セキュリティ対策の一つにインシデント対応があります。インシデントが起こった際に重要なのが緊急連絡。実際、セキュリティポリシーやルールの中には、緊急の際には「緊急連絡網にて連絡すること」となっているケースが多く見られます。しかし、連絡してどうするのかについて具体的に記述されていることはあまりありません。
実際には事件が起きてみないことにはどうしようもないのでしょうが、実際に起きそうな事件を想定して対象方法を具体的に例示するべきでしょう。例えば、忘年会などお酒が入ることの多いこの季節では、鞄や携帯電話の紛失が当たり前のように起こります。
紛失した際の行動として、責任者への報告や総務部門への発見のサポート依頼、紛失した情報の内容の詳細の把握、個人情報が含まれていた場合の顧客への連絡や外部公表などの判断など短時間に多くのことを一気にこなさなくてはいけません。たかが鞄でも、情報管理に厳しい取引先と付き合っていれば当たり前のことです。
しかし、鞄の紛失は往々にして金曜日の深夜などに起こります。連絡された責任者も酔っぱらっているかもしれませんし、地下などの電波が届かない場所にいて連絡がつかないかもしれません。このようなときの対処も規定しておく必要があります。
そもそも、緊急連絡網を決めていても、緊急時にそれを持っていない可能性が高いのです。携帯電話に緊急連絡先を入力しておいて、それを鞄ごと紛失した場合にはお手上げです。最近は携帯電話に大きく依存しているので、それをなくすとどうしようもない事態に陥ります。
ありがちなセキュリティの運用として「緊急連絡網を決めてある」というものがあります。しかし、緊急時に役に立つような状態になければ意味がありません。家族に預けておいていざというときには教えてもらう、というのも一つの手ですが、この緊急連絡網には通常個人名と個人のプライベートのメールアドレス、電話番号などが記載されていることが多いのです。大きな組織ではこの緊急連絡網そのものが個人情報となってしまい、これが紙として大量に配布されていること自体が問題かもしれません。
また、伝統的な緊急連絡網ですと、情報が一方通行になっているのです。小学校の遠足のバスで伝言ゲームをやったことをある方は分かると思いますが、わずか2人目くらいですでに情報は変わってしまうのです。まして深夜での連絡がどれだけ正確に伝わるかは推して知るべしでしょう。
緊急連絡網としては、情報の連絡だけでなく、正確に伝わったか確認する手順が必要です。例えば、最後の人が、元の情報源に連絡を入れる、であるとか、何人か飛ばしてその先に情報源から連絡を入れて情報の伝達状況を確認するなどの手順を入れてもいいでしょう。
もちろん、あまり複雑である必要であると混乱を招くだけですが、どこまで伝わったか確認しないのは組織として情報管理をしている状態とは言えないでしょう。
まして先に述べたように、具体的な事件について、どの責任者がどのような指示を出すべきか、何をすべきかを例示されていない連絡網ではいざというときに効果的に機能することはないでしょう。
またよくあることですが、大規模な緊急連絡網ほど情報の更新が必要となります。なかなか面倒なことではありますが、きめ細かいメンテナンスが欠かせません。
ある企業では「全部社長」に直接入るようになっています。例えば、自分の上司に連絡するものの、社長にも必ず連絡するようになっています。私も経験がありますが、社長というものは常に臨戦体制にありますから、電波の届かないところには行かないように気をつけていますし、役員にもすぐに連絡がつくようにしています。
このような確実に連絡がついて的確な判断と指示が出せるポジションの方に直接連絡を入れるようにしておくのもいいかもしれません。なまじ組織にこだわって、下から上まで何階層もあるような緊急連絡網では、どこかで情報が途切れたり、誤った判断が行われたり、判断が遅れたりすることがあるかもしれません。危機意識と行動力のある人物への連絡も考慮すべきでしょう。
