自分の勤める会社には、「２ヶ月に一度、OSやら利用しているサービスのパスワードを変更する事」という規程がある。そのために社員は、この時期を覚えておく必要がある。

以前、このことについて「OSの設定で強制的に変更をさせるようにすればいいのでは？」と、担当部署に聞いた事があるけど、その返答は「（セキュリティに関する）規程を周知するために自動化しない」という返答だった。ちなみにこの人はOSの設定に関する知識はあるので、こういう事ができるのは知っている。

そもそも「セキュリティに関するリスクを軽減する」という目的でこの規程はある（と信じたい）と思うので、「より確実にかつ手間が少なく」リスクを減らせた方が良いはず。上記の例だと、パスワードの変更忘れのリスクを防ぐために、時期がきたら強制的に変更させる事だと思う。

規程を守らせるために「セキュリティリスクを作る」なんて変な運用だ。 そもそも規程を周知させたいなら、パスワード設定ではなく他の事をして周知させれば良い。