内部犯行による情報流出事件を防ぐたった一つの方法
先日の記事(ベネッセコーポレーションから「重要なお知らせ」が届きました)に続く、情報流出事件に関する話題です。
企業の機密情報や個人情報を守るため、情報セキュリティ対策として、一般的には、
のような、多面的な対策が図られています。
また、これらの情報セキュリティに関するマネジメント体制が十分に機能している組織に対して第三者機関がお墨付きを与える「ISO27001」(品質に関する有名な「ISO9001」認証がありますが、その情報セキュリティ版。「ISMS」とも言います。)という認証を取得している会社(特にIT企業)も多く存在します。
ベネッセからシステムの運用を受託している会社は、ISMSのほか、プライバシーマークも取得していたそうです。
しかしながら、そういった万全の情報セキュリティ対策を行っていても、今回のように、情報漏洩事件は起こってしまいます。
もちろん、セキュリティ対策の小さな不備をついて、企業のビル内に侵入することや、インターネットからサイバー攻撃により情報を盗み出すことは絶対に不可能とは言えませんが、実際はほとんど困難です。
十分な情報セキュリティ対策を実施していても、情報流出を防ぐことができないのは、内部犯行があるからです。これは、非常に悩ましい問題なのですが、どうすれば、内部犯行による情報流出事件を防げるのでしょうか?
その最も効果的な方法は、ひとつしかありません。
社員であれ、委託会社社員であれ、そのまた派遣社員であれ、情報を持ち出そうとする理由は、今回の事件のようなお金欲しさか嫌がらせである場合がほとんどだと思います。「そういった欲求を思い止まらせるようなマネジメントを普段から徹底しておく」ということが、たった一つの方法です。当たり前すぎて「なんだそんなことか」と思われるかもしれませんが、特効薬はありません。
具体的には、非常に基本的なことですが、重要な情報を扱う従業員の顔と名前をマネージャーがきちんと把握し、いつ誰がどんな作業をしているのかということについて、常に関心をもっておくことが犯罪の抑制につながります。
別の言い方をすると、「自分の仕事内容や、今日の作業内容を、あのマネージャーさんがちゃんと把握しているんだな」と作業員に思わせることです。
もちろん、これで完全に情報流出事件が防げる訳ではありません。どんな厳重なセキュリティ対策を行っていても、正規にアクセス権を持つ人物はデータベースを持ち出すことが可能ですから、それをさせないためには、日頃のコミュニケーションとマネジメントが重要な鍵を握っていると考えます。