防止とは、システム的に情報が漏れないように防ぐような「対策」、うっかり個人情報入りのUSBメモリーなどを紛失することのないように注意する「教育」、車内に置いてあるノートパソコン入りのカバンが盗まれないように持ち運ぶよう促す「注意喚起」などを指します。
また、抑止とは、情報漏洩の行為が見つかると感じさせたり、情報漏洩を起こす気にならないように罰則を強化したりすることを指します。
先日、他国で姦通罪の女性が石打ちによる死刑になるというニュースがあり、文化の違いに驚きましたが、その昔日本でも江戸時代には刑罰は非常に厳しいものがありました。よく時代劇に出てくる「市中引き回しの上……」というのは代表的なものです。これは「一罰百戒」という考えに基づくもので、1つの罪をとても厳しく罰することで多くの人に戒めを与えよう、すなわち、抑止効果を最大限にするための施策だったです。
一方で厳しい処罰は犯罪防止だけではなく、当時の権力者の力を示すためのものでもあったのかもしれません。厳しい処罰は当然ながら権力へ逆らうものへも向けられます。そのことによって、権力への恐怖を抱かせる目的もあるのでしょう。軍事政権では今でもそのような統治の方法が取られているようです。
さて情報漏洩対策にひるがえって、罰則の強化は防止や抑止につながるでしょうか。情報の漏洩という行為をどこまで厳罰化できるかは法律の専門家にお任せするとしても、ある程度の限界があることは想像できます。しかし、少々古いタイプの経営者の中には、「罰則をとても厳しくすればいい」と考える方も少なからずいらっしゃいます。
しかも、厳罰化を進めようとすると当然ながら法廷での争いになりますから、何を持って有罪とするかなどが争点となります。企業の内部での人事的な処罰を考えても、あまりに厳しいと逆に社会問題になりかねません。罰則の強化には高いハードルが待っているのです。
システムからの情報漏洩の場合、犯人を特定することは本当は非常に困難な作業のはずです。罰則が強化されることになれば、当然ながら犯人とされた人は否認することが多くなるでしょうし、ログやハードディスクの分析だけでどこまで物理的な人間を特定できるかということにはまだまだ判例も少ないためにえん罪も十分にあり得ます。ログインユーザー名=人物とは限らないからです。
情報漏洩対策を行いたいのであれば、単発的な罰則の強化よりも先にやるべきことは「漏れないようにすること」だと思います。システム的、管理的な対策と並行して教育やセキュリティ文化を作り出し、加えて罰則強化などの抑止効果を狙うという包括的な計画が必要なのです。
情報漏洩には様々な角度から対策を講じる必要があるものの、それをバランスよく行うマネジメント能力も求められます。組織には予算や人材、時間などのリソースの制約がありますから、それらを効率的に生かしながら最大限の効果を生み出す施策を講じることこそが情報セキュリティマネジメントなのです。
また、忘れてはならないことは、罰則の強化を図れば図るほど、情報のブラックマーケットの価格は上がります。引き取り価格が上がれば当然ながら情報を持ち出そうという輩のモチベーションは上昇します。そして、情報が漏洩したらさらに罰則も強化するというスパイラルに陥ることも十分に予想されます。
また、企業のグローバル化に伴い、情報漏洩、情報流出には、外国人の関与が徐々に増えていくと予想されますから、罰則の強化では抑止にならず、システム的な対策や管理体制の強化の方が効果的になっていくのです。
