情報漏えい事件、事故が後を絶たない。
IPA(独立行政法人情報処理推進機構)が発表している、
「情報セキュリティ10大脅威 2015年度版」では内部不正による
情報漏えいが第2位にあげられている。
最近の顕著な例をあげると2014年7月に発生した、ベネッセの
個人情報漏えい事件だ。この件ではシステム開発を行っている
同社のグループ会社の業務委託先の元社員が不正に個人情報を取得し、
約3500万件もの個人情報が名簿業者に売却された。
その元社員は不正競争防止法違反容疑で逮捕されている。
また、東芝のフラッシュメモリに関する研究データを
米国のパートナー企業の元研究員が、ライバル企業である韓国の
SKハイニックス社に不正供与した事件も記憶に新しい。
この事件では元研究員は不正競争防止法違反に問われ、
2015年3月に「営業秘密情報を他国の競合他社に流出させた
極めて悪質な事件」として判決がくだされた。
先にあげた不正競争防止法とは、公正な競争と国際約束の
的確な実施を確保するため、不正競争の防止を目的として設けられた
法律である。同法律による営業侵害罪を適用するには簡単にいうと
秘密情報へのアクセス制限や秘密であることが認識できるよう秘密情報
を秘密として管理されていなればならない。当然のことながら、
内部漏えいを防ぐには組織内で情報管理をきちんと統制した状態に
しなければいけないということだ。
セキュリティ対策を考えるときには、性善説でも性悪説でもなく、
性弱説で考えるべきである。人間とは弱い生き物である。
簡単な操作で不正が可能で、しかも不正が露見する危険性が少なければ、
つい出来心で不正をしてしまうかもしれない。
人間は不正ができるような機会に遭遇したしたときに
自制できないかもしれない、と考えるのだ。
そう考えると、組織側がきちんと情報管理することが第一義であることは
自明だろう。
その上で、組織全体での相互牽制機能が働くようにすることだ。
それには、「割れ窓理論」で考えるのがよい。米国の犯罪学者が論じたものだ。
建物の窓が割れているのを、放置すると誰も注意を払っていないという
象徴になり、他の窓も次々と割られ、やがてすべての窓が割られるというものだ。
情報セキュリティルールに限らず、社内のルールづくりを行う。
そして、組織全体でルールを遵守する教育を行う。
仮にルールを守らない行為に遭遇したときは看過せず、指導し、是正する。
そういう組織づくりが必要である。
そのためには、やはり社員教育を繰り返し行うしかないのだ。
急に組織全体に相互牽制が働くわけではない。
例えば、情報セキュリティ対策であれば、情報セキュリティの目的を
関係者全員が理解する。セキュリティルールの重要性やなぜルールを
遵守しないといけないのかを、繰り返し、繰り返し教える、
そういうしくみが必要である。
つまり、計画的な教育が行われる組織マネジメント力に行き着く
ということに他ならない。
――――――――――――――――――――――
(近藤 昇 著 2015年9月30日発刊
『ICTとアナログ力を駆使して中小企業を変革する』
第6章 アナログとICTの境界にリスクあり-ところでクラウドは信用できるのか より転載)