厳しすぎる規制は、その実現コストが高いばかりではなく、ブラックマーケットを形成するとともに、環境の変化に対するぜい弱性の高まりを生んでしまう可能性をもっている。したがって、安心・安全を実現するための規制は、適当な厳しさにして、システムに「あそび・ゆとり」を意図的にもたせるべきだと考える。

　オランダは、上手な「麻薬」の統治を行っている国として広く知られている。オランダでも、もちろん麻薬は禁止されている。しかし、各人が購入可能な上限が決められているのだ。個人使用なので、個人の意思と責任に任せるというかたちになっている。この結果、オランダでは高品質の合法な麻薬が取引され、ブラックマーケットは非常に小さいものとなっていると聞く。ポルトガルは2001年に麻薬を「非刑事問題化」し、麻薬の使用者には医療上の支援を行うことで、麻薬の使用量と犯罪の激減を実現している。

　ほとんどの人は、セキュリティは面倒で、仕事の効率を下げるけれど、「ちゃんとやらないと怒られる」ので「仕方なく」やらなければならないものだと思っているはず。多くのユーザーにとって、セキュリティは“イヤな”ものだろう。こうした事情で、よくないセキュリティは、「我慢・忍耐・生産性減少」という方向に向かう。

　暗号化を例に考えてみよう。暗号化することによって、通信の宛先を間違えたり、ファイルを落としたりというインシデントが発生した際にも、情報が他人に読まれないことが保証されているので、従業員は、このようなインシデントが起こることを心配する必要がなく、安心してのびのびと仕事をすることができる。会社帰りに飲み屋に立ち寄って、パソコンを電車の網棚に置き忘れたとしても大丈夫だ。しかし、暗号化が行われてない場合には、外部との通信を行う場合や、電子ファイルを事業所の外に持ち出すときに、いろいろな心配や制約を受けることになってしまうので、結果的に活動が委縮することになる。大切なことは、暗号化の作業がさくさくと簡単に実行できる技術・環境が提供されることである。

　こうしてみると、セキュリティの目的は、厳しすぎないルールでリスク管理が運用され、従業員が萎縮せずに、安心・安全な環境の下でのびのびと働くことを手助けすることにあるという結論に至るのである。