企業・組織における情報漏洩の要因は、USBメモリー等の記憶媒体の紛失や従業員のデータ持ち出し、紙媒体紛失等の内部要因によるものが依然として多くの割合を占めている。下記事例のような持ち出しによる情報漏洩は、明文化されたルールがあるにもかかわらず、日常的にルールを逸脱する行為の「自己正当化」「ルールに対する規範意識の麻痺」がその背景にある。
厳密にルールに照らせば正しくないという認識を持ちつつも、提出期限や納期などのやむに止まれぬ事情から、「作業・仕事を早く終わらせたい」という現実的な問題があり、その行為を日常的な行為が、いわば実務慣行として定着していくことで、ルール違反の感覚が希薄化(「麻痺」)し、次第に標準化され、ローカルルールとして「正当化」されてしまっている状況が、頻発する情報漏えいの背景にあると考えられる。
1.持ち出しによる情報漏洩
○ 小学児童情報入ったUSB紛失男性教諭が校外に持ち出し/北海道
→学校は個人情報が入ったメモリーの校外への持ち出しを禁止していた。
○ 個人情報:甲府・北新小教頭の車から児童名簿盗難/山梨
→同小は名簿の校外持ち出しを原則禁じていた。
○ 個人情報:学校職員、千人分の情報入り私物USB紛失市教委に届き発覚/新潟
→同市教委によると、口座番号などが入ったUSBは通常金庫で保管され、学外への持ち出しや、私物USBへのコピーを禁止していた。
今回紹介している事例のように、禁止されているはずの記録媒体の持ち出しや情報の複製等の行為の「常態化(ルールの逸脱が日常化してしまう)」が、結果的には車上窃盗の被害や紛失、不正アクセスによる情報漏洩などを発生させている。
これらの行為は、当事者自身には悪意や会社に損失を与えようなどという企図はないものの、ローカルルール(本来のルールが変形し現場だけで運用されているルール)により運用されたり、管理要件が不明確となっている領域に対して、組織や業務環境が都合のよいルールの解釈を許してしまっている(統制環境)結果と捉えることができる(内部統制システムとしての脆弱性)。
このような現実の裏には、実際の現場では、社内ルールなどの厳守よりも、実際は、契約上の納期の厳守の方が優先されている現状がある。
ルール設定当初は情報漏洩防止のために、冗長化された手続きやチェックも必要であるとしていたものが、業務効率優先の組織運営のために形骸化し、自宅や社外への情報の持ち出しといった行為が少しずつ行われ、最終的にはそのルール逸脱のやり方が新たなローカルルールとして形成されてしまっていると考えられる。ましてや、各組織でリストラや人員整理が進められていれば、一人ひとりに掛かる業務負担は当然重くなり、効率性を求めるあまり、ルールの形骸化やローカルルール化に拍車がかかりやすい。
その上、本来はルールの適正な運用を管理すべき上司や所属長が業務効率や売上げ向上のために、(そして、部下の業務効率という「自己正当化」のために)日常的なルール逸脱が黙認されることによって、職場全体の情報漏洩リスクの認識が希薄化し、個々のリスク感覚も麻痺するという悪循環に陥る。さらに、自宅での業務を推奨・命令する場合になると、仕事とプライベートの区別もつきにくく、いわばプライベートの延長線で緊張感が緩んだ状態で業務が実施されやすく、情報漏えいリスクは一層高まることになる。
2.”悪意のないルール違反”への対策
情報漏洩にかかる事故に限らず、ルール違反は(そもそもルールを知らない場合を除けば)本質的には意図的な行為である。人は、「人」の特性上、不遵守行為による損失と利益を天秤にかけ、見込まれる損失より利益(「楽」ができるという本人にとってのメリットも含む)が上回ると判断する場合には、違反に手を染めてしまう。組織・企業としては、「人」への理解と並列に、環境面での対策を検討する必要がある。
違反のバランスシート | |
認識される利益 | 認識される損失 |
---|---|
|
|
参照:ジェームズ・リーズン著、組織事故とレジリエンス
1.業務量や負荷の適正化
過大な業務量・作業負荷や無理な作業スケジュールを強いることは、集中力や注意力を低下させ、その結果として、単純ミスや社内規則・ルールを逸脱した情報の持ち出し行為を誘発しやすい。ルールに違反した情報の持ち出しを防止するためには、業務量や負荷の適正化を保つことがまずもって必要である。
