人的資源のセキュリティについて|付属書A管理目的及び管理策|サイバーセキュリティ.com

人的資源のセキュリティについて|付属書A管理目的及び管理策



付属書A管理目的及び管理策についての解説コラム第四回目は「人的資源のセキュリティ」についてです。

第二回の「内部組織の管理策」において、組織体制における責任と権限について解説を行いましたが、組織の次に考えるべきポイントが「個人」へのセキュリティ対策です。

個人に対するセキュリティ対策とは

近年報道を騒がせている情報漏洩事件の原因として、「内部犯行」が多くの割合を占めています。普段の業務で情報に触れている分、コピーや持ち出しが容易なケースが多く、外部攻撃と比べ特別な技術も要しません。つまり、係わる人間の適切な管理が必要なのです。

雇用前から注意が必要

ISO27001が示す「人的資源のセキュリティ」では、下記の管理策が定められています。

  • 経営者の責任の自覚
  • 雇用中の教育訓練
  • 懲戒手続きの整備
  • 辞める際の義務

「雇用中の教育訓練」は、日々の業務で発生する恐れのある“うっかりミス”を防止する効果があります。また、「雇用前」に関しても管理策は定められており、“情報セキュリティを守れそうにない人物を採用するな”ということが明記されているのです。何事も最初が肝心という事ですね。

故意の不正への対処方法

では、“故意の不正”への対処はどのようにすれば良いのでしょうか。「内部の人間に悪意を持ってやられたら“防ぎようがない”」との声は多く聞きますが、リスクを減らすことは可能です。

リスクマネジメントではよく「性善説」と「性悪説」の分類の下、有効的なセキュリティ対策について議論が行われますが、最新の動向としては「性弱説」を用いるケースが増加しています。

人は弱いもの。追い詰められたら何でもやる。

この概念は、人間の本質を上手く表しているものではないでしょうか。そして、この「性弱説」に基づいて不正行為を検証してみると、対策すべき項目が浮き彫りとなってくるのです。

不正の三要素

内部不正が起こるとき、そこには「不正の三要素」と呼ばれるものが存在します。

  1. 動機
  2. 正当化
  3. 機会

逆に言えば、上記の三要素が揃わない限り不正は起こらないということになります。それぞれ詳しく見ていきましょう。

1 動機

不正の要素一つ目は、不正をする「動機」です。よくある動機としては、「金が欲しい」「恨み」等です。悩みを相談出来る、風通しの良い職場環境を作ることで、リスク低減が図れます。

2 正当化

大抵の人は、悪いことなどしたくありません。“不正をしても良いんだ”という納得できる理由が必要となります。

これが、不正が起こる要素二つ目の「正当化」です。

  • 会社は適切な評価をしてくれない
  • ブラック企業である当社を告発するために

上記のような“不満”が、不正の「正当化」に繋がってしまうのです。これについても、風通しの良い職場環境であれば発生しにくい現象でしょう。

ここまでの二要素については、本人の“内面”に由来するものです。個人の心の問題なのです。完全に断ち切るのは容易ではありませんし、他人には理解しようがありません。そこで、最後の一要素である「機会」の排除を徹底的に行うことが重要となります。

3 機会

最後の要素が、不正を行える「チャンス」です。このチャンスを与えてはいけないということですね。

日頃から入念なチェックを行い、“企業が見ている、何かをしたら分かってしまう”と従業員に意識させておくことが大切です。

日本的「信頼の美徳」こそがセキュリティリスク

日本の企業では「いつも頑張っているから」「彼は信頼出来る人物だから」と、業務を任せきりにすることが、“信頼の美徳”の様に感じさせる風潮があります。

ですが、先に述べたように“人間は弱いもの”です。有能な従業員であっても、社交的で人間的に素晴らしい従業員であっても、追い詰められた際の行動は想像がつきません。日本企業にはびこる“信頼の美徳”応えようと、仕事を任されることに喜びを感じ、能力の高い人物ほど追い詰められていくのです。そしてある瞬間、「もう、やってられない」と“魔が差す”ことで犯行が行われます。

実際、国内最大の個人情報漏洩となったベネッセの事件では、日頃真面目に業務に取り組んでいたにも関わらず会社からの評価が低い事で不満を募らせた優秀なエンジニアによって犯行が行われました。

彼が犯行を行う瞬間、もし“こんな事をしてもすぐにバレてしまう”との考えが浮かんでいたら、自分の行動を思いとどまったかもしれません。企業は、長年を掛けて気付き上げた社会的信頼と、営業利益、優秀な従業員を失わずに済んだかもしれません。

まとめ

業務のチェックとは、決して人を信用していないからするのではありません。信用している人、頑張っている人を、“救うため”に行うのです。

“人は弱いもの”だからこそ、会社は「従業員を不正の誘惑から守るために」業務内容をしっかりチェックしていく責任があります。これが「性弱説」に基づく人的管理の考え方なのです。

次回は、情報セキュリティにおいて守るべき対象「情報資産」の考え方について解説をいたします。


SNSでもご購読できます。