情報技術、すなわちITの利用が私たちの業務に深く浸透するにつれ、その裏側で顕在化しているのが情報漏洩という深刻なリスクです。多くの人は、情報漏洩と聞くと、外部のハッカーによる不正アクセスや、コンピューターを破壊するウイルス感染といった、悪意あるサイバー攻撃を思い浮かべるのではないでしょうか。
しかし、NPO法人である日本ネットワークセキュリティ協会が2018年3月に発表した「2017年情報セキュリティインシデントに関する調査報告書」によれば、驚くべき実態が明らかになっています。この報告書によると、情報セキュリティを脅かす事象である「インシデント」の実に約6割が、誤操作や紛失・置き忘れ、そして管理ミスといった、内部の人為的ミス(ヒューマンエラー)によって引き起こされているのです。この事実は、外部からの攻撃ばかりに目を奪われがちな私たちの意識を改める必要があることを示しています。
SNS上でもこの種のニュースは大きな反響を呼んでおり、「結局は人の問題だよね」「パスワードの管理やメールの誤送信防止策を徹底するしかない」といった意見が多く見受けられます。また、「ルール作りだけでなく、それを守らせる仕組みや、守りたくなる環境が大切だ」という指摘もあり、単なる技術的な対策だけでは不十分だと認識している方が増えていることが伺えます。情報漏洩対策を考える上で、このヒューマンエラーという避けられない課題にどう向き合うかが、喫緊の経営課題と言えるでしょう。
ヒューマンエラーは「結果」であり「原因」ではない
では、なぜこれほどまでに人為的なミスによる情報漏洩が後を絶たないのでしょうか。その背景には、「守るべきルールを知らなかった」「何らかの理由でルールを一時的に守らなかった」、あるいは「そもそもルールを守る意識が低かった」といった、様々な人間の心理や状況が絡み合っています。人間が関わる以上、ヒューマンエラーの発生確率を完全にゼロにすることは、率直に申し上げて非常に難しいと言わざるを得ません。
しかし、絶望する必要はありません。大切なのは、エラーの発生を完全に防ぐことではなく、その確率を最大限に減らす努力をすること、そして仮にエラーが発生してしまっても、情報漏洩という最悪の事態を引き起こさない仕組みを組織全体で構築することなのです。専門家の中には、ヒューマンエラーはインシデントの「原因」ではなく、むしろ何らかの組織的な問題が引き起こした「結果」であると指摘する声もあります。
私見ですが、この考え方は非常に重要です。セキュリティに関するルールをしっかりと整備し、「どのような行動が推奨されるのか」「どのような行動が禁止されるのか」を曖昧さなく明確化するのは当然の第一歩です。しかし、それ以上に重要なのは、「情報漏洩につながるようなミスやトラブルはいつか起きるかもしれない」という前提、すなわち「性悪説」の視点に立って、定期的にルールをチェックし、その組織の身の丈に合った運用へと柔軟にブラッシュアップし続けることでしょう。
企業や組織のマネジメント層は、「絶対情報漏洩は起きない」という根拠のない楽観論ではなく、「するかもしれない」という強い当事者意識を従業員全員に持たせ続ける必要があります。この意識こそが、組織を強固な情報セキュリティ体制へと導くための、最も重要な要素であると私は考えます。SOMPOリスクマネジメントの取締役である宮崎義久氏が述べるように、この危機意識の維持こそが、組織の安定的な運営を左右する鍵となるでしょう。