マニュアル化された作業、繰り返し作業には、人によって得手不得手があるが、それ以外に、多くの人が不得手な作業がある。それは、時間的プレッシャーのかかる作業、注意が分散する作業、安閑と多忙が混在する監視作業などである。これらは、今のところ、タイムシフトや適材配置などを工夫し、対処せざるを得ない。
また、作業の効率化や省略の誘惑にかられるし、単純ミスによる漏洩のリスク(オペレーショナル・リスク)も増すことから、そのような作業の遂行上のリスクをあらかじめ認識しておくことがより重要となる。
さらに、情報の持ち出しについては、基準を曖昧にせず、その情報が漏洩したリスクを勘案し、明確にした上で厳格にルールを設定し運用することが重要である。情報を持ち出していなければ漏洩しなかったと推察される事例が多数散見されており、情報は決まった場所で取り扱い、持ち出さないという認識を徹底させるのが大前提であり、これを厳守できるよう作業環境の構築が必要になる(私物の持込み禁止エリアでの作業、バックチェックの実施などの「行動」制限がその中心となる)。
2.作業指示の明確化
不明確な作業指示やあいまいな作業手順は、確認の省略や情報の持ち出しなどの判断ミス、ルール逸脱を誘発する。機密情報や個人情報を取り扱う業務は、社員だけではなく派遣社員や臨時雇用者が担当することを念頭において、対策を検討しなければならない。
なお、個人情報の取り扱いに関する法律の基本事項や組織としての対応方針は、常に、関係者全員に周知徹底し続けることが重要である。基本的な漏洩事故に関する教育や意識啓発は一過性のものとせず、定期的に実施することで浸透が図られる。情報漏洩に関する事故・トラブルについても、社内の事例や他社事例を交えて、その事故に至るまでのプロセスや損害を周知することが効果的である。漏洩事故事例の収集・分析といった取組みは、翻って自社の状況と照らし合わせることを通じて、日常の業務の中に潜在化するリスク発見の端緒となり、組織の中で情報を共有し、実態と整合した解決策を見出す効果を促進すると思われる。
3.個人の姿勢や価値観
個人の姿勢や価値観を会社の方針に沿ったものとしていく取組みは、組織内での悪意を持った行動や利己的な目的行為を促進もするし、防止もする。防止に資する日常業務への取り組み姿勢や組織への帰属意識といった観念は、教育や訓練によって一朝一夕で定着するものではない。しかしながら、現実には組織内の異動や人事評価によりこの観念が正されもするし、歪みもする。多くの事例はこの歪みにより事例が発生しており、企業の対策として、継続的な意識啓発や多様な事例を通して教育を実施していくしかない。
個人情報や機密情報を取り扱う作業者には、技能だけではなく作業方法や作業手順を遵守する能力、それ以上に重要情報を取り扱うこと自体の意味を深慮できる能力が必要とされているため、作業者の適正をチェックし、十分な意識を持った要員を選定が重要な対策となる。
3.違反の心
社員、幹部含めた各個人が、情報漏洩に対する危機意識や認識に欠けているため情報漏洩事案が頻発すると言ってしまえば、それまでである。しかし、企業・組織として情報漏洩リスクを極小化するためには、個人の「自己正当化」を許してしまう会社側に脆弱性があるのだと認識し、そのような作業環境の改善、さらには、当事者が一生懸命に業務に取り組む過程での情報の持ち出しや複製による流出が、例えば納期を守れなかったとき以上に、結果的には組織に、より甚大な被害を与えてしまう可能性があることを発信し、周知し続けるしかない。職員に悪意はないとしても、またバレないとの思い込みも、ルール違反はその結果を認識した上での行為であることに違いはない。
情報漏洩発生の多様な要因・動機を分析・整理しつつ、現行そもそものルールの存在の周知はもちろんのこと、ルールのさらなる明確化と周知(社員教育)の強化、外部メディアの無許可使用の禁止や機密情報資料の管理強化、そして、全社員による端末の定期検査、管理職によるルール順守状況の確認徹底等、情報流出の継続的な監視等の対策を総合的に進めていく必要がある。