第2回　やっている・できている“つもり”を疑う

　前回は情報漏洩対策の現状を俯瞰した上で課題を解決するための7カ条を列記しましたが，今回からは，7カ条それぞれについて実例を挙げて解説していきます。

　情報漏洩対策に限らず，事故や事件の後に「対策している/できている“つもり”だった（けれどできていなかった）」という当事者の弁が聞かれることは珍しくありません。では，どうしてこのようなことが起こってしまうのでしょうか？原因はいくつかあります。対策の内容についての確認が不十分なこと，事故や事件の影響範囲の想定を限定してしまっていること，対策が形骸化してしまっていることなどです。それぞれの例を取り上げ，改善策を考えてみましょう。

確認の不徹底がもたらす“つもり”

　確認の不徹底がもたらす“つもり”の典型例が，ウイルス対策ソフトの更新やパッチ・プログラムのインストールです。最近では自動化が進み，パッチ・パニックなどの付随的な問題を除けば管理者の負荷は以前に比べると格段に軽くなっています。実は，ここに“つもり”を引き起こす罠が潜んでいます。更新やインストールが一定の期間中に想定通りに行われているかどうか，確認作業を徹底しないと，結果として更新漏れやインストール漏れが発生しやすくなります。

　対策の枠組みが正しくても，手順や手法に問題があると，こうした“つもり”に陥りがちです。この手の“つもり”を防ぐには，対策の実施完了を確実に確認する仕組みが必要になります。上記の例では，グラフィカルなレポートを出力できるツールを導入するなどして管理者が更新・インストールの結果を確認しやすくするなどの方法が考えられます。ほかに，確認したこと自体を機械的に記録する仕組みを設ける，複数の管理者がお互いに確認しあう体制を作る，といったことが重要になってきます。

　業務フローの面で，複数の管理者が関与して初めて業務が完結する仕組みがあればもっと良いでしょう。最初の管理者が更新・インストールの実施を確認した後に，別の管理者が最初の管理者の業務完了を確認し，経営層への報告や保存記録を作成するという具合です。このように業務設計することにより，確認を徹底できます。

想定範囲の限定がもたらす“つもり”

　想定範囲の限定がもたらす“つもり”は，情報漏洩事件をはじめとする危機対策によく見られます。情報漏洩事件などの危機は頻繁に起こるものではなく，参考にできる事例が限られていることが，この種の“つもり”につながります。特定の事件のインパクトがあまりにも強いために，それに引きずられて，バランスを欠いた対策で満足してしまっている例も散見されます。

　典型的な例が，「個人情報だけを念頭に置いた情報漏洩対策」です。個人情報に注目するあまり，同様に重要な知的財産や経営戦略にかかわる情報に対して有効な保護対策を提供できないのでは対策として不十分です。結果として企業に多大な損害をもたらしかねません。

　この種の“つもり”を防ぐには，業務の流れに沿ったデータだけでなく，業務に伴う従業員の行動パターンなど複数の視点からの洞察とシミュレーションが必要です。「何が企業に対して致命的な損害をもたらすか」を突き詰めて考え，その事態を引き起こす事柄を様々にシミュレーションすることです。シミュレーションに際しては，各々の関係者が「自分がその場にいたら・・・」という視点を持つことが重要です。そうすることで，より現実味のあるシミュレーションが可能になり，適切な想定範囲を得ることができます。

『習い性』がもたらす“つもり”

　『習い性』がもたらす“つもり”というのは，「当初は健全に行われていたが，その行為の目的がいつしか忘れられ，形式的に行われている」状態に陥った場合に起こります。形だけ行われている状態が続くと，いつの間にか形が崩れて，致命的な事故・事件を招くことにつながります。この種の“つもり”はあらゆる場面で発生します。特に顕著なのが，プリント出力や各種記憶媒体の取り扱いなど，頻度は高いけれども補助的な作業です。何らかの業務を行うための手段の一環として位置付けられることがほとんどですので，その重要性に比べて注目の度合いが低くなりがちです。

　この種の“つもり”をなくすには，業務や作業として「何を，どのように実施するか」だけでなく「何のために実施するのか」と「健全に行われないと何が起こるか」をしっかりと伝える必要があります。それも，定期的に繰り返し伝えることが重要です。

“つもり”の存在を見抜くには

　3種類の典型的な“つもり”について，それらを防ぐ対策を述べてきました。ただ，何より重要なのは まず“つもり”の存在を見抜くことです。 “つもり”は事件・事故という状況に陥らないとなかなか表面化しません。 “つもり”の温床である『習い性』は，業務の習熟に伴う気の緩みから発生します。確認の不徹底がもたらす“つもり”は，往々にして効率性を求める過程での手順の省略から発生することがあります。想定範囲の限定による“つもり”も合理化を進めるうえでの条件の限定から発生するケースが大半です。

　日々繰り返される単調で地味な業務は，慌しい業務環境の中で軽視されがちですが，そういった業務が情報漏洩対策では重要な意味を持っています。そのような業務を確実にこなし続けることが情報漏洩を防ぎ続けることにつながります。