こんにちは！CISOの採用担当です。

本日は、CISOの評価制度についてお話しします。

【目次】

・CISOの評価制度とは？

・評価制度を設定した背景

・評価制度の全体像

・評価の流れ

・評価する側の研修

・最後に

・・・

ーCISOの評価制度とは？

CISOの評価制度は、人柄や人間的な成長を評価する「成長指標」と技術や業績を評価する「成果指標」という2つの軸で構成されています。評価の配分は、ほぼ50:50です。

サイバーセキュリティの分野で、ここまで人柄を重視した制度を導入している会社はありませんし、今後も現れないと思います。

ではなぜ、CISOでは、人柄を重視しているのか。それは、私たちが中小企業のサイバーセキュリティを“支援”している会社だからです。セキュリティの知識が十分でないお客様に対して、ただ専門用語を並べるのではなく、きちんと寄り添い、わかりやすく伝え、安心してもらう。そうした「人としての優しさ」や「信頼感」が、私たちの価値だと考えています。

CISOの社員が「本当に守ってくれている」とお客様に感じていただき、信頼の土台を築く力も、この評価制度の中に組み込まれているのです。

ー評価制度を設定した背景

評価制度の設計において、私たちが特に重視しているのが、以下の2点です。

まず、「個人の成長促進」について、個人の成長が適切に評価されることは、本人のやる気やスキルアップにつながります。そして、その積み重ねがやがて組織全体のパフォーマンス向上へとつながっていく。頑張っている人が正当に評価されることこそが、組織づくりにおいて大切な要素だと考えています。

ここで言う「頑張っている人」とは、ただやみくもに努力する人ではありません。CISOでは、定められた枠組みの中で最大の成果を出す人を“頑張っている人”と定義しています。

たとえば、決められた労働時間内で、CISOの提供するサービスや社内の仕組みに対してどれだけ貢献できたかや、セキュリティに関する知識や専門性を高めているかなど。

次に、「組織力の底上げ」という観点では、大きく2つの意図があります。

1つは、業務の属人化を防ぎ、誰かが不在でもフォローし合える体制・文化をつくること。

もう1つは、「評価されること」自体が、CISOの目指す方向性そのものを示しているという点。評価を通じて、組織としてどこへ向かっているのかを、全員が自然と理解できるようにすることも、評価制度の役割の一つです。

ー評価制度の全体像

CISOの評価制度は、大きく4つの項目に分かれています。

定性的な評価でありながらも、極力客観的に判断できるよう、細かい指標を設けているのが特徴です。

「人柄7項目」は、CISOらしい評価軸だとよく言われます。

外部の役員や中核メンバーから「こんなに丁寧に定義しているなんてすごい」と驚かれることもあるほどです。

この7項目は、CISO創業時から「こんな仲間と働きたい」という思いを込めて言語化されたもの。1〜6の6段階で、「改善が必要」から「模範的・感動的」までを評価します。

自分の人柄をこの軸で振り返ることで、よりよい自分にレベルアップしていく。そんな自己成長のきっかけになってほしいという想いがあります。

こちらは経済産業省が提唱する「社会人基礎力」をベースにした評価項目です。

仕事における土台となる力を客観的に見直すことで、基礎力の底上げを図っています。

サイバーセキュリティスキルと業務スキルは、CISOが特に注力している評価分野です。

たとえば資格は、レベル1〜3に分けて設定し、取得すれば月額手当が加算される仕組みです。セキュリティやIT関連の資格は多岐にわたるため、迷った場合は気軽に相談してほしいと伝えています。

スキルレベルは、「見習い」から「超級」までの5段階。

また、中級以上を目指す人には、CISO独自の「テクニカル試験（基本・応用）」を用意しており、試験合格を評価指標としています。

状況に応じて加えられる「追加項目」もあります。

たとえば、独自研修の参加状況やレポートの質、チームへの貢献、改善活動の実施など、その時々で重要なポイントを柔軟に評価できるようにしています。

ー評価の流れ

評価の流れとして、まずは、自己評価、その後、1〜3次評価を得て、評価会議で社内の点数のばらつきを確認し、場合によっては調整します。

評価は点数化され、S〜Dランクにランク付けされます。

また、職位に応じて評価項目の配分が変化するのが特徴です。

たとえば、役職が上がるにつれて「社会人基礎力」の比重は下がり、「スキル」の比重が高まる。つまり、成長段階に応じて求められる能力を評価の中心に据える仕組みになっています。

評価サイクルは半年ごと。7月〜12月が上期、1月〜6月が下期で、年2回実施されます。

ー評価する側の研修

CISOでは、評価する側への研修も大切にしています。

私たちは、評価を「誰かをジャッジする行為」ではなく、「その人の可能性に光を当てること」だと捉えています。

点数をつけるだけでなく、行動の意味を振り返り、未来のヒントを共有すること。

それが本来の評価の姿だと考えています。

評価される人が「もっと良くなれる」と信じられるために。

そして評価する側も、相手の未来を信じて関わっていく存在になるために。

私たちは、相手にラベルを貼るのではなく、新しい視点を提供するような評価のあり方を目指しています。

ー最後に

CISOの評価制度は、一人ひとりの可能性に光を当て、組織としての進むべき方向を明確にする「共通言語」であり、CISOが目指す未来に向けた“土台”でもあります。

「評価されること」が、安心や納得感とともに自己成長につながっていく。

そんな前向きな文化を築いていくために、これからも制度の運用と改善を続けていきたいと考えています。