スキルアップコラム

次の数値は、何だかお分かりだろうか？

これは、NPO 日本ネットワークセキュリティ協会(JNSA)による「2005年度情報セキュリティインシデントに関する調査報告書」に記載された、情報漏えい組織の年別推移である。個人情報保護法の施行の影響もあり、事件をオープンにする意識が働いたこともあるが、増加傾向にあることに違いはない。

この報告書の中では漏えい経路の集計結果も掲載されている。それによると、「紙媒体経由」「PC本体」「FD等の可搬記憶媒体」を漏えい経路とした場合の比率が高く、この3つだけで漏えい経路に占める割合が80％を越えている。逆にネットやEメールl経由は、それぞれ6％強であり、いかに個人による情報の持ち出しが漏えい事件発生に大きく起因しているかが分かる。

特に紙媒体による漏えいは、驚くことに49.9％と約半数を占めている。紙媒体の場合は、紛失・置き忘れあるいは盗難だけでなく、横からの覗き見やカメラでの撮影などのリスクも考えられる。今ではほとんどの組織で情報の持ち出しルールは決められているのだろうが、持ち出しルールの厳格化やルールの徹底のための教育、携行している間は肌身離さず身近に置いておくという非常に基本的な人的対策が重要であろう。

情報セキュリティ対策の場合にはリスクは100％なくならない、つまりリスクゼロにはならないことを前提に対策を行う。このため漏えい事件といっても、実際に情報を使われて被害が発生するわけではなく、PCの紛失や、紙媒体の置き忘れといったところで終わることも多い。

問題なのは、情報セキュリティ対策のあり方に対する正しい知識を持たずに組織運営を行い、リスクを保有していることを知らなかったり、リスクが顕在化したときの対応が迅速に実施できない、あるいは情報保護に対する過剰反応や過少反応を起こすことである。このようなことから、人材育成の重要性は今さら問いかけるまでもないが、読者もそれぞれの立場で重要性を痛感されていることと思う。

情報セキュリティ対策の中での人材育成をもう少し深く見てみると、技術的な知識や対応方法を身に付けるだけでは事足りない状況がある。情報漏えい事件が発生した企業の、それまでの情報セキュリティ対策を見ていくと、ある程度のシステム的対策も教育も施されているにもかかわらず事件が発生したものが目に付く。これはいったいどういうことかというと、情報セキュリティ対策における人材育成に必要なのは、知識の習得だけではないということである。

例えば、組織において情報漏えい防止のルールを策定したとしよう。ルールを守るというのは、ルールを教えるという“知識の付与”と、それを守るという“意識醸成やモラルの問題”の両方により、情報漏えいのリスクを低減することができる。

“知識の付与”という意味で言うとスキルセットの強化であり、一般的にイメージする研修コースでカバーできるが、“意識醸成やモラルの問題”についてはマインドセットを高める必要がある。

情報セキュリティ対策の人的対応においては、組織へのロイヤルティ（忠誠心）を高め、モラルを向上させることが必要だとよく言われるが、具体的には組織成立要件といわれる「意思疎通・貢献意欲・共通目的」を高めることが重要だ。いわゆるマインドセットといわれる部分への働きかけが大きく影響する。

次回は、スキルセットに焦点を絞り、効率的な教育プログラム構築についてお話ししたい。