その手順は何のため？実効性のある仕組みを作るための考え方

日々の業務やサービス利用の中で遭遇する「不可解なルール」や「形骸化した手順」。それらがなぜ生まれるのか、どう見直すべきかを考えます。

1 「なぜここでワンタイムパスワードが必要？」
2 すべての手順には「意図」があるべき
3 「昔からやっている」は「意図」ではない

「なぜここでワンタイムパスワードが必要？」

みなさん、こんにちは。京都の税理士、加藤博己です。

最近、ネットバンキングを利用していて「またこれか」と思う瞬間があります。

振込の操作を進めていくと、最後に必ず求められる「ワンタイムパスワード（使い捨てパスワード）」の入力です。

スマホのアプリに通知が来たり、トークンに表示された数字を打ち込んだりする、あの手間のかかる作業ですね。

正直なところ、急いでいるときには面倒に感じることもありますが、この仕組みには明確な「合理性」があります。

万が一、自分のIDやログインパスワードがフィッシング詐欺などで盗まれてしまったとしても、手元のデバイスにしか届かないワンタイムパスワードがなければ、勝手に他人の口座へ送金されることはありません。

「不正送金を防ぐ」という防波堤として、この一手間には意味があるわけです。

ところが、世の中にはこの「納得感」が全く得られない仕組みも存在します。

一般の方にはあまり馴染みがないかもしれませんが、地方税の電子申告・納税システムに「eLTAX（エルタックス）」というものがあり、例えば従業員から預かった住民税などの納付手続きで利用します。

このeLTAX、いつの頃からか納付の最終段階に「ワンタイムパスワード」の入力を求めてくるようになりました。事前登録したメールアドレスに届くコードを入力しないと、納付が完了しないのです。

これ、冷静に考えてみてください。こちらは「税金を払おう」としているのです。

悪意のある第三者が、わざわざ他人のIDを盗んで、他人の銀行口座から、他人の税金を身代わりになって納税してくれる……なんてことをするでしょうか？

「ワンタイムパスワードがわからない奴には、納税させてやらない」

まるでシステムからそう突き放されているようです。

こちらとしては「そこまで言うなら、もう納税しない！」と捨て台詞の一つも吐きたくなりますが、納税しなければ結局は納税者が延滞金などの不利益を被り、悪者にされてしまいます。

だから、釈然としない思いを抱えながら、渋々メールを開いてコードを確認し、入力作業を続けているわけです。

以前にも何度か、ブログでeLTAXの使い勝手について苦言を呈したことがありましたが、最近は大人しくしていようと心掛けていました。

しかし、この「意味不明な壁」にぶち当たると、つい抑えきれずに書いてしまいます……。

■加藤博己のプロフィール

■経営者のためのZEI-Kメルマガ(登録無料)

■スポット相談のご依頼(ブログ記事に関する相談も可能です)

■執筆・講演のお問い合わせ(ブログ記事に関連する内容も対応します)

すべての手順には「意図」があるべき

ビジネスにおける業務フローやシステムの仕組みを作る際、一般的にはまず全体の大きな流れを設計し、それを具体的な「手順」に落とし込んでいきます。

ここで最も重要なのは、

「それぞれの手順には、その目的を実現するための『意図』がなければならない」

ということです。意図がない手順は、生産性を下げる障害物でしかありません。

先ほどのネットバンキングの例を振り返ってみましょう。

流れ： ログイン → 振込情報の入力 → 実行
手順： 最後にワンタイムパスワードを入力する
意図： ID・パスワードが流出しても、物理的なデバイスを持つ本人以外には送金させない

非常に明快です。コスト（手間）に見合うリターン（安全性）が存在します。

では、eLTAXの電子納税におけるワンタイムパスワードはどうでしょうか。

流れ： ログイン → 納付情報確認 → 納付実行
手順： 最後にワンタイムパスワードを入力する
意図： ……？

ここでワンタイムパスワードを要求することで、一体どのようなリスクを防ごうとしているのか、私には全く見えてきません。

もし、この手順を省くことで「○○という重大な問題が発生する可能性がある」という具体的なリスクがあるのなら、喜んで協力します。しかし、現状ではその理由が思い当たらないのです。

邪推かもしれませんが、「最近は金融機関でも何でもワンタイムパスワードが主流だから、うちも導入しておけばセキュリティが向上したっぽく見えるんじゃないか？」という、見た目重視の動機で導入されたのではないか……そんな印象すら受けてしまいます。

本来、セキュリティは「守るべきもの」があって初めて機能するものです。

守る必要のないところに鍵をかけて、本来スムーズに進むべき手続きを滞らせるのは、本末転倒と言わざるを得ません。

「昔からやっている」は「意図」ではない

手順に「意図」が必要なのは、ITシステムに限った話ではありません。私たちが日々行っている経理業務や事務作業の仕組みにおいても、全く同じことが言えます。

特に注意が必要なのは、「かつては正しかった意図が、時間の経過とともに消滅しているケース」です。

例えば、社内の伝票にいくつも並んだ承認印。

かつて、紙の書類を回していた時代には、内容を確認した証跡として判子を押すことに意味がありました。

しかし、今はデータで内容が即座に共有され、システム上で履歴が残る時代です。

それでも「昔からこの３人の判子が必要だったから」という理由だけで、内容をろくに見もしない形式的な承認フローが残っていませんか？

あるいは、毎月作成している分厚い報告書。

「前任者から引き継いだ時に、これを作るように言われたから」と、数日間かけて作成しているその資料、実は今は誰も読んでいない……なんてことはないでしょうか。

「昔からやっているから」というのは、現状維持の言い訳にはなりますが、手順の「意図」にはなり得ません。

仕組みを作った当初は、確かに「不正を防ぐため」「ミスを検知するため」「情報を共有するため」といった切実な意図があったはずです。

しかし、技術が進歩し、周囲の環境が変わり、組織の形が変われば、その手順が果たすべき役割も変わります。あるいは、役割そのものが終わっていることもあります。

定期的に自分の仕事を見渡し、

「この作業の意図は何か？」
「この手順を飛ばすと、具体的に誰が、どう困るのか？」

を自問自答してみる。もし、明確な答えが返ってこないのであれば、それは仕組みをアップデートすべきサインです。

実効性のある仕組みとは、最小限の手間で最大限の効果を発揮するものです。

eLTAXのワンタイムパスワードのような「とりあえず付けてみました」的な手順を削ぎ落とし、本当に守るべきものにリソースを集中させる。

そんな「意図のある仕事」を積み重ねていきたいものです。