6月27日に公開した『仕事熱心な「あなた」が危ない――情報はここから漏れる』に対して,読者からご意見,ご感想を多数いただいた。ありがとうございます。さまざまなコメントのなか,“悪意のない”情報漏洩への対策の難しさを指摘する声が多いと感じた。大きくは次の三つである。
【意見1】仕事を持ち帰らねばならないような過重労働を強いている経営層が悪い。
【意見2】最後は社員個々人のセキュリティ意識に頼らざるを得ない。
【意見3】IT部門が出してくるセキュリティ対策は一般社員にわかりづらい。
トップの強い関与が不可欠
「仕事を持ち帰らねばならないような過重労働を強いている経営層が悪い」という意見に,筆者は大賛成である。セキュリティ対策に取り組むあるユーザー企業の幹部は,「社員は悪意があって問題行為をするわけではない。むしろ,業務を効率的にやろうとした結果であることが少なくない」と語る。
セキュリティよりも業務の“量”や“効率”を優先させる企業では,社員は情報漏洩につながりかねない行為を無自覚にしてしまいがちだ。もちろん,業務の効率化は必要である。大切なのは,個々の情報や仕事の重要度を明らかにし,今取り扱っている情報を守ることを優先すべきか,業務効率を優先すべきなのかを社員に理解させることだ。取り扱っている情報の重要度に応じて社員が注意を払えていれば,問題は起きにくい。
そのような優先順位を決める必要性を全社的に浸透させられるのは,経営層しかいない。優先順位を明確にせず,経営層が普段から「業務を効率化しろ」と言っていれば,社員はセキュリティ対策より業務効率を優先するからだ。前出の幹部は,「業務効率を多少犠牲にしてでもセキュリティを高めるという,経営層の強いコミットメントが欠かせない」と注意する。
事実,セキュリティ対策の先進企業のほとんどは経営層が牽引役になっている。ファイザー製薬は,米国本社のヘンリー・A・マッキンネル会長兼CEO(最高経営責任者)の号令の下,1999年からセキュリティの強化に取り組んでいる。矢坂 徹取締役は,「まず偉い人たちにセキュリティ対策がなぜ必要なのかをわかってもらわなければ,たとえ現場の社員にやる気があっても実現できない」と断言する。
“禁じ手”を活用
残念ながら現状,セキュリティ対策に理解がある経営者は少ない。AIU保険 ファイナンシャル・ラインの中江透水 ITリスク スペシャリストは,「現場の意識が高くても経営層の意識が低いケースが多い。『セキュリティにコストをかけて,いくらもうかるのか』と言う経営者もいる」と嘆く。
経営者が十分なセキュリティ意識を持つまで,セキュリティ対策の実施を待つわけにはいかない。特にセキュリティ対策を任されているIT部門の担当者などにとっては,経営者のコミットメントを得ることは緊急の課題だろう。
具体的には,どんなことが考えられるだろうか。5月23日に成立した「個人情報保護法」を持ち出して,経営者のセキュリティ意識の欠如が企業経営を揺るがすこともあるのだ,と説得するのも一つの手だろう。
ある意味“禁じ手”だが,セキュリティ対策の公的な認証制度を利用するというのも一つの方法だ。情報セキュリティ・マネジメントの事実上の国際標準になっている英国の「BS7799」や,それに基づいた日本の審査・認証制度「ISMS制度(情報セキュリティマネジメントシステム適合性評価制度)」などである。
こういった認証制度を「売り上げにつながらないセキュリティ対策にお金や人をかけることを許さない経営層」に対する説得材料として使うのだ。「ISMS制度の認証取得によって自社のブランド力を上げる」というお題目が,経営者に対しての効果的な説得材料になる。
認証取得を目的にするのは誉められたことではないが,セキュリティ対策を実施することが企業のメリットであることには変わりない。セキュリティ強化を推進する側としては,経営層の“下心”を積極的に活用しない手はない。
ISMS制度やBS7799はそれ自体,セキュリティ対策を始める企業にとって“教科書”として利用できる。セキュリティ対策に必要な項目を網羅的にまとめているからだ。ISMS制度では,システム自体のセキュリティ対策だけではなく,従業員の教育や組織体制などにも言及している。セキュリティ・ポリシーを作り,情報漏洩が起きた時の対応手順を定めなければならない。それらを現場へ浸透させることも求める。
誰でも分かるセキュリティ対策
経営層の関与が得られても,やはり「最後は社員個々人のセキュリティ意識に頼らざるを得ない」。そのため,全社員のセキュリティ意識や知識を向上させるための啓蒙・教育は欠かせない。
ISMS制度でも社員への教育は重要な項目として挙げられている。昨年8月にISMS制度の認証を取得した大成建設は,単発の教育だけでなく,eラーニングによる定期的なテストを義務付けることで,社員個々人が持つべきセキュリティ知識を維持している。
ただし,啓蒙・教育方法にも工夫が必要だ。「IT部門が言うセキュリティ対策は一般社員に分かりづらい」という意見は少なくないからである。全社員のセキュリティ意識や知識を向上するには,システムに詳しくなくても実施できるセキュリティ対策,啓蒙・教育方法が欠かせない。
IT部門だけにセキュリティ対策を押し付けること自体が問題ではある。しかし実際には,IT部門が対策を任されることが多い。IT部門がセキュリティ対策を担当した場合に起きがちな問題について,自らがIT部門の長であるファイザー製薬の矢坂取締役は,「技術屋はいいシステムを作ればユーザーは使うものと考える。『こんないいものを,使わないほうがおかしい』と。我々も昔はそうだったし,今でもそう考えてしまうことがあるが,それは間違い。セキュリティ対策でも同じ過ちを犯しがちだ」と語る。
そこで同社のIT部門では,営業部門と人事交流をしたり,マーケティング手法などを学んだりした。「セキュリティ対策を現場に“押し売り”するのではなく,いかに“買いたい”と思ってもらえるかという視点で啓蒙方法を考えた」(ファイザー製薬の崎田史也 情報管理対策課長)のである。
その結果たどり着いた結論の一つが,「『重要な情報は洩らさない』という意識を徹底するだけでは意味がない。情報を漏らさないための具体的な知識や指示を明記した“解説書”が必須」ということ。さらに同社では具体化した解説書を簡単にまとめ,社員の身近なところへ提示している。例えば,重要書類の判断の仕方など日々の業務で頻繁に必要になる項目を書いたマウスパッドを全社員に配った。ポスターなどの掲示類では,「不要なフロッピーディスクは3階の○○へ」といった誤解しようがないくらい明確に指示する。
規則を守らせるために,罰則を強化するというやり方は必ずしも有効ではない。大成建設は,セキュリティ違反に対する罰則規定を作ったものの,実際には導入しなかった。「規則を破るのは,本当に“悪い”社員だけではない。うっかりミスやセキュリティ違反と知らずにやってしまう社員もいる。もし罰則の適用を間違えれば現場で不公平感が生まれ,モチベーションが下がりかねない」(設計本部 品質保証グループの平松充グループリーダー)と判断したのである。
以上,いただいたご意見に対して,実際にセキュリティ対策を推進している企業の例を基にどうすべきかを考察してみた。「うちでは,このような方法が効果を上げた(上げている)」というものがあれば,お寄せいただければ幸いである。
(鈴木 孝知=日経コンピュータ)
