こんにちは、長橋です。
ワークスモバイルジャパンでカスタマーエクスペリエンスを担当しています。
普段はLINE WORKSの導入事例の取材という形でLINE WORKSを導入していただいたお客様にお話をうかがい、ストーリーを世の中に発信するという仕事をしています。
さて今回は、情報システム部門の担当者を悩ませる「シャドーIT」について考えてみたいと思います。この「シャドーIT」という問題、LINE WORKSの導入前の課題として、取材の際にほぼ必ずと言っていいほど挙がるポイントの一つとなっています。
「シャドーIT」とは?
会社やシステム担当部門の承認を得ずに、個人やグループ単位で、会社が指定していないツールを利用してしまうことを指します。近年、気軽に低価格で利用できるクラウドサービスの普及や、個人向けのアプリやチャットツールの普及により、従業員が業務に関わる情報のやり取りに、会社の承認を得ずに外部のサービスを利用してしまうことが増えています。
最近ではプライベートで使っているLINEで、同僚や、場合によっては取引先、お客様とやり取りを連絡を行うケースも増えています。個人で使うツールを業務で使ってしまうことで、社外への誤送信や、スマホの紛失・盗難による誤送信、情報の持ち出しなど、シャドーITを放置することはセキュリティやコンプライアンスの観点で様々なリスクを抱えることになります。
と、言われているのですが・・・
実は私、個人的にはこの「シャドーIT」という言葉が、あまり好きではありません。(あくまでも個人の主観の話ですよ!)確かに、セキュリティの観点ではリスクがありますし、企業の情報システム担当者の方にとっての悩みの種となっているのも理解できるのですが・・・
なんかすごく、「管理目線」な言葉なんですよね。当たり前なんですが。
実際に現場で使ってしまっている方にとっては、必要だからやむなく使っていたり、他に手段がなかったり、良くないことはわかっているけど目の前のお客さんの要望を断りきれないとかで使っていることが大半なんです。そこに「会社に黙って悪いことをしてやろう」とか「情報システム部門が憎いから抵抗しよう」なんて子供みたいなことを考えている人は、おそらくほとんどいません。当然ですけど。
現場にとっては「目の前のお客様の要望にすぐに答えなければいけない」「電車に乗っている間に、急ぎの件を同僚に伝えたい」「スタッフ一人一人に確実に連絡事項を伝えたい」などの課題が目の前にあって、それを会社の公式のツールでは解決できないから、やむなく個人のツールを使っている(本当はあまり使いたくないけど)ということなんです。
ところが、この事象を管理部門(情報システム部門や総務部門など)が見ると、「禁止している個人のツールが使われてしまっている。セキュリティリスクの問題があるからなんとかしなくてはいけない」ということになり、シャドーITを禁止し、排除しようという動きになってしまうんですね。
シャドーITは「氷山の一角」
シャドーITというのは、この氷山の一角のように、ある事象を情報システム部門が見た時の見え方であると私は考えています。水面下で現場の課題があるにも関わらず、表面上にはセキュリティ上のリスクとしか見えていないわけですね。
そうなると、どうなるか。システム投資のROIを厳しく見られるようになっている最近では、「セキュリティ対策」だけではなかなか予算がつかないのが実状です。となるとできるのは、ひたすら使用を禁止することだけになってしまいます。予算がつくきっかけとなるのは、「何かあった時」=実際に情報漏洩などの事故が起きてしまってから、となってしまっては遅いですよね。
シャドーITには現場のニーズが隠れている
むしろオススメしたいのは、シャドーITには現場のニーズが隠れていると考え、それを利用してポジティブなITツールの導入を行うという方法です。例えば、すでにシャドーITとして利用されているものがあるのであれば、それをそのまま会社のオフィシャルのツールとして導入するというのは一つの解決策です。導入の理由を「セキュリティ対策」だけでなく、社員の業務効率を上げ、顧客満足度を上げることに広げてみると、ROIとしてはただの「セキュリティ対策」よりも、もっと業務サイドに近い、付加価値の高いものになります。
まさにこの「逆転の発想」を実施されている事例をご紹介しましょう。
「現在の状況でシャドーITを防ぐことは、ほぼ不可能だと考えています。ですが企業としては、そのリスクを限りなくゼロに近づけるために努力しなければなりません。そのためにもっとも有効な手段は会社側が使いやすいシステムを提供すること、これに尽きると思います」
「現在では、ほとんどの社員がLINEを使い慣れています。であるのなら、いっそ我々の側でLINEと同じシステムを提供してしまえばいい。そうすれば、自然とシャドーITの利用も減り、セキュリティリスクを抑えることにも繋がるはずです。かつてのようにPCベースのツールだけで完結していた時代であれば、IT部門が指定するツールを社員に使わせることも可能だったが、モバイル中心の現在は、もはやそのようなやり方は通用しなくなった」
(出典:マイナビニュース「時代に合ったツールの利用で社内コミュニケーションを活性化 – ガリバーの挑戦」)
従来、「管理部門の悩みのタネ」という厄介者として扱われがちなシャドーITですが、見方を変えれば、そこにこそ解決すべき現場の課題やニーズが隠れています。禁止の一択ではなく、実際にどう使われているのか、なぜ使われているのかを調査することで、会社が解決すべき課題を正しく認識し、より付加価値の高いIT活用ができるのではないでしょうか。
というわけで、ぜひ管理部門の方には「シャドーIT」と「現場の課題」を別物として捉えず、むしろ逆転の発想でポジティブに解決していただきたい!と思います。
- ※ 本掲載記事の内容は投稿当時の情報となり、2022年4月1日に改定された新料金プランとは一部異なる内容を含む場合があります。