情報漏えい対策～教育の重要性～

これまでにも、情報漏えい対策の考え方や手法などについて、何度も取り上げていますが、今回は、「社員に対する教育」について考えてみましょう。

情報漏えい対策の2つの対処法～予防と事後対応～

世の中には、多くの情報漏えい対策製品やサービスが販売されていますが、これらを目的別に分類すると、「予防」と「事後対応」の2つに分けることができます。また、対象別に分類すると「外部からの攻撃」と「内部の不正・ミス」に分けることができます。

一般的に「セキュリティ対策」と言えば「外部からの攻撃」への「予防」を目的として不正アクセス検知やデータ保護などの製品をイメージする方が多いと思いますが、ここ数年、メディアやニュースなどで報じられている通り、「攻撃を完全に防ぐことは出来ない」ということを前提とした「事後対応」の重要性が注目されており、それに特化した、あるいはそのための機能を付加した製品やサービスが増えています。

予防目的では、認証システム、アクセス管理、暗号化などのデータ保護を行うソフトウェア的な対策もあれば、監視カメラや入室管理、金庫などの物理的な対策もあります。また、事後対応目的では、ログ管理、リモートワイプ（遠隔データ消去）、デバイスロック、強制シャットダウンなどがあげられます。

情報漏えいのリスク要因は複数存在するため、適切な対策を行うためには、多くの製品やサービスを導入せざるを得ないのが現状です。そのため、コストの負担、運用者への負担、利用者への負担（利便性低下）が、多くの企業での課題となっていることも事実です。

情報漏えい対策での教育の必要性

11月の本コラム「情報漏えいの原因はヒューマンエラー？～その原因と防止策を徹底解説～」でも述べた通り、“情報漏えいの原因はヒューマンエラーが8割”と言われています。前述の製品では、ヒューマンエラーを防ぐことはできないため、専用の対策が必要となります。

ここで重要なのは、「外部からの攻撃は、ルールや教育だけで防ぐことはできないが、内部の不正やミスに対しては、ルールや教育が肝要となる」という点です。

対策を強化しても、外部からの攻撃を完全に防ぐことが極めて困難であることと同様に、高額なシステムやツールを導入しても、ミスを完全に防ぐことはできません。また、悪意を持った内部の犯行をシステムやツールで防ぐには、膨大なコストが必要となるうえに、悪意を持たない多くの社員に対して多大な制限や負担を強いることになります。

逆に、社員の意識が高く、ルールが徹底されている企業では、システム的な対策は最低限であっても、十分な対策効果が得られている事例も多くみられます。

つまり、ツールや対策製品は、あくまでルールを補完するものであり、事故の発生確率や、事故が発生した際の損失を軽減するためのもの、と捉えるべきということです。

情報漏えいとは異なりますが、最近ニュース等でもよく報じられる、「従業員らの不適切動画投稿による炎上」についても、同様のことが言えます。不適切な動画などが投稿される背景には、従業員のリテラシーと職場環境に対する満足度が大きく影響していると言われています。

従業員の職場に対する不満や、ネット社会の基本的なルールに関する意識の欠落によって、不適切な行動がとられてしまった、ということですが、これは内部犯行や人為ミスによる情報漏えい事故の多くにも当てはまります。会社や職場に対する不満は不正を招き、意識の欠落はミスを招きます。

情報漏えい対策の教育で重要なこと

ルールを浸透させ徹底させるためには教育が不可欠です。しかし、ルールを押し付け、締め付けるだけでは職場に対する不満を高めてしまいます。職場や会社への不満を取り去るためには、働きやすい環境や条件を整えることも必要ですが、組織の方針や仕事の意義を理解させ、その人の役割と責任を明確にするなど、仕事に対する「やりがい」を与えるといった「動機付け」のための教育がとても重要です。

「アメとムチ」の一方に偏ることなく、バランスの取れた教育を実施することで、社員の意識は向上します。社員の意識が向上すると、ルールは無理なく順守され、情報漏えいのリスクが低下するばかりでなく、業務の生産性も向上します。

セキュリティ対策製品を導入する場合には、リスクを下げる一方で、利便性も損なうケースが多くみられるのに対し、適切な教育はセキュリティと同時に生産性を高めることも期待できるのです。

まとめ

システム的なセキュリティ対策ばかりに目が向けられ、教育がおろそかにされているケースもすくなくありません。あなたの会社でも、「動機付け」のための教育がきちんとできているか、一度、振り返ってみる必要があるかもしれません。。