対策には、人的、組織的、技術的、物理的といきなり4分類されて、
さらにそれぞれ細分化されていきますし、
お金をふんだんにかけられるというわけでもない中で、
コストバランスを考えながらとなると、優先順位づけが必要なわけです。
重大な事故を防ぎたいというのが経営者も、セキュリティ担当者も共通の思いでしょう。
しかし、次の打ち手となったときに、迷走が始まります。
迷走させないために、
リスクアセスメントをするというのはひとつの正しいアプローチです。
ISMSでもリスクアセスメントをすることを求められます。
リスクアセスメントをするためには、
自分たちの組織が何を守るのかを定めなくてはなりません。
ISMS的にいえば、情報資産の特定です。
お客様の個人情報なのか、営業機密なのか、研究開発情報なのか、
国家機密にかかわる情報なのか・・・
リスクアセスメントのスタートは、守るべき情報資産の特定ですが、
これはあくまでスタートで、リスクアセスメントは労力と専門性が必要です。
つまり、リスクアセスメントをするだけで時間とお金がかかるということです。
時間とお金のかかるリスクアセスメントをすることなく、
重大なセキュリティ事故防止を導いてくるものはないのか?
ハインリッヒの法則が、その答えを教えてくれます。
ハインリッヒの法則とは、労働災害の経験則のひとつで、
1つの重大事故の背景には、
29件の軽微な事故があり、その背景には、
300件のニアミス、ヒヤリハットがあるというものです。
この法則、セキュリティ事故の現場でも使えるものです。
1件の新聞沙汰になるような情報漏えい事件の背景には、
29件のUSB紛失のような軽微なセキュリティ事故があり、
300件のメール宛名ミスのようなヒヤリハットがある。
セキュリティの経験則としても、感覚的には近いと思います。
さて、大事なことは、ハインリッヒの法則が教えてくれることです。
ハインリッヒの法則は、重大事故を防ぐには、
重大事故に焦点をあてるのではなく、
軽微な事故を29件にならないように防ぐことや、
ヒヤリハットをあちこちで頻発させないよう改善することが肝要であると教えてくれます。
つまり、現場レベルでおきる、セキュリティのルール違反やちょっとしたミスを撲滅することが、
重大な事故の発生をなくすことにつながる、ということなのです。
これならリスクアセスメントしなくても、すぐ着手できそうです。
セキュリティ教育の実例としても、
業務中に起きたヒヤリハットを共有する研修をしている会社もあります。
講師側(というより司会者)の難易度が高いですが、
外部のセキュリティコンサルタントと共同で行えば効果をあげられるでしょう。
一方的な講義形式を何回もやるのは、受講者側も飽きてしまいます。
ヒヤリハットの共有を行い、業務の改善やセキュリティポリシーの改訂につなげることは
セキュリティの重大事故を未然に防ぐ方法として有意義です。
先日のセキュリティコンサルタント養成講座でこの話をしたときに、
製造現場のQCサークルみたいですねと言われていた受講者の方がいらっしゃいましたが、
まさにそのとおりですね。
QCサークルのような地道な活動により、
世界に通用する品質を作り出すことができるようになったわけですが、
日本企業のセキュリティ強化には、同様の活動が効果的と思うのです。
—–