「コンサルティングや監査の際に内部犯行対策について質問すると、ほとんどの企業が『しっかりと体制を作って取り組んでいる』という答えを返してくる。しかし、実際に調べてみると実はできていないケースが意外と多い」(デトロイト トーマツ リスクサービスの白濱直哉シニアマネジャー)。特に不十分とされるのが「人対策」であるという。

 内部犯行対策は、ツールの導入など技術的な仕組み作りをいくら徹底しても完全とは言えない。大切なデータを守るのも盗み出すのも人間である。守る側にいる人間の意識を高め、盗み出す側に回る人間を減らす――。そうした人の心に働きかける「人対策」も併せて実施する必要がある。そうした人対策の中心となるのは「周知」と「教育」だ。

 第2回記事の「新常識1」でも触れたように、周知については、必ず監視とセットで考える必要がある。「監視の目があるということをユーザーが強く自覚して初めて抑止につながる」(トレンドマイクロ ビジネスマーケティング本部 ソリューションマーケティング部 の大田原忠雄部長)からだ。どんなに優れた監視の仕組みを作っても、ただ監視するだけでは抑止力は得られない。ユーザーに対していかに周知を徹底できるか。これが鍵を握る。

 例えば、ツールなどで監視していることを従業員に知らせるだけでは効果は小さい。不審な行動を検知したら、その当事者だけではなく社内全体に周知したり、不審な行動の発生件数などを定期的に公表したりすると効果が上がるだろう。ブラフ(はったり)ではなく、本当に監視していることを知らせることが何よりも重要だ。

 教育に関しては、より人の心に働きかけるような工夫が必要だ(図5)。まず考えるべきは、教育により極力「悪」に転ばせないこと。「人は何かのきっかけで犯罪に手を染める可能性がある『弱い存在』であるという前提に立って対策するべきだ」(シマンテック セールスエンジニアリング本部 セキュリティ製品技術部の七戸駿テクニカルマーケティングアナリスト)。

図5●基本的な考え方と教育による「人対策」
図5●基本的な考え方と教育による「人対策」
人は「善」にも「悪」にも転ぶ
[画像のクリックで拡大表示]

経営層も含めた全員が参加する

 教育方法自体にも工夫が求められる。一般的な「教材を使った学習と修了テスト」では思うような成果が得にくい。必要なのは、情報を漏洩させることは犯罪であり、企業に致命的な損害を与えることを認識させるような徹底した教育である。

 例えば、監視ツールを導入している企業では、避難訓練のように実施日と内容を予告したうえで、無作為に選んだ複数の社員に対して「不審な行動を発見しました」といったアラートを上げる「疑似体験」を行うことがお勧めだ。

 そのほか、情報漏洩が犯罪であることを毎日唱和したり、職場の至る所に啓蒙のポスターを貼ったりすることなども有効である(第6階記事)。

 また、内部犯行を防ぐための教育には、一部の社員にだけ押し付けるのではなく、経営層も含めた全員が参加することが欠かせない。例外を作ってはならない。IPAがWebサイトで無償配布している「内部不正チェックシート」は、そうした全社を挙げての取り組みに役立つ。

 同シートを使うことで、経営層から一般の従業員まで、内部犯行対策に関わる全員が自分の役割を確認できる。「ベネッセ事件を受け、『自社の体制を点検したいが何から着手したらいいか分からない』という声をよく聞く。まずはこのチェックシートを使って再点検することをお勧めする(IPA 技術本部 セキュリティセンター 情報セキュリティ分析ラボラトリーの小松文子ラボラトリー長)。

 教育への全員参加やチェックシートを使った再点検は、「人対策」の見落としを防ぐことに効果がある。ぜひ実践してほしい。