内部からの情報漏えい対策には、現在多くの製品が市場をにぎわせています。そういった製品はいずれも内部情報漏えいの一部向けの対策であり、何かを買えばたちまち対策が完璧になるものではありません。
また、内部からの情報漏えいというと「情報漏えい事件のうち内部犯行が**%」などというベンダーの提示している数値を信じてしまいがちですが、日本の場合、多くは「善意の故意」による情報漏えいなのです。
多くの企業で情報漏えい対策を行っていますが、その多くが「禁止ルール」に基づいたものです。例えば、USBメモリーからのウイルス侵入や紛失、自宅からの暴露ウイルスによる情報漏えいを防ぐために「USBメモリーの利用禁止」というルールを作ったとしましょう。
社員はそれまでUSBメモリーを使い、熱心な社員の中には残業代なしで自宅で残務を処理していました。そのUSBメモリーの利用が禁止されたので、その分だけアウトプットは減ります。
でも、それを会社は当然のことながら認めません。同じだけのアウトプットを求めます。明らかに仕事をする時間が減り、それに比例してアウトプットは減るにも関わらず、人事評価の基準は変更されないのです。私の知る限りでは、情報セキュリティ対策を厳しくしたために、人事評価の基準を甘くした、などという会社は聞いたことがありません。つまり、すべて社員にしわ寄せされているのです。
そうなると仕事熱心な社員はなんとかして仕事を持ち帰ることを考えます。USBメモリーが使えないとなると、残る手段はネットワーク経由で自宅へファイルを送信することです。メールでの添付ファイルやWebメールを利用して自宅で使っている個人のメールアドレスに送信するのです。そして自宅で仕事をして、会社のアドレスにまた送信するのです。
そして、ある確率で社員が自宅のPCから暴露ウイルスで取引先の情報漏えいしてしまうのです。これはとても不幸なことです。その社員は、善意で業務時間外に無償で業務を遂行していたのにも関わらず、会社や取引先からは「加害者」として扱われるのです。これは善意の故意なのです。善意の故意は、強い意志で行われるために、むしろ軽い気持ちからの悪意の故意よりも防ぐことが難しいのです。
