検索
「“社内情報の持ち出し禁止”なんてムリですよ!」
<ルールに違反しているケースへの対策>
「ルールに違反しているケース」が挙がった場合は、必ず再発防止策を講じなければなりません。違反をそのままにしてしまうと、ルールが形骸化し、無法状態になるからです。
過去に筆者が担当したクライアントのなかに、「社内情報の社外への持ち出しは禁止」というルールを設けていたところがありました。このルールを運用するのならば、従業員全員が絶対に社内情報を持ち出さないようにしなければなりません。
ところが同社は従業員一人あたりの業務量が非常に多く、ほとんどの従業員が自宅で仕事をするために情報を持ち出していました。その状態を会社は黙認していたのです。
「禁止」ではなく「正しい持ち出し方」を決める
筆者がこのクライアントに対して提案したのは「情報を持ち出す際のルールをつくる」という再発防止策でした。「社内情報の社外への持ち出しは禁止」というルールがある限り、持ち出す際のルールは定められません。これでは持ち出された情報を管理することができませんから、情報漏えいのリスクは一気に高まります。「持ち出し禁止」のルールを撤廃し、「正しい持ち出し方」を決めることで、現状に即したルールに改善したのです。
ルールを決めると現場から「そのルールじゃ仕事がしにくい」という不満が出ることがありますが、これも改善のチャンスです。人は「何もルールがない状態」に対しては意見をいいにくいものですが、「ルールがある状態」に関しては意見をいいやすいものです。最初につくるルールはあくまでたたき台。そこから会社全体でより使いやすいルールをつくっていけばいいのです。
暫定的な「修正処置」では 、「再発防止」にならない
また、再発防止策は基本的にルール変更など仕組みの変更を伴うものを指します。再発防止策と混同されがちな言葉として「修正処置」がありますが、これはあくまで暫定的な処置です。
あるサービスへのログインパスワードを設定していなかったという場合に、すぐに適切なパスワードを設定するといった対応が修正処置です。修正処置を実施すれば事態は収束しますが、そこで満足してしまえばまた同じような情報セキュリティインシデントが発生します。だからこそ再発防止策によって仕組みを変え、根本的な原因を解決する必要があるのです。
事後報告書の再発防止策に「酔わない」の4文字が…
以前コンサルティングを担当したクライアントで「営業マンが会社支給の携帯電話を紛失した」という情報セキュリティインシデントが発生しました。本人に事情を聞くと、週末の夜に同僚と飲みに行っていて泥酔してしまい、朝起きたら携帯電話がなくなっていることに気づいたと説明したそうです。
筆者がこの話の報告を受けたのは、事件発生から一ヵ月後だったのですが、発生直後に作成された「事故報告書」を見せてもらうと再発防止策の欄に書かれていたのは、なんと「酔わない」の4文字でした…。
このクライアントの場合、大事に至らなかったので笑い話で済みましたが、「酔わない」では再発防止策にはなりません。このケースで再発防止策を講じるのであれば、「業務時間外は携帯電話を社外に持ち出さない」というルールを設ける、紛失しても見つかる機能やソリューションを利用する、もしくは紛失しても携帯電話の中身が第三者に見られないような対策を実施する、などが考えられます。
「よい塩梅」を対策検討できるのが「ビジネススキル」
再発防止策を講じるときに注意するべきは「100%その事象が再発しないようにしなければならない」と思い込んで、過剰な対応を取らないことです。典型的なのは、過去記事『ルール違反ですが…セキュリティ対策「厳しすぎる会社」の末路』で見た「事例 むやみやたらに『多重チェック』を導入して効率が落ちた印刷会社」のケースです。
つまりミス防止のために、ダブルチェック、トリプルチェックと確認を重ねていくのです。この対応では業務効率が下がり、ルールが形骸化した挙げ句、ミスもなくなりません。人がすることに100%ということはなかなかないからです。その事象の発生する可能性と発生した際の影響度を考慮して、「よい塩梅」での対策を検討するのが「ビジネスで情報を使う」ビジネスマンとしてのスキルなのです。
ちなみに、再発防止策のもう一つのパターンが「担当者の変更」です。残念ながら、何をいってもルールを守れない人というのは存在します。そのような場合は、関連する業務の担当者を変えるべきです。
外注の内部監査員のいうことを「鵜呑み」にするな
<改善を検討すべき事項への対策>
「改善を検討すべき事項」において何よりも重要なのは、自社の情報セキュリティにとって改善を検討すべきかどうかを判断することです。
外注の内部監査員や審査機関による外部審査では、ルール違反の指摘よりも「改善を検討すべき事項」のほうが多いケースがほとんどです。内部監査員や審査員は、ある意味指摘をするのが仕事だからです。そのため必然的に「改善を検討すべき事項」を指摘する数も多くなるのです。
ここで注意しなければならないのが、内部監査員や審査員のいうことを鵜呑みにしないことです。確かに内部監査員も審査員も専門家です。しかしプロの野球評論家のいうことを、プロの野球選手がすべて鵜呑みにして実行すれば、おそらく無茶苦茶なプレイになります。どのアドバイスを取り入れるべきなのかは、選手自身が判断しなければなりません。
情報セキュリティの運用も同じです。専門家である内部監査員や審査員の指摘をそのまま盲目的に信じずに、自社にとって本当に必要な対策なのかをその都度、取捨選択しなければならないのです。
ところがコンサルタントをしていると実感するのですが、意外なほど多くの会社が「指摘には全部対応しなければならない」と思い込んでいます。外注の内部監査員や審査員はあくまで外部の人間です。いくら専門家でも、内部監査という限られた時間のなかでわかることには限界があります。極端にいえば、「人生でその日だけその会社の監査をしている」というケースもあるわけで、そうなればわかることはもっと少なくなります。
自社のことは自社の従業員がいちばんよく知っているもの。情報セキュリティを運用していくのは自分たち自身であるという意識を持ち、改善には何が必要なのかを、当事者意識を持って考えていきましょう。
幸松 哲也
LRM株式会社 代表取締役 CEO
