私がCISO(情報セキュリティ責任者)になってISMSを導入してから7年経ちますが、ISMS導入はとても大変なことで、中には体を壊してしまったり、ストレスや過労で精神的にダメージを受けてしまう方もいらっしゃると思います。
CISOの役割を持っているんだ!責任感があり忍耐力もあるぞ!
そんなことではへこたれない!
こんな方も多いとは思いますがCISOとはいえ会社のイチ従業員です。
自分の体や家庭を犠牲にしてまで遂行しなければならない業務ではありません。
情報セキュリティ担当をしているが
「会社に行くのがツラい。」
「仕事をするのがツラい」
「上司や経営者からのプレッシャーがツラい。」
「もう仕事を辞めてしまいたい。」
そんな方へ向けて私からメッセージです。
私の経験(CISOになるきっかけ)
まずは、私がCISOになったきっかけからお話したいと思います。
~とある日のこと~
今度うちの会社もISMSを取ろうと思ってるんだけど、コンピューター関連だからSEチームの若いやつにやってもらえばいいだろう。
A君でいいかね?
社長がおっしゃるのであれば、良いと思いますよ。
と、こんな感じで当初の計画では私ではないA君にCISOが回ってくる予定でした。
そのときの私はいつまでも役職の上がらない自分に嫌気がさし、会社のためにいろいろ尽くし(たつもりで)
「早く昇給したい!」
「早く昇進したい!」
という気持ちでいっぱいでした。
今回のISMSの導入はこんな考えをしていた私に渡りに船、噂を嗅ぎつけた私はすぐ上司に声をかけました。
今回のISMS担当ですが是非私にやらせて下さい!
資産管理ソフトや、その他セキュリティシステムの導入に携わってきました。
A君より私の方が情報セキュリティ担当に向いていると思います!
いや、必ず成功させます!
結果、私が情報セキュリティ責任者としてISMSの導入をすることになったのですが、CISOになったからといっても昇給もせず、昇進することもありませんでした。
CISOや情報セキュリティに関係なくこの辺りから会社の評価制度や自分の立ち位置に対して不満を持っていたのかもしれません。
CISOのという地位の代償となったもの
CISOという地位を得た代償になったものがこちらです。
- ストレスによる過食に伴う体重増
- 体重増に伴う健康診断結果の悪化
- それに伴う心臓病(狭心症)の発症
- 狭心症を治療するために心臓へのステント(5cm×3)本
CISOと引き換えに得たものはマイナスのことばかりでした。
狭心症を発症したのはまだ30代、総合病院の先生からは
「30代で心臓病になるわけがないから、気のせいだ」
と言われ
年始のお休みの時にに狭心症の発作がおき、病院の救急窓口に行った時に診てもらった若い先生からからは
「で?どうしたいんですか?別に悪いところはないけど入院でもしたいんですか?」
と言われるなど、散々な仕打ちを受けました。
情報セキュリティ担当者新任CISOに伝えたいこと
この記事でなにが言いたいのかというと
CISOの仕事は自分の体をや家庭を犠牲にしてまでやることではない。
ということです。
昔から私は自分が一番で、何に対しても自分が物事の中心にいないと気が済まない、という結構捻くれた性格でした。
そんな性格が災いし、ISMS運用中に発生するトラブルに対して過度なストレスを抱え、その結果身体の不調を引き起こしてしまったのでしょう。
ISMS導入中に思っていたことは
- 私が情報セキュリティのトップなのに、なんでみんないうことを聞いてくれないんだ!
- なんで上司はいちいち文句をつけてくるんだ!
- このくらい私じゃなくて他のメンバーがやってくれよ!
など、メンバーや関係者へ感謝もせず、こんなことを考えているようではストレスで身体を壊してしまうのも当たり前のことでした。
その中でも一番のストレスになってしまったのは、特定の上司で
- ISMSの制度自体にクレーム
- 会社がISMSを導入することについてクレーム
- 細かい制度やルールについてクレーム
- 上司の役割を果たさない
ISMSの話をするたびに自分ではどうにもならないクレームをつけられて、相手を納得させることができずどんどんストレスが溜まる、そして再度説明に行くとまたクレームが増える。
そんな悪循環に陥ってしまいました。
今となっては、適当な所であしらっても問題なかったと思うのですが、その時は
「なんとかしなければいけない!ISMSを導入するにはこれを乗り越えなければいけない!」
と思い込んでしまい、全てのクレームを真正面から受けてしまっていたのです。
仕事でうまくいかないときはプライベートにも影響してしまい、家族に対してきつく当たったり、つまらないことで喧嘩をしてしまったりと、散々なことになっていました。
心の安定を得るために私がやったこと
心臓病になり私は入院中に考えました。
「このままこの仕事を続けられるのだろうか?」
「このまま同じようなことをしていたら本当に死んでしまう。」
復帰後にCISOとして仕事をしていくためには何をすれば良いのだろうか?
その結果この3つを実施することにしました。
- 過度な責任を負うことをやめる。
- 他人を変えることをあきらめる。
- 仕事の負担を減らすための対策をする。
過度な責任を負うことをやめる
情報セキュリティの運用がうまくいかないのはCISOである私の責任だ、何がなんでも私が回していけなければならない。
と過度は責任を負うことをやめました。
実際何をしたかというと
管理することに重点を置き、実際のシステムの構築や細かい対応をシステム管理者に投げた。
です。
今までは、端末の管理や機器の棚卸し、セキュリティソフトの設定を私がしていたのですが、このタイミングで運用を他のや員にお願いしました。
対応が必要な場合は私がシステム管理者に依頼して実際の対応はシステム管理者が実施する。という流れです。
システム管理者のリソースが不足する恐れがあったので、このタイミングでシステム管理者のメンバーを増やし運用に支障がないように仕組みを変えました。
CISOもシステム管理者も通常業務と並行してシステム管理業務を行っているので通常業務に影響を出すわけにはいきません。
社内の業務で手いっぱいになってしまい、実際のお金を稼ぐ時間がなくなった。となっては本末転倒です。
他人を変えることをあきらめる
他人を変えることはできません。
人を変える努力をするくらいなら自分が変わりましょう。
この相手を変えたい、と思うことは自分のエゴが大きく、他の人から見たら「お前も変われよ」と思われているかもしれません。
相手から「自分の意思にそぐわないから、おまえの性格を変えてくれ」と言われたらあなたは変わりますか?
性格を変えることはできなくても、相手の動きに合わせてある程度コントロールすることはできます。
「この状況になったら相手はこうリアクションしてくる。」
ということをあらかじめシミュレーションしておきましょう。
相手の個性が強い(めんどくさい)人ほど行動パターンが決まっているので、注意深く観察をしていればすぐにわかると思います。
パターンがわかっていればそれに対応する行動をとるだけでいいので、ストレスフリーな取り扱いができます。
私の実体験をもとにパターン別の対応方法をまとめた記事がありますので、そちらもご覧ください。
この記事で実践してきたことは私の心の負担を大きく減らしてくれました。
記事内で触れなかったのですいてもいなくても影響はないけど、ただめんどくさい人も存在します。
特別な対応は必要ではないけれども、運用を進めていくにあたって関係者にストレスを与える人のことです。
このパターンでは可能な限り接点を減らしていきましょう。
特別に教育をする必要がなければ問題を起こさない限り放置する。どうにかしようと思ってもどうにもなりません。
ハラスメントの型にはまらないので対応がとても困難です。
情報セキュリティに関わる仕事をお願いしない、監査の際には外出してもらう、インシデントにならない問題は観測だけして放置。
人の性格を変えようとすると、ものすごいストレスになります。
きっぱり諦めてストレスフリーに仕事を進めていきましょう。
仕事の負担を減らすための対策をする
会社の情報セキュリティを運用するためには自分の力だけでどうにかできるものではありません。
少し前に記述しましたが私はセキュリティシステムの構築や運用をシステム管理者にお願いしました。
各部門に毎年お願いしていた情報セキュリティ目標を簡単かつ効率よく運用できるように変更するなど、自分に負担がかからないように仕組みの変更をしてきました。
また、チーム内に問題となるメンバーがいたら交代をおすすめします。
問題となる社員は
- 会議や打ち合わせのたびに思いつきで問題提起をしてくる。
- 与えられた仕事を期限内に遂行できない。
- 常に上から目線で話をしてくるが、責任を負うことはしない。
こんなひとたまにいますよね?
問題のあるメンバーがいると組織の士気を下げてしまいます、人の扱いは難しいところもありますが、自分と組織を守るためにもスパッと切ってしまいましょう。
どうにもならなかったら?
私の場合は会社やメンバーに理解があったため、上記の対応で問題を解決することができました。
ただし、手に負えないレベルのハラスメントをしてくる上司がいたり、会社でCISOから仕事を割り振れる社員がいなかったり、上司がそれを認めなかったりと。
自分1人の力だけではどうにもならない事態になることもあると思います。
CISOを降りる
そんな時は我慢して体を壊したり家庭内の不和を招いたりする前に、CISOから降りてしまいましょう。
CISOだから何としてもやらなければならない、これができなければ社会人失格だ。なんて思わなくてもいいんです。
経営者に荷が重いと伝えて後任を指名してもらいましょう、引き継ぎが終わればあなたのCISOとしての役割は終わります。
あとは後任のCISOの良きアドバイザーとして仕事をしていきましょう。
会社を辞める
ないとは思いますが、CISOを降りることを許されず、引き続きハラスメントが続きような場合は最悪の事態を招く前に会社を辞めてしまいましょう。
情報セキュリティ分野はいまだに需要に供給が足りていません。
情報セキュリティ責任者(管理者)の転職は年収300万〜1200万と幅広いですが常に求人がある業種です。
転職の条件に実務経験が必要な場合もありますが、CISOを務めていたあなたであれば条件は満たしていますよね。
今の会社でストレスに潰される前に新しい会社でお仕事をしてみるのも選択肢の一つとして考えましょう。
キャリア転職にお勧めリクルートエージェント
転職ならdoda
IT・Webエンジニア転職サービス
退職に壁があるなら退職代行をつかうのも一つの手段です。
まとめ
今回は私の実体験をもとにこれから情報セキュリティに関わりCISOを目指している方と
現在CISO、情報セキュリティ管理者、情報セキュリティ担当を務めていて「仕事が辛い」「仕事が大変だ」と思っている方に向けてのメッセージです。
私は我慢しすぎた結果体を壊してしまいましたが、考え方をほんの少し変えるだけでストレスが軽減されます。
- 過度の責任を負うのをやめる
- 他人を変えることをあきらめる
- 仕事の負担を軽減するための対策をおこなう
皆さんはストレスで体や精神を壊してしまう前に、しっかり対策をとりましょう。
「対策が取れない」「もう無理だ」となっている場合はこれ以上頑張らずにその場から降りる。
時には逃げることも大事です。
頑張ることは大事ですが、まずは自分の体そして自分の家庭を一番に考えましょう。
他にも情報セキュリティ担当者目線で書いた仕事術があります。ぜひご覧ください。
コメント