 同様に、批判に対する反応も人によって異なる。「部下が期待の達成に向けて邁進している間は、最高のパフォーマンスを期待していると伝え続けよう。部下が期待を達成するのに四苦八苦しているときは、どうすれば各人が最も力を発揮できるかによって各人へのアプローチを調整しよう。ショックを与え、落胆や批判を伝えたほうがよい反応を示す人もいれば、一歩ずつ成功を重ねていく手助けをしたほうがよい働きを見せる人もいる」。 期待の設定・達成のこの最後の要素、部下のモチベーションを掻き立てることは、マネジャーにとってえてして最も難しい。しかしこれは、高いパフォーマンスを引き出すための最も重要な要素になることがある。 「人間は、そうすることが自分にとって利益になると思えば期待を達成しようという意欲を起こす。他人から指示されたからといってやる気になるものではない」と、ヒューストン大学の経営学教授、カート・テュフェールは言う。 「マネジャーは、それぞれの部下が何によって最も意欲を掻き立てられるかを、彼らと話し合いながら見きわめなくてはいけない。それは競争なのか、職場での親密な人間関係を築くチャンスなのか、それとも何か他の見返りなのかをね」 経営コンサルタントのロバート・キャノンは、モチベーションを別の角度からとらえている。「ほとんどのマネジャーが世界を問題の観点からとらえて、否定的な言葉を口にする。しかし、『問題がある』と言われて気分が高揚する人間はいない」。キャノンは、クライアントが肯定分析計画法(appreciative inquiry)を用いて期待を前向きな言葉で表現するのを手助けしている。「肯定分析計画法によって、マネジャーと部下は、何がうまくいっているかということや、利用できる資産として何があるかを明確にすることができる。そして、考えられる望ましい将来像を描き出し、それを実現するための実行可能な方策を考えて、実行する。マネジャーは部下にやり方を指示するのではなく、肯定分析計画法を使って、それをすることがなぜ重要なのかを説明するわけだ。 『やり方』は部下に任せよう。そうすれば部下は設定された期待により納得し、より主体的にそれに取り組んでくれる」。 |
[ 22] Image
[引用サイト] http://www.president.co.jp/pre/20040705/004.html
