組織の内部からの情報漏洩が話題になることが多くなり、企業などの組織でも情報漏洩対策の見直しが始まりました。私は、一般的な企業の情報漏洩対策の状況を見る機会があるのですが、その多くに共通する課題があることに気付きました。
私は最初に入社した会社がタイヤを製造する工場を持つ会社であったために、日常的に安全について考えていました。工場では品質向上だけでなく安全確保についても日々取り組みが行われていました。
タイヤの工場の中には危険な工程がたくさんあります。中には機械に腕を巻き込まれたり、挟まれたりするような工程もあります。工場の食堂前には「無事故達成◯◯日」という大きな時計のようなものがあり、事故が起こらないように気を付けるように啓発活動が行われていました。同じような活動は工事現場でも見ることが出来ます。
そしてもし、大きな人身事故などが起きれば、直ちに連絡体制が機能して、迅速に適切な対応が行われるようになっていました。
振り返って、情報漏洩を事故と位置付けた時に、工場で取られているような対応体制が取られているかと言えば、人命に関わることでは無いということもあり、連絡体制そのものが形ばかりであることも珍しくありません。また、連絡体制は基本的にインシデントの大きさによって分けられています。つまり、小さな事故は現場の課長まで、大きな事故は役員や社長まで、というようになっています。言い換えれば、起きてしまった大きな情報漏洩事故しか経営層は知ることが無いということです。小さな事故がどれくらい起こっているのか知るよしも無いということなのです。
このように大きな事故は上に報告されるという体制を取っている場合に起こりがちなことは以下の様なことです。
- 小さな事故であるように取り繕うために、できるだけ小さな事故として報告する
- 大きな事故の場合、規模の確定や原因究明、再発防止策などをまとめた報告書が完成するまで報告しない
これらに加えて、懲罰制度が充実しているために、事故が隠蔽されることもあります。さらに、大きな事故とされた場合には、その部門長も責任を負わされるために、組織として隠蔽活動を行う傾向にある場合があります。
さらに先に紹介した工場と一般的に見られる情報漏洩対策の現場との大きな違いは、「ヒヤリハット」への取り組みです。危機管理においてヒヤリハットを重要視するということは常識とされています。
ヒヤリハットとは、事故には至らなかったものの、もう少しで事故になってしまう可能性があった事象のことです。大きな事故は、遡ってみると小さなヒヤリとしたことやハットしたことがあって、それにいくつかの偶然が重なって起きることが多いのです。
従って、このヒヤリハットの事象をいかに多く収集して、対策を練っていくかが危機管理の常識とされるのです。そして、当たり前ですが、工場の現場では同時に生産性や品質向上にも努めます。事故を無くすことばかりを考えると生産性が著しく低下したり、品質が保てなくなったりしてしまうこともあるために、バランスを考えながら対策が進められるのです。
情報管理の現場ではこうしたヒヤリハットの対応まで含めた対策が行われていることはほとんど見ることができません。事務職の現場では生産性、品質、危機管理が文化として根付いていないことが大きな原因ではないかと考えられます。
例えば、酔って帰宅中電車にカバンを置き忘れたが、翌日発見されて中身も無事だったというような、この季節には珍しくない事象でも、いくつかの条件が変われば情報漏洩の大事故につながり、顧客との取引停止にまでなっても不思議ではありません。しかし、こうしたケースでも、情報漏洩が起こっていないから報告しないというのが通常の処理でしょう。
このままであれば、いつかは大事故が起こってしまうために、ヒヤリハットは報告されるべきで、その対策として様々な施策を行うべきなのです。そのためには報告すると処分されるから報告しない、事故にはならなかったから報告はいらない、という考え方や文化を変えなければならないのです。
ヒヤリハットまでを含んだ危機管理を行うことは今後重要な課題であると同時に、こればかりをやると生産性や品質が低下する可能性がありますから、経営感覚を持った対策の再構築が求められます。
