いつも思うけど、アメリカ人のアバウトさには驚かされる。
昨日、カリフォルニアのゴルフ場に予約のための電話をかけた。こっちは夜中の4時、向こうは昼の12時。コレだけ時差があるのに、ほぼ同じくらいどっちもテンションが
なのには笑えたけど。必要事項を伝え、予約を取り付けると、「確認メール送る?」と聞かれたので、「うん、ぜひ」と答えると、数分のうちに送られてきた。内容を確認しようと中身を見ると…
え?予約した名前のスペルが違うんですけど… 予約の人数も違うんですけど…
念のために言っておくが、これは英語という言葉の壁が原因ではない。一応、英語での日常会話くらいはできるし、電話では正しい情報が伝わっていることも確認している。すぐさまメールに返信し、確認メールの内容に誤りがあること、修正して再度新しい確認メールを送信してほしいことをお願いする。さっき、レスが早かったから、今度もすぐに対応してくれるだろう。
しかし、30分待っても連絡が来ない。だんだん(酒が切れてきて)眠くなってきたし、かといって気になったまま床に就くこともできないので、再度電話をかける。
Ring Ring Ring
"This is XXX, can you hold?"
あー、はいはい、待ちますよ。
あ、余談だけど、上記はアメリカではよくあること。電話に出たと思ったら、その第一声が「わり、ちょっと待って」って。しかも、相手が「NO」と言うことは全く想定していない聞き方。まぁ、まず日本の会社ではありえないよな。慣れてる人間にはどってことないけど、英語での電話に慣れていない人は大抵面食らってしまう。もしくは、聞き取れない(この場合、質問文なのに語尾を上げないから特にね)。で、「え?何?」って考えている間に、ブチッって保留にされちゃうんだよね。
それはともかくとして、数分後つながった別の担当者に、届いた確認メールの内容に誤りがあったことを伝え、直してもらう。次に送られてきた新しい確認メールには、きちんと正しい情報が記載されていた。 なので、安心して眠りに就く。
で、今日。イヤ、正確には電話したときから日付は変わってないけどね。最初の担当者からメールが届いた。
「あー、あの確認メールは、要は時間が分かればいいんだよー。後の情報はぶっちゃけそれほど重要じゃないんだよねー」ってな内容。
えぇぇ?! いいのか、そんなアバウトで? 朝から脱力してしまいましたよ。
でも、思えばアメリカの中小企業なんて、そんなのが多いよなー(さすがに、大きいところはもう少ししっかりしてると願いたいが)。で、考えた。今、日本でも少しずつではあるが普及しつつあるPCI DSS。発信源のアメリカでは、既に多くの企業がPCI DSSに準拠済みだ。しかし、PCI DSSってのは、もちろん最初に準拠するときもそうだが、その後準拠した状態を維持していくのも大変な基準である。アメリカの中小企業で情報漏えいやセキュリティ侵害が発生するのは、こうしたアバウトさが一つの原因なんじゃないか?アメリカに限ったことではないが、セキュリティ対策において、「あー、まぁ、こんなもんでいっかぁ~」という妥協的な姿勢がクセになってしまうと、絶対に抜けが生じる。もちろん、きちんと現状分析をしたうえで、関連するリスクを理解、その一部を許容するという前提があるなら別だ。
昨今、情報セキュリティに関する基準が次から次へと出てくるけど、どうも基準に振り回されている気がしてならない。みんな、基準に準拠しようと躍起になっているけど、基準はあくまでも基準。基準に準拠したからって、攻撃されないという保証はないのですよ。
企業は、「準拠」が目的ではなく、「保護」を目的としてセキュリティに取り組んでほしいな。