「それ、まだ早いですよ」とAIは言った
セキュリティ認証はまだ要らない。損得で言えばAIが正しかった。それでも私たちは土台だけ先に作った。製造業で叩き込まれた「記録は遡れない」という一点のために。
「まだ早いですよ」と返ってきた
会社を立ち上げてすぐ、私はAIに相談しました。「顧客に安心を届けるために、うちは何をしておくべきか」と。
返ってきた答えは、拍子抜けするほど現実的でした。ISO27001もプライバシーマークも、売上が立ってからでいい。今は契約書とプライバシーポリシーとNDAで十分。認証取得は、その先の話です、と。
損得で考えれば、これは完全に正しい。認証には手間も金もかかります。立ち上げたばかりの会社が最初にやることではない。数字だけを見れば、後回しが合理的です。
引っかかったのは、製造業の記憶だった
私は前職まで、化粧品メーカーで品質管理をやっていました。GMPという製造の規範の中で、十四年かけて体に叩き込まれた考え方があります。
「記録がなければ、やっていないのと同じ」。
現場ではこれが絶対でした。どれだけ丁寧に作業しても、その記録が残っていなければ、審査では「やっていない」と見なされる。逆に言えば、正しくやったことを証明できるのは記録だけなんです。
そして、ここが肝心なところです。規程は、後から書ける。でも運用の記録は、遡って作れない。
認証の審査で見られるのは、突き詰めれば二つです。ルールがあるか。そのルール通りに動いた記録があるか。ルールを書く作業は、取得を決めた直前でも間に合います。けれど「半年前から、こう運用してきました」という記録は、半年前に戻って作ることができない。
損得のAIと、時間の製造業
ここで私の中に、二つの声が並びました。
ひとつは、AIが示した損得の声。今やる必要はない、リソースを使うところが違う、という合理。
もうひとつは、製造業が教えた時間の声。今日記録を始めなければ、その一日は永遠に取り戻せない、という別の合理。
どちらも正しい。矛盾しているように見えて、実は見ている軸が違うだけでした。AIは「今、認証を取るべきか」を見ていた。私が本当に気にしていたのは「認証を取れる自分でい続けられるか」だった。
だから、結論はこうなりました。
やったことは地味です。誰がどのデータにアクセスできるかの台帳。顧客の個人情報を何のために持っているかの台帳。端末の管理、もしもの時の対応手順、年一回の教育の記録。全部スプレッドシート数枚で足りる、半日で枠が作れる程度のものです。
派手さはありません。でも、この数枚が「半年前から運用してきた記録」になっていく。そこに価値があります。
これは「型にはめる」話ではない
ひとつ、誤解されたくないことがあります。
記録を残す、仕組みにする、と言うと、人を規則で縛って個性を消す話に聞こえるかもしれません。でも、私たちが作りたいのはその逆です。
記録は、人を型にはめるためのものではありません。その人がちゃんとやった仕事を、その人の手柄として残すためのものです。仕組みにしてしまえば、誰も「記録しなきゃ」と気を張らなくてよくなる。意識しなくても、やったことが自然に証明として積み上がる。
現場の人が本来の仕事に集中できるように、面倒な証明の部分を仕組みが肩代わりする。それが私たちの考える「仕組み化」です。個性を殺す標準化とは、まったく別のものです。
自分たちがやっていることを、御社にも
なぜ自分の会社の話を、こんなに長く書いたのか。
DXの支援を名乗る会社が、自分たちのガバナンスをガタガタにしていたら、何を言っても説得力がありません。「安心を設計します」と言う会社が、自分の足元の安心を後回しにしていたら、それは言葉だけです。
私たちは、目先の損得だけで、後から効いてくる土台を切り捨てません。それは自分の会社でそうしているからこそ、顧客にも同じ言葉で向き合えます。
「自分たちがやっていることを、御社にも展開します」。この一言を、実感を持って言える状態を最初から作っておく。遠回りに見えて、これがいちばん誠実な近道だと考えています。
顧客が本当に求めているのは、成長でも規模でもなく、安定です。そして安定は、記録という地味な積み重ねの上にしか立ちません。今日から始めるしかないものを、今日から始める。ただ、それだけのことです。
一人では、会社は変えられない。
だから、一緒に変える。
まとまっていなくても構いません。
お話を伺い、一緒に整理するところから始めます。
まずは、お気軽にご相談ください。