条件付きOKにしたあと、委託先へ改善要求をどう出すか

セキュリティチェックの結果を見て、
「今回は条件付きOKにしよう」と判断することは、実務ではよくあります。

ただ、そのあとでこんな悩みが出てきます。

• 改善してほしい点はあるが、どう伝えればいいか分からない
• 強く言いすぎると関係が悪くなりそう
• かといって、何も言わずに流すのも不安

条件付きOKは、
判断としては正しくても、その後の出し方を間違えると失敗しやすいところです。

まず考え方として整理しておきたいのは、
改善要求はダメ出しではない、という点です。

• できていないから直せ
• 基準を満たしていない

こうした伝え方になると、
委託先は「責められている」と感じやすくなります。

実務でうまくいっているケースでは、
改善要求は条件の共有として出されています。

「この条件が満たされれば、こちらとしては進められます」
という形です。

改善要求を出すとき、
いきなり細かい対策の話に入ると失敗しやすくなります。

たとえば、

• パスワードポリシーがどうこう
• 教育記録がどうこう

といった話から始めると、
委託先は身構えます。

まず伝えるべきなのは、

• なぜその点を気にしているのか
• どんな情報を守りたいのか

という背景です。

背景が分かると、
相手も「なるほど、それなら分かる」となりやすくなります。

条件付きOKにした理由が複数あったとしても、
改善要求として出す項目は、絞った方がうまくいきます。

• 今回の取引に直結するもの
• 放置すると影響が大きいもの

この2点を基準に、
優先順位の高いものだけを伝えます。

全部直してもらおうとすると、
結局どれも進まないことが多いです。

改善要求がうまく進まない理由の一つに、
ゴールが曖昧なまま伝えている、という点があります。

• いつまでに
• どこまでできていればよいのか

この2点は、できるだけ具体的にします。

完璧を求める必要はありません。

「次回のチェックまでに」
「少なくともこの範囲まで」

このくらいの粒度で十分なケースが多いです。

改善要求を出すとき、
つい「正しいやり方」を伝えたくなります。

ただ、実務では、

• 委託先の規模
• 体制
• 使っているツール

はさまざまです。

そのため、
やり方まで細かく指定すると、かえって詰まります。

「このリスクを下げたい」
「この状態は避けたい」

という目的を伝え、
方法は委託先に考えてもらう方が、結果的にうまくいくことが多いです。

改善要求を出す前に、
一つだけ社内で決めておきたいことがあります。

それは、
改善されなかった場合、どうするのかです。

• それでも取引は続けるのか
• 扱う情報の範囲を見直すのか
• 次回はNGにするのか

ここが決まっていないと、
改善要求がただのお願いになってしまいます。

現場でよく見る失敗は、次のようなものです。

• 改善要求を出したまま、フォローしていない
• 何を直せばよいのか、相手に伝わっていない
• 直したかどうかを確認していない

これでは、
条件付きOKにした意味がなくなります。

条件付きOKにしたあとの改善要求で大切なのは、

• 相手を正すこと
• 正解を押し付けること

ではありません。

リスクを共有し、条件を整理し、次の判断につなげることです。

背景を伝え、
要求は絞り、
期限とゴールを決める。

それだけで、
改善要求は「揉め事」ではなく「前向きな調整」になります。