セキュリティ教育という対策の限界：PC Online

本文へジャンプ

日経パソコン

目次

2009年7月7日　page:1/2

セキュリティ教育という対策の限界

三輪信雄＝Ｓ＆Ｊコンサルティング代表取締役

Tweet

（執筆時の情報に基づいており、現在では異なる場合があります）

　最近、増えてきた相談に「やってもやっても情報漏えいがなくならないんです」というものがあります。つまり、情報セキュリティ対策にはそれなりに取り組んできたにもかかわらず、情報漏えい事故の件数は減らないどころかむしろ増えているというのです。

　そのような会社は、たいてい本社だけでなく支社、地方の営業所、関連会社などに多くの社員と関係者がいるのです。そして、たいていセキュリティポリシーというルールがあり、熱心に社員を教育しています。情報資産の洗い出しや脅威分析もしています。教科書通りのセオリーを守った情報セキュリティ対策を展開しています。

　関連会社にも「情報セキュリティ確認書」を提出させて、PマークやISMS認証の取得も勧めています

　しかし、なぜ情報漏えい事故が減らないのでしょうか。一つ一つの事故の内容を聞いてみると、以下のようなものが最近起こっていました。

・打ち合わせ後にカバンに入っていた機密書類をカバンごと失くした
・メールやファックスの送信宛先ミス
・持ち出し禁止のデータを業務遂行のために無断で持ち帰って、自宅から漏えい
・退職前の営業社員が自分の持っている名刺などの顧客情報をコピーして持ち出した

　さて、これらの事故をなくすためには、あるいは、減らすためにはどのようにすればいいでしょうか？　これらは、大雑把に分類すると、「うっかり」「故意」「悪意」になります。

　例えば、私事ですが、私は物を忘れるクセがあります。財布を忘れて出かけて、会社に着いてから気づいたりします。このような私に「物を忘れてはいけない」と教えられても限界があります。もちろん、席を立った後に必ず振り返るとか、網棚にカバンを置かないとか、注意することは可能ですが、それでもやってしまうものはやってしまいます。

　また、業務遂行に熱心な社員ほど、「仕事に邪魔なバカなルール」は無視します。さらに、情報を持ち出すつもりの「泥棒」には教育すればするほど、システム的には監視されていないことをアピールしてしまうということにもなりかねません。

次ページ：教育の限界を見極